Virus perigoso na rede

[mattana1875]

Então pessoal a três dias notei algo diferente em minha rede.

Diversos usuários estavam fazendo um upload TOTAL para um site, começei a achar estranho e dropei os acessos a esse site.

Depois de ter feito isso as velocidades com que o usuario infectado fazia as requisições para o tal site era extremamente absurdas, ao ponto de gerar um trafego de 2Mbps por usuário. Isso de requisições negadas.

Façam um teste no de vcs e veja se existe alguma conexão destinada a esse ip 174.37.113.219. Depois achem ele no torch.

A solução foi cortar o pppoe do cliente, e se for dhcp ou ip fixo, cortar o acesso do cliente na torre.
Assim aviso o usuário sobre a minha atitude e peço para ele procurar um assitente técnico em informática para remover o virus.

Q locura!

[byosni]

tive este virus na rede também. foi dificil de descobrir. apara quem usa mikrotik aplica esta regra que dá certo.... (bloqueando o ip que nosso amigo falou)

/ip firewall filter

add action=drop chain=forward comment="BLOQUEIO DE VIRUS" disabled=no dst-address=174.37.113.219 dst-port=0-65535 protocol=tcp


até mais...

[mattana1875]

se fizer essa regra vai piorar, ele vai fazer tantas requisisões possiveis, o mikrotik vai ficar dropando, mas o trafego até o mikrotik vai continuar.

um exemplo, dropei esse site, as requisisões para esse site mesmo que está sendo negado gera um trafego de quanto o micro do usuário conseguir processar. Veja a na regra do drop o traffic.

tenho um cliente conectado via ethernet que os pedidos negados geravam 8Mbps.

[byosni]

aqui na hora que bloquei o trafico ficou em menos de 2Kbits, porque so tinha um usuário na rede. mas vou continuar a monitorar....

se fizer essa regra vai piorar, ele vai fazer tantas requisisões possiveis, o mikrotik vai ficar dropando, mas o trafego até o mikrotik vai continuar.

um exemplo, dropei esse site, as requisisões para esse site mesmo que está sendo negado gera um trafego de quanto o micro do usuário conseguir processar. Veja a na regra do drop o traffic.

tenho um cliente conectado via ethernet que os pedidos negados geravam 8Mbps.

[sostenes]

aki tb tive problemas com esse virus,ate agora so 1 cliente foi infectado.gerava um trafego de ate 3M mesmo o usuario nao estando logado no hotspot,ele nem conseguia se logar pq aki so uso planos de 150k.
resolvi ir ate o cliente e formatar o pc!hehe ate agora resolvido por equanto...

[gzanatta00]

tivemos o problema aqui!

a regra do firewall nao resolveu

a solucao foi la e remover o virus

[Vander]

Boa noite... Como vejo isso no mk? para saber se tem algum cliente nessa condição (com o virus) ou não...?

[luizrfabri]

Tb ja tive esse problema aqui e não encontrei outra solução senão ir no cliente e resolver o problema da maquina dele, não adianta bloqeuar, dropar pacotes, nada vai resolver, o pc infectado vai continuar disparando as requisições, como melhorar isso? Coloca um AP no cliente configurado para fazer NAT e controla a banda nele, aí a lentidão se dará apenas no cliente, ja que o controle será feito lá, e com certeza ele vira rapidinho pedir assistencia, pois muito provavelmente ele não vai conseguir navegar.

[superxandaoce]

Amigo, esse tipo de coisa já aconteceu comigo ! é uma variacao do virus confinker, a melhor maneira mesmo é baixar na internet a remocao do confinker e passar no cliente.
Aqui no forum mesmo se procurarem pelo confinker, vao ver outras pessoas tentando arrumar um geito de barrar o desgracado, mais o bixo é ruim, saiu até uma matéria sobre ele na infor-exame e a microsoft da uma recompensa para quem der pistas sobre o pilantra que inventou, srsrsrs

[mattana1875]

Para verificar se tem algum usuário:

ip > firewall > connections
habilita o filtro, coloca em Dst. Address : 174.37.113.219

ou faz um torch.

Bloquear a porta não é a melhor opção, controlar a velocidade a esse ip seria terrivel no queue teria milhoes de pacotes dropados. A Ideia mesmo é retirar o usuário da rede e avisa-lo.

[superxandaoce]

Alguém mais descobriu alguma coisa sobre a praga ?