Подозрительные события в Event Log: lQPxf2ISQgEV1bGK

17 апреля, 2009

Security

В боге SANS опубликован интересный пост, сообщающий о необычной активности от удаленной системы с именем lQPxf2ISQgEV1bGK. События в журналах на различных системах сообщают об удачных и неудачных попытках аутентификации. Как правило, в случае удачной попытки, системе с именем lQPxf2ISQgEV1bGK предоставляются привилегии гостевой учетной записи.

Событие из event log на Windows 2003:

security: failure - 2009/04/16 10:32:10 - Security (529) - NT AUTHORITY_SYSTEM "Logon Failure: Reason: Unknown user name or bad password User Name: Domain: WORKGROUP Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: lQPxf2ISQgEV1bGK Caller User Name: - Caller Domain: - Caller Logon ID: - Caller Process ID: - Transited Services: - Source Network Address: 192.168.163.101 Source Port: 0"

Событие с windows 2008

security: failure - 2009/04/16 10:31:44 - Microsoft-Windows-Security-Auditing (4625) - n/a "The description for Event ID ( 4625 ) in Source ( Microsoft-Windows-Security-Auditing ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. You may be able to use the /AUXSOURCE= flag to retrieve this description_ see Help and Support for details.

Источником события могу быть как системы, подключенные к локальной сети, так и системы из Интернет. С первого взгляда причиной подобных событий является вредоносное ПО, и скорее всего это какой-то вариант червя Conficker. Если у кто-то наблюдал подобные события в своих журналах или знает их причину - не стесняйтесь отписать, буду весьма признателен :)

Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь

Подозрительные события в Event Log: lQPxf2ISQgEV1bGK

Валерий Марчук

Блог посвящен безопасности и жизни секлаба

Подозрительные события в Event Log: lQPxf2ISQgEV1bGK

Валерий Марчук

Блог посвящен безопасности и жизни секлаба

Подпишитесь на email рассылку