Вирусы могут грузит сеть

Обновлено: 27.03.2024

Имеется ОЧЕНЬ большая LAN-сеть очень крупного медицинского центра в Азии (Китай). Сеть обладает распределенной оптической сетью, сеть доменная, одноранговая, без разделения на VLAN-ы.
Сеть спроектирована очень давно, когда не было нормальных коммутаторов, после модернизации количество работ было таким большим, что одноранговую сеть так и оставили.
Компьютеров ~6000, присоединено 4 здания.

Ситуация такая:
1. Все компьютеры выходят в Интернет через очень строгий прокси-сервер, со строгой фильтрацией, с авторизацией по plain логину-паролю, большинство компьютеров не работают в интернете никогда.
2. На большинстве компьютеров стоит ОС Windows XP, также имется очень много рабочих станций с ОС Windows 98
3. Операционную систему менять нельзя ни в коем случае, так как большинство лабораторных/диагностических программ очень старые, драйвера старые, под новыми системами не хотят дружить.
4. В сети не только компьютеры, присоединены как участники одноранговой сети разные медицинские приспособления, отправляющие диагностическую информацию по простейшему SMB-протоколу. Приспособлений около 500, начиная с рентген установок, заканчивая ДНК-анализаторами.
5. Некоторые рабочие станции не являются участниками домена.
6. IT отдел медцентра – это 40 человек, из них 15 админов.
7. В медицинском центре круглосуточно выполняется более 600 разных операций на людях, работу сети прерывать нельзя ни в коем случае, так как вся диагностическая информация (МРТ, рентген, результаты анализов, бухгалтерия) передаются непрерывно.
8. Простой сети на день грозит потерями в миллионы долларов

Проблема:
Какой то мудак (его уже выгнали) поднял игровой сервер в сети, расшарил инет через мобильный LTE интернет и запустил вирус криптолокер в сеть.

Сеть оказалась завирусована, и вирус шифратор гуляет по сети, шифруя данные на локальных компах, и на расшаренных SMB ресурсах.

Каждый день заражается около 20-40 компьютеров.

Медцентр и рад заплатить хакерам выкуп, но путем переговоров с ними пришли к выводу что невозможно каждый день расшифровывать файловые системы по отдельности, хакеры честно сказали что помочь в этом не смогут.
На большинстве компьютеров антивирусная защита отсутствует как таковая, так как на большинстве рабочих станций стоит Windows 98 & XP

Если у вас 7 Винда, и svchost.exe что-то все время закачивает нычком из сети десятками мегабайтов, а трафик не резиновый, то идем в Администрирование компьютером и в закладке "Службы" отключаем эту мразь: "Фоновая интеллектуальная служба передачи (BITS) Передает файлы в фоновом режиме работы, используя незанятую пропускную способность сети. Если эта служба заблокирована, то любые приложения, зависящие от BITS, такие как центр обновления Windows или MSN Explorer, не смогут автоматически загружать программы и другую информацию". Еще о svchost.exe

Вирусы могли маскироваться запросто и льют либо твою инфу либо спам от тебя рассылают (ЕСЛИ ТЫ КУПИЛ УЖЕ С ВИНДОЙ ПОВЕРЬ МОГУТ БЫТЬ ВИРУСЫ =) поставь Eset Smart Security

У Вас вирус. Запускается как параметр SVCHOST.EXE - менеджера сервисов Windows.
Нажмите правую клавишу на "Мой Компьютер" -Управление-Сервисы и.. . открывая свойства сервисов сморите на путь к исролняемому файлу. В норме сервисы, запусаемые через SVCHOST, имеют запись, похожую на
C:\WINDOWS\System32\svchost.exe -k netsvcs
Если параметр после C:\WINDOWS\System32\svchost.exe содержит .ехе файл - это, скорее всего, и есть вирус

Это Фоновая интеллектуальная служба передачи (BITS), выключи её в службах и не забудь заблокировать, а то она снова включится.

Спасибо Helen Dyakonova, все перепробовали, нахрен все потключали, падла все равно трафик херачит падла винда. Лишь вы помогли.

Скажу сразу, что перепробовал все- проверки на вирусы, командную строку, отключил все обновления, чистил автозагрузку и многое другое- ничего не помогло. Очень долго искал решение этого вопроса (час три) и нашел. В принципе не сложно отследить процесс который ест много трафика- ALT+ CTRL+ Delete, за тем в диспетчере задач, сверху нажимаем на вкладку "Сеть "(для сортировки процессов по количеству потребляемого трафика) и в моем случае отразился svchost- ел он вроде не много 0,1-0,9МБ/С, но за день Гигабайт, а то и 3 улетали просто ни за что. Svchost был проверен и вирусным не являлся 100%. Было абсолютно не известно какая прога могла запустить этот svchost, ведь стандартный диспетчер задач мне такой инфы не предоставил. Для этой задачи пришлось установить Process Exploler. Изучать эту прогу было не охота, просто интуитивно нашел нужный мне svchost. Искал так- в стандартном диспетчере задач посмотрел ИД процесса (правой кнопкой мыши по процессу->подробно->смотрим ИД процесса (обычно 4 цифры)), за тем открываем прогу Process Explorer и ищем в колонке "PID" нужный нам процесс (такие же 4 циферки), правой кнопкой мыши и нажимаем Properties. В первой же вкладке можно найти Parent(родителя этого процесса), в моем случае это был GoogleUpdate. В общем именно ГУГЛ запускал svchost, который качал бесконечно много и постоянно, при чем данная папка на компе оказалась не просто скрытой но и системной и найти, а уж тем более удалить было не совсем просто. После отключения из диспетчера задач GoogleUpdate и того самого svchost, папка была успешно удалена и трафик больше не исчезал. P.S.
Какую инфу отправлял и скачивал Google я узнавать не стал, но не думаю, что это было для вселенского блага. После всего этого удалил все, что было связано с гугл и больше этим г. пользоваться не намерен и всегда слежу, чтоб с какой нибудь прогой не поставилось это Г. и вам рекомендую.


Большинство пользователей ПК не обращает внимания на посещаемые сайты, страницы, открывающиеся автоматически, и некоторые неконтролируемые загрузки. Как правило, из-за вируса обычно не работает интернет, но бывают и другие проблемы. Необходимо очень внимательно и бережно относиться к своему компьютеру и тем более к сайтам, которые вы посещаете. Вредоносное ПО, загруженное на ваше оборудование с неизвестных сайтов, может стать причиной следующих неполадок системы:

  • плохое соединение с интернетом или его полное отсутствие;
  • возникновение сбоев в работе роутера и/или модема;
  • загрузка большего количества вредоносных файлов и вывод из строя всей системы;
  • медленная работа компьютера.

Особо тщательно проверяйте расширение каждого загруженного файла. Расширение – это несколько букв, стоящих после точки в наименовании документа (например, doc, apk, exe и т. д.). Заметили на своем компьютере незнакомый документ с расширением EXE? Постарайтесь как можно скорее избавиться от него и провести полное сканирование системы антивирусной программой.

После такой операции вы будете видеть все, что запускаете и скачиваете. Видимое расширение позволит контролировать все данные на ПК и сохранять безопасность компьютера.

Что делать, если интернет не работает

Когда у вас пропал интернет, убедитесь, что это не связано с неполадками роутера или проблемами у провайдера. Для этого проверьте свечение нужных лампочек на маршрутизаторе и попробуйте подключить к сети еще одно любое устройство. Если доступ к сети предоставляется на других приборах – проблема связана с вашим компьютером. Необходимо проверить возможность подключения в настройках ПК. Если вы видите информацию о возможности соединения с интернетом, но на деле его нет – скорее всего, интернет не работает после вируса, загруженного на устройство. Для того чтобы найти и обезвредить вирус, выполните следующие действия:

Если данные манипуляции не помогли вернуть доступ к интернету, обратитесь к профессиональному программисту или попробуйте выполнить поиск вирусов при помощи WinPE_uVS _recSys или Win7PE_uVS.


Немногие пользователи знают, что вирусные и троянские программы способны значительно ухудшить скорость интернет-соединения. Состояние вашего ПК напрямую влияет на производительность интернета. Вредоносное ПО достаточно часто вызывает неприятные последствия, такие как:

  • полное отсутствие подключения к интернету;
  • блокировка некоторых сайтов и браузеров;
  • ухудшение производительности;
  • загрузка неопределенных приложений или страниц из сети.

На скорость интернет-соединения могут влиять и дополнительные факторы: свободное место на ПК, состояние жесткого диска и открытые программы. Наиболее часто скорость подключения снижается из-за шпионских приложений и различных вирусов, присутствующих на приборе. Программы-шпионы могут вмешиваться в работу браузера, монополизировать действующие подключения и, соответственно, замедлять систему. Они постоянно контролируют трафик, снижая скорость передачи данных нажатием клавиш. Кроме этого, если на вашем ПК запущено одновременно несколько вредоносных ПО, возможна полная потеря соединения с серьезными последствиями. Постоянный контроль состояния системы и устранение появляющихся неполадок помогут избежать неприятных поломок в дальнейшем.

  • быстрого распространения заражения в системе;
  • перебоев работы интернета;
  • сбоев в некоторых программах;
  • блокировки сайтов и браузеров;
  • проблем в системе вашего ПК.

Установите на прибор антивирус, чтобы избежать максимального заражения и дальнейших сбоев в работе.

Что делать при обнаружении вируса

Если вы заметили одну из описанных выше проблем на своем оборудовании – обратитесь за помощью к специалисту. Вы можете самостоятельно установить антивирус и провести полное сканирование системы, но для удаления всех компонентов вирусного ПО необходима помощь опытного программиста. Решив самостоятельно избавиться от вредоносных файлов и стабилизировать работу системы, обязательно соблюдайте следующие правила:

  1. Не лечите и не удаляйте вирусы без консультации специалиста. Вы можете переместить опасный файл в карантин антивируса и проконсультироваться с программистом перед проведением дальнейших действий.
  2. Не выполняйте переустановку системы.
  3. Используйте для расшифровки исключительно дешифраторы, предлагаемые официальными компаниями. Ни в коем случае не проводите изменение расширения вредоносных файлов.
  4. Не проводите очистку данных в папке временных загрузок и истории используемого вами браузера.

Следование этим простым инструкциям поможет обезопасить систему компьютера и избавиться от присутствующих на нем заражений. Помните, что слабый интернет может быть вызван не только шпионскими, троянскими и вирусными приложениями, а еще и состоянием памяти, жесткого диска и прочих компонентов компьютера. Кроме этого, убедитесь, что ваш провайдер подает вам нужную скорость передачи данных, а роутер работает правильно.

Статья расскажет о способах разбора и детектирования вредоносного сетевого взаимодействия в сети. Информация предоставляется для ознакомления. Здесь будут рассмотрены основные инструменты для анализа сетевого трафика и рассмотрены источники примеров для практики.

Анализ сетевого взаимодействия

Что в большинстве случаев генерирует в сети вредоносное программное обеспечение:

отчет о инфицировании системы;

собранные в системе учетные данные;

принимаемые команды от управляющего сервера;

загружаемые модули обновления вредоноса;

сетевой трафик, который используется для атак DDoS

Для обнаружения вредоносного сетевого взаимодействия нужно:

Иметь возможность записывать фрагменты сетевого взаимодействия;

Знать основные шаблоны передачи зловредами данных по сети и способы сокрытия информации в сетевом взаимодействии.

Первый пункт решить достаточно просто с помощью снифферов типа WireShark или tcpdump . Второй пункт решается для начинающих аналитиков только большим количеством проанализированных фрагментов трафиков. Где найти такие фрагменты?

Готовые наборы вредоносного сетевого взаимодействия можно найти просто загуглив "malicious pcap". Неплохая подборка есть вот здесь. На первых порах лучше использовать этот трафик для понимания, как именно зловредное программное обеспечение может передавать информацию по сети. На ресурсе можно также обнаружить раздел с записанными сетевыми взаимодействиями, которые были созданы для того, чтобы научиться исследовать трафик. Попробуем проанализировать записанный трафик вредоносного программного обеспечения.

ВНИМАНИЕ: Никакие файлы и команды, найденные в записанном сетевом взаимодействии, нельзя запускать на вашей рабочей машине — анализировать эти данные нужно в виртуальной машине.

Выбранный файл сетевого взаимодействия представляет собой сетевую активность вредоносного программного обеспечения Trickbot. Так как мы не знаем, как построена сеть, где было записано сетевое взаимодействие, то выясним, какие машины вообще взаимодействуют в сети:


Всего 24 машины, достаточно много, попробуем выяснить, какие там используются протоколы:


По списку можно увидеть, что в сети используется операционная система Windows, работающая в инфраструктуре под управлением Windows AD. Поищем вредоносные сетевые взаимодействия. Обычно изучение начинается с просмотра количества информации, которая передается в рамках взаимодействия сетевых машин:


Интересным выглядит взаимодействие с ip адресом, который начинается с 149.28. Создадим фильтр:

В итоге видим такую картину:


Похоже, что на машине был открыт документ, который подгружает файл шаблона для документа MS Office. Далее находится обфусцированный скрипт на VBA:


Очевидно, что в записанное взаимодействие попал этап инфицирования ОС вредоносным программным обеспечением. Если взглянуть на вот такой фильтр:


Обнаруживаем, что сетевое взаимодействие зловреда также зашифровано. Что же делать? Ключей шифрования нет, прочесть информацию внутри пакетов не получится.

Анализ сетевого взаимодействия: сегодня и в будущем

Любые навыки анализа сетевого взаимодействия разбиваются об использование шифрования трафика. Современным стандартом шифрования в сети на прикладном уровне модели OSI является использование HTTP over TLS. Зачастую это "Game Over" любого анализа, если недоступны ключи шифрования. Как же поступить в этом случае?

Этим вопросом задаются достаточно давно. Были найдены общие подходы, которые в совокупности с контекстом сетевого взаимодействия (программное обеспечение хоста, роли машин в локальной сети) могут позволить обнаружить вредоносное сетевое взаимодействие даже без его расшифрования.

Любопытный проект можно найти здесь. Проект использует в качестве инструмента для анализа зашифрованных трафиков нейронные сети. Именно они могут позволить классифицировать преобразованные взаимодействия.

Классификация осуществляется на базе следующих данных:

длины передаваемых данных

временных таймаутов между отправкой данных

Заключение

Читайте также: