Подозрительные события в Event Log: lQPxf2ISQgEV1bGK

Подозрительные события в Event Log: lQPxf2ISQgEV1bGK
В боге SANS опубликован интересный пост, сообщающий о необычной активности от удаленной системы с именем lQPxf2ISQgEV1bGK. События в журналах на различных системах сообщают об удачных и неудачных попытках аутентификации. Как правило, в случае удачной попытки, системе с именем lQPxf2ISQgEV1bGK предоставляются привилегии гостевой учетной записи.

Событие из event log на Windows 2003:
security: failure - 2009/04/16 10:32:10 - Security (529) - NT AUTHORITY_SYSTEM  "Logon Failure: Reason: Unknown user name or bad password User Name: Domain: WORKGROUP  Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation  Name: lQPxf2ISQgEV1bGK Caller User Name: - Caller Domain: - Caller Logon ID:  - Caller Process ID: - Transited Services: - Source Network Address: 192.168.163.101  Source Port: 0"

Событие с windows 2008
security: failure - 2009/04/16 10:31:44 - Microsoft-Windows-Security-Auditing (4625) - n/a  "The description for Event ID ( 4625 ) in Source ( Microsoft-Windows-Security-Auditing  ) cannot be found. The local computer may not have the necessary registry  information or message DLL files to display messages from a remote computer. You  may be able to use the /AUXSOURCE= flag to retrieve this description_ see Help  and Support for details.

Источником события могу быть как системы, подключенные к локальной сети, так и системы из Интернет. С первого взгляда причиной подобных событий является вредоносное ПО, и скорее всего это какой-то вариант червя Conficker. Если у кто-то наблюдал подобные события в своих журналах или знает их причину - не стесняйтесь отписать, буду весьма признателен :)
Security
Alt text
Комментарии для сайта Cackle

Валерий Марчук

Блог посвящен безопасности и жизни секлаба