Кто он этот TCP 1034 ?!
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Кто он этот TCP 1034 ?! - 2007-02-23 19:36:04.600000
|
|
|
pc_Drozd
Сообщений: 21
Оценки: 0
Присоединился: 2006-11-27 11:39:15.090000
|
После проверки сових сервисов на машине я обнаружил открытый, порт ранее мною не лицезревшийся - 1034 протокола TCP - XSpider обозначил его как Unknown (неизвестный:@), пробив google я узнал что это может быть аЙкий троян въевшийся в system32\services.exe имеющий роль ТРойна - шпиона высылающего куки и все вводящиеся мною пароли, с другой стороны я отрыл что это может быть DNS клиент … но если это он то тогда почему XSpider его не распознал?! Странно не правда ли… Вот тут я сметаюсь - симантек говорит что всё в ажуре но моя душа не сопокояна - закрывать этот порт или нет?! (закрывать я собирал с помошью regedit - выставлеия значений клучкй порта - False ) Имхо помогите, буду благодарен любой инфе! 8|
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-02-24 00:18:36.090000
|
|
|
Kobot
Сообщений: 19
Оценки: 0
Присоединился: 2007-02-19 16:42:07.773333
|
Из текстовухи по всем портам нашел вот это: 1034-1035 Unassigned кажись если перевести, то он не используеться , значит или троян или еще чегото, тут уж тебе надо решать. Можно прикрыть и посмотреть измениться ли в чем работа. Если где то что то перестанеть работать, то может и ДНС клиент если это конечно к нему относиться, а так наверное и вправду троян возможно.
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-02-24 00:18:46.810000
|
|
|
Cyber Tank
Сообщений: 74
Оценки: 0
Присоединился: 2007-02-23 23:51:19.050000
|
1) Закрой и посмотри - всё работает - значит и не надо тебе этот 1034. 2) Семантек конечно кул, а ты возьми и ещё чем проскань - тем же нодом, или каспером. 3) Поставь ZoneAlarm - если не стоит: Если это трой - то захочет вылезти в сеть - тут то ты его и отфигачешь.;)
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-02-24 11:41:54.426666
|
|
|
pc_Drozd
Сообщений: 21
Оценки: 0
Присоединился: 2006-11-27 11:39:15.090000
|
Просто меня следующее смутило, взято с вируслист.ком Email-Worm.Win32.Mydoom.m Другие версии: .a, .aa, .ab, .ae, .b, .d, .e, .g, .l, .n, .q, .r, .s, .t, .u, .v, .y Другие названия Email-Worm.Win32.Mydoom.m («Лаборатория Касперского») также известен как: I-Worm.Mydoom.m («Лаборатория Касперского»), W32/Mydoom.o@MM (McAfee), W32.Mydoom.M@mm (Symantec), Win32.HLLM.MyDoom.54464 (Doctor Web), W32/MyDoom-O (Sophos), Win32/Mydoom.O@mm (RAV), WORM_MYDOOM.M (Trend Micro), Worm/Mydoom.M (H+BEDV), W32/Mydoom.O@mm (FRISK), Win32:Mydoom-M (ALWIL), I-Worm/Mydoom.O (Grisoft), Win32.Mydoom.M@mm (SOFTWIN), Worm.Mydoom.M (ClamAV), W32/Mydoom.N.worm (Panda), Win32/Mydoom.R (Eset) Описание опубликовано 26 июл 2004 Поведение Email-Worm, почтовый червь Технические детали Интернет-червь, распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 27 КБ, упакован UPX. Размер распакованного файла - около 50 КБ. Червь активизируется, только если пользователь запустит зараженный файл (при двойном щелчке на вложении). В некоторых случаях потребуется предварительно открыть ZIP-архив, в котором содержится файл червя. Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе backdoor-функцию. Часть тела вируса зашифрована. Инсталляция При инсталляции червь копирует себя с именем "java.exe" в корневой каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "JavaVM"="%windir%\java.exe" Червь создает в корневом каталоге Windows файл "services.exe" (8192 байт), являющийся вспомогательным компонентом, и также регистрирует его в системном реестре: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "Services"="%windir%\services.exe" Рассылка писем Червь ищет на компьютеры в файлах адреса электронной почты и рассылает себя на найденные, используя для рассылки прямое подключение к SMTP-серверу получателя. Также для сбора адресов для рассылки червь использует интересный механизм запросов к следующим поисковым системам: Altavista Google Lycos Yahoo Червь получает адреса электронной почты из ответов данных поисковых серверов. Содержимое зараженных писем Отправитель: Произвольный или же выбирается из следующего списка: Automatic Email Delivery Software Bounced mail Mail Administrator Mail Delivery Subsystem MAILER-DAEMON Post Office Returned mail The Post Office Тема письма: Выбирается из следующего списка: {{The|Your} m|M}essage could not be delivered delivery failed Delivery reports about your e-mail error hello Hi instruction Mail System Error - Returned Mail Message could not be delivered Message could not be delivered report Returned mail: Data format error Returned mail: see transcript for details status test Текст письма: Выбирается произвольно из списка, приведен с переменными, которые принимают значения, соответствующие данным получателя письма: [blockquote]Dear user {$t|of $T},{ {{M|m}ail {system|server} administrator|administration} of $T would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||} {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during { this|the {last|recent}} week. {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server. {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe. {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day}, {$T {user |technical |}support team.|The $T {support |}team.} {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}: Your message {was not|could not be} delivered because the destination {computer|server} was {not |un}reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Your message {was not|could not be} delivered within $D days: {{{Mail s|S}erver}|Host} $i is not responding. The following recipients {did|could} not receive this message: <$t> Please reply to postmaster@{$F|$T} if you feel this message to be in error. The original message was received at $w{ | }from {$F [$i]|{$i|[$i]}} —– The following addresses had permanent fatal errors —– {<$t>|$t} {—– Transcript of {the ||}session follows —– … while talking to {host |{mail |}server ||||}{$T.|$i}: {>>> MAIL F{rom|ROM}:$f <<< 50$d {$f… |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <$t>.. . {Mail quota exceeded|Message is too large} 554 <$t>… Service unavailable|550 5.1.2 <$t>… Host unknown (Name server: host not found)|554 {5. 0.0 |}Service unavailable; [$i] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|} Session aborted{, reason: lost connection|}|>>> RCPT To:<$t> <<< 550 {MAILBOX NOT FOUND|5.1.1 <$t>… {User unknown|Invalid recipient|Not known here}}|>>> DATA {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded|}<<< 400}|} The original message was included as attachment {{The|Your} m|M}essage could not be delivered [/blockquote] Имя вложения: Имя файла произвольное. Расширение файла выбирается из списка: bat cmd com exe doc pif scr Также червь может находиться внутри ZIP-архива. Прочее Червь открывает на зараженной системе порт TCP 1034 для приема удаленных команд.
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-02-24 11:58:38.213333
|
|
|
pc_Drozd
Сообщений: 21
Оценки: 0
Присоединился: 2006-11-27 11:39:15.090000
|
А с другой чтороны я нашёл Что нам стоит DNS построить DNS реализуются в соответствии с единым стандартом, основы которого изложены в RFC 1011,1034 и 1035. В Windows Server 2003 процесс развертывания и управления DNS сделан проще, чем в предыдущих версиях операционных систем, благодаря мастерам настройки ролей сервера. В Windows Server 2003 добавлены и новые функции управления Active Directory, которая может быть интегрирована с DNS воедино, При создании контроллера домена, то есть сервера, управляющего работой Active Directory, мастер предлагает создать и настроить DNS-сервер. Для этого достаточно в настройках отметить пункт «Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server». В этом случае запускается DNS-сервер и создается зона, одноименная с вашим доменом. Для имени домена лучше использовать два слова, разделенных точкой (вида гпу-domen.ru). Технически возможно включить компьютеры вашей сети и в домен верхнего уровня, но Microsoft не рекомендует использовать для домена имя, состоящее из одного слова, так как в этом случае возникают сложности с организацией пересылки запросов (forwarding) и динамических обновлений. На маза в чём - мне фаервол ставить без мазы - на серверах будет не стабильный PING…..
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-02-24 13:15:16.400000
|
|
|
T
Сообщений: 1100
Оценки: 0
Присоединился: 2006-01-14 00:15:36
|
Та забивай этот порт нафиг !!! И расслабся… траблу нашол… А файр лучше поставь…
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-02-24 13:27:54.280000
|
|
|
pc_Drozd
Сообщений: 21
Оценки: 0
Присоединился: 2006-11-27 11:39:15.090000
|
Имхо ктечтка данных мне не нужна - тебе так просто сказать, да закрой ты этот порт… умный самый? Через реестр я его не могу закрыть, фаер мне с CS накладно, пинг будет большим. Думаешь бэкдор так оегко вывести? Все антивипи его не видят…. чувствую фаер надо ставить… :)
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-02-25 16:40:39.450000
|
|
|
Gan
Сообщений: 64
Оценки: 0
Присоединился: 2006-11-29 18:23:23.826666
|
DNS в любом случае работает по 53 порту, но не по 1034-тому. RFC 1011,1034 и 1035 - это стандарты, а не порты.
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-02-27 19:39:51.013333
|
|
|
EXE
Сообщений: 1389
Оценки: 0
Присоединился: 2006-10-11 00:28:50.813333
|
Один порт открывает это фигня! Видель такое что и не снилось, хз чё за вирь и где он и как он прописался на машине, Nod 32 нихрена не помог, хотя нет вру помог вычестил 15 копий какой то заразы! Но как бы особого облегчение это не дало! Это дерьмо открывала на машине каждые несколько секунд новый порт по порядку то есть если допустим был 1235 то через секунду был уже 1236! И пересылала что то в инет! Сначала перекрыли ей кислород Outpostom! Но так и не нашли источника проблем…. Потом помогла переустановка винды!
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-03-02 18:40:02.083333
|
|
|
pc_Drozd
Сообщений: 21
Оценки: 0
Присоединился: 2006-11-27 11:39:15.090000
|
Класная хохма =) Напоминает DDoS атаку на TCP порты, только там расходуется время процессора за счёт открытия портов от 1 до 65535 и комп виснет в Dawn …. а тут трой какой то …. да такого я ещё не видел и не слышал - надеюсь не увижу ;)
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-03-02 18:45:32.036666
|
|
|
pc_Drozd
Сообщений: 21
Оценки: 0
Присоединился: 2006-11-27 11:39:15.090000
|
А вообще хочу посоветовать Traffic Inspector - с успехом блочит любые порты, ибо - нашёл трояна? не смог вывести? он не backdoor и не рандомит порты? Просто блоканите активность порта! (В Traffic Inspector возможен интерактивный просмотр соответствия процесс->локальный порт )
|
|
|
RE: Кто он этот TCP 1034 ?! - 2007-03-17 23:34:24.310000
|
|
|
BlinoK
Сообщений: 196
Оценки: 0
Присоединился: 2007-01-04 00:50:19.480000
|
У меня Tweak XP показывает что это дрова, то есть CLI X:\Program Files\Ati Technologies\ATI.ICE\cli.exe p.s. Это локальный порт
|
|
|
|
|