[Comm] Детект вирусной активности в локальной сети

[Dmitry Lebkov]

On Thu, 10 Feb 2005 10:55:17 +0300
Anton Farygin <rider на altlinux.com> wrote:

> Всем привет.
> 
> Есть задача - детект вирусной активности на машинах под Windows.
> 
> При чем детектить нужно с отдельного юниксового тазика (ALT Linux).
> 
> При чем машины, на которых нужно определить наличие троянов - могут не 
> подозревать о том, что на них кто-то что-то определяет.
> 
> Тазик может быть роутером ;-)
> 
> Конечная задача - отключать к черту от сети каждую винду, зараженную 
> вирусом ;-)
> 
> Если кто-то что-то слышал о том, что такое реализуемо и есть для этого 
> готовые тулзы - просьба сообщить.

По-идее - любая IDS с соответствующими правилами и реакциями на правила.
snort из Сизифа наверняка сможет помочь. Останется только определить паттерны
"вирусной активности". Ну а скрипт, осуществляющий реакцию, зависит от метода,
которым зарашенные машины будут отключаться.

--
WBR, Dmitry Lebkov