с помощью снифера cw пару дней назад обнаружил, что у меня периодически возникают странные сессии с одним из соседних компов, а именно - не чаще, чем раз в полчаса он инициирует TCP-сессию на один из моих портов, на которые он по "правилам" не может открывать сессии (т.е. все мои сканеры показывают, что эти порты у меня закрыты), причем все время он подключается к разным портам. Передача длится одну секунду, за это время отрабатывают две сессии, обе инициированы с его компа, например, сегодня,
8:49 утра 3369 – 2915, 3371 – 2916 (его порт – мой порт)
18:02 3483 – 1456, 3482 – 1457.
После 3-way handshaking (которое происходит на ура, что меня и поражает) его комп передает датаграмму, в поле данных которой находится вот что:
0x0036 30 00-00 00 00 00 0.....
мой комп на это отвечает пятью нулями, дальше идет обмен какими-то шифрованными данными, на подобие
0x0030 FA F0 EF 75 00 00 FF 08-00 2B 00 8F 26 8D 06 00 úðïu..ÿ..+.&..
0x0040 00 15 75 00 00 F2 F3 A3-14 C3 3A E4 80 AC 1E 0A ..u..òó£.Ã:ä€..
0x0050 48 01 15 75 00 00 86 05-8E 2F 50 00 00 00 03 00 H..u..†.Ž/P.....
0x0060 00 00 02 00 00 00 ......
причем, по двум сокетам идет практически одно и то же (незадолго до завершения сессии дублирование прекращается – пару последних пакетов разные)
после чего сессия завершается и подтелнетиться к этим моим портам у меня уже не получается совсем (syn – rst+ack)
вчера таких передач было около 8шт, позавчера, вроде, около 5, сегодня только две.
Ни в памяти машины, ни в реестре ничего необычного я не обнаружил.
Если это и кейлоггер, то, видимо, скидывает он только пароли, а не все подряд – я набивал кучу разной ерунды на клавиатуре, по объему трафика можно судить, что ничего из этого не ушло.
Если кто сталкивался с подобным зверем, подскажите что ЭТО и где можно о нем более детально почитать, поскольку я, вроде, перерыл все, что можно и без толку.
Как можно было внедрить ко мне эту ерунду тоже не понимаю - на мой комп блокирован доступ даже администратору домена и закрыты все шары (проверяли), никогда чужие ехе-шники и пр. у себя не запускал, винда XP со всеми патчами. То, что сел за мой комп и тупо что-то запустил исключается.
Вариант «набить лицо» просьба не предлагать, сначала очень хочется детально во всем разобраться самому.
|