AYUDA con "Malware" que realiza conexiones a UDP 135

Iniciado por Kithai, 21 Octubre 2016, 14:04 PM

0 Miembros y 2 Visitantes están viendo este tema.

Kithai

Saludos

Dentro de nuestra red corporativa, tenemos unos 20 PC's que estan solicitando constantemente conexiones a 2 IP's externas hacia el puerto 135 (UDP). Mediante el firewall evitamos dichas conexiones, pero despues de pasar antivirus y tal, las maquinas siguen realizando estas solicitudes.

Desgraciadamente no tengo acceso a la red para sniffar paquetes y ver que pasa, lo unico que tengo en mis manos son las 2 direcciones IP, una localizada en Alemania, y que,segun traceroute realiza saltos tan significativos como de EEUU a Frankfurt de un solo salto. Es esto posible?

Alguna idea de que podria ser? Alguna solucion especifica que no sea "pasale un antivirus o un antimalware"?

Gracias por adelantado!

engel lex

Citary que,segun traceroute realiza saltos tan significativos como de EEUU a Frankfurt de un solo salto. Es esto posible?

si, es internet...

el 135 está entre todo asociado a servicios de microsoft, comprobaste de que empresa o a quien le pertenecen las ip?

CitarAlguna solucion especifica que no sea "pasale un antivirus o un antimalware"?

ya que ni si quiera indicas sistema operativo, ni ningún detalle sobre el programa que aún no sabemos si es un virus realmente, poco más se puede indicar que lo que ya tu dijiste... o mejor aún formatea.... si quieres ayuda especifica da información especifica, no esperes que adivinemos
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Kithai

#2
Si, es internet, pero aun asi me parece un salto muy sobrado sin dispositivos de red de por medio que dejen rastro, ya sea mediante echo_reply o bloqueandolo.

Sobre las IP's, ya he comentado que solamente he localizado 1 y mientras escribo esto, tambien veo que tiene simplemente abiertos 80 y 443 tcp. Por lo demas, ni ningun dominio relacionado ni nada.... (hasta donde mis conocimientos alcanzan)

Sobre la red corporativa, no he comentado que son equipos Windows, los que utilizan diseñadores, gente de marketing y tal. No lo he mencionado pensando que era evidente, fallo mio.

En cuanto a informacion especifica para soluciones especificas, ya he comentado en el primer mensaje que SOLAMENTE dispongo de las 2 IP's, y SOLO SE que intentan realizar las mencionadas conexiones. Ni que programa los realiza ni nada, de ahi las comillas para Malware en el titulo del post.

Porque? Porque estoy de practicas, no dispongo de mas acceso que al departamento de sistemas, y los equipos en cuestion estan en otro segmento de red. Insisto, es de lo unico que dispongo, y solventarlo podria ser mi oportunidad de quedarme

Muchas gracias por tu tiempo

EDITO: Para especificar, aclaro que no tengo opcion alguna de pillar algun paquete debido a la arquitectura logica de la red

tincopasan

¿probaste bloqueando el acceso por medio del archivo hosts?

Arkangel_0x7C5

Cita de: Kithai en 21 Octubre 2016, 15:15 PM
Si, es internet, pero aun asi me parece un salto muy sobrado sin dispositivos de red de por medio que dejen rastro, ya sea mediante echo_reply o bloqueandolo.

Sobre las IP's, ya he comentado que solamente he localizado 1 y mientras escribo esto, tambien veo que tiene simplemente abiertos 80 y 443 tcp. Por lo demas, ni ningun dominio relacionado ni nada.... (hasta donde mis conocimientos alcanzan)

Sobre la red corporativa, no he comentado que son equipos Windows, los que utilizan diseñadores, gente de marketing y tal. No lo he mencionado pensando que era evidente, fallo mio.

En cuanto a informacion especifica para soluciones especificas, ya he comentado en el primer mensaje que SOLAMENTE dispongo de las 2 IP's, y SOLO SE que intentan realizar las mencionadas conexiones. Ni que programa los realiza ni nada, de ahi las comillas para Malware en el titulo del post.

Porque? Porque estoy de practicas, no dispongo de mas acceso que al departamento de sistemas, y los equipos en cuestion estan en otro segmento de red. Insisto, es de lo unico que dispongo, y solventarlo podria ser mi oportunidad de quedarme

Muchas gracias por tu tiempo

EDITO: Para especificar, aclaro que no tengo opcion alguna de pillar algun paquete debido a la arquitectura logica de la red
Y porque no te vas a esos departamentos con un portatil y te conectas un cable de red? haces pasar a tu equipo por el router y ya coges los paquetes y averiguas de que se trata. si puedes ponerte en uno de esos ordenadores y usar netstat puedes ver de que proceso se trata

Saludos Ark

Kithai

Saludos

Primeramente, gracias a todos por vuestro tiempo.

Como comentais los dos, usar el archivo hosts o pasearme con el portatil a sniffar, seria ideal la verdad...
Pero como comento, tengo acceso restringido, hay control de acceso hasta para entrar al baño, nadie de mis compañeros le daria acceso a uno que esta de practicas autorizacion para pasearse por ahi pinchandose en bocas a sniffar, simplemente por temor a que por cualquier tonteria, como reventar la tabla ARP, deje sin red por unos minutos algun departamento, provocando miles de euros en perdidas a a la empresa

Ahora mi objetivo es sacar toda la informacion que pueda sobre esas IP's.

De nuevo, gracias a todos!

engel lex

poco vas a lograr... de las ip poca información se tiende a sacar... si tienes suerte y sigue siendo la misma gente (no vaya a ser un servidor virtual y cambió de dueño) tienes que explotar algún servicio y realizar acciones ilegales para obtener información... que de poco te servirá mas que decir a tus jefes "mira, tengo al culpable, solo pasé 10 horas comentiendo actos criminales desde tu red interna, para dar con su nombre que de nada nos sirve" y si de algo sirve, igual no puedes presentar el caso a la policia porque vas tú preso y esa evidencia es invalida
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

[Arg] $triker;

#7
¡Pero que no tiene por qué serte tan difícil! Tan sólo andá a una de las computadoras, usá netstat u otro software de terceros como NetStumbler, Glasswire para identificar el proceso que hace estas conexiones y luego terminalo, buscá si tiene un servicio asignado con algo como Process Explorer para ver sus handles y los de svchost.exe para ver el servicio si es que tiene, usá los datos que te da para saber a qué accede, verificá la pureza del archivo hosts, dedicate un poquito a investigar para qué se usa el puerto 135, después ocupate de impedir que se vuelva a ejecutar neutralizando el servicio si tiene, o eliminando el active setup o la entrada en Run o en RunOnce en el registro, o Policies de Explorer en el registro, localizá el ejecutable con los datos que los setecientos millones de programas que probablemente ya tengas o puedas tener, después investigá el programa, comprobá su confiabilidad, eliminalo si no es confiable y junto con sus archivos de handles de archivos o sus entradas de registro, si no podés por razones de ACLs usá el modo seguro, ¡dudo que siquiera hayas usado el task manager de Windows!
Si ya sabés las IPs hacé Whois o Reverse DNS, con Nmap tratá de sacar más información, pero como ya te dijeron: desde las IPs no sólo se saca poca información si no que la que se saca no te serviría a vos... Si sabés todo sobre las IPs, ¿Qué vas a hacer con esos datos? ¿Hackearlos?

¡Vamos! ¡No des más vueltas!
8Noobs - Comunidad para todos y todas, sin importar sus conocimientos en informática.

--> Unirse a 8Noobs <--