Самопроизвольное добавление маршрутов в WinXp

Question

[Ivan Komarov]

Имеется машина с WinXp SP3.
Замечено самопроизвольное добавление маршрутов.
Замечена зависимость — при открытии в браузере (Opera/Firefox/Chrome) определенных сайтов (например twitter, google) происходит гарантированное добавление маршрутов.

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.77.0.1 10.77.0.77 1
10.77.0.0 255.255.255.0 10.77.0.77 10.77.0.77 10
10.77.0.77 255.255.255.255 127.0.0.1 127.0.0.1 10
10.255.255.255 255.255.255.255 10.77.0.77 10.77.0.77 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
173.194.69.101 255.255.255.255 10.77.0.1 10.77.0.77 1
173.194.69.113 255.255.255.255 10.77.0.1 10.77.0.77 1
173.194.69.138 255.255.255.255 10.77.0.1 10.77.0.77 1
209.85.173.104 255.255.255.255 10.77.0.1 10.77.0.77 1
224.0.0.0 240.0.0.0 10.77.0.77 10.77.0.77 10
255.255.255.255 255.255.255.255 10.77.0.77 10.77.0.77 1
Основной шлюз: 10.77.0.1
Постоянные маршруты:
Отсутствует

(Левые маршруты оформлены ссылкой)

Подозреваю, что это остался хвост от какого-то трояна или вируса.
Система проверена Avast, Microsoft essentials, Advanced SystemCare — все они говорят, что нет ничего подозрительного.

sfc /scannow — тоже выполнено

Маршруты добавляются не с помощью route.exe — я сделал заглушку, которая вместо установки писала в лог. Вызовов нет.
Что еще можно сделать?

P.S.
подозреваю, что маршруты добавляются вызовом CreateIpForwardEntry (которая в iphlpapi.dll). Можно ли с помощью какого-либо монитора отследить, какая dll/exe/sys дергает эту функцию?

Answer 1

[Андрей]

Очень похоже на так называемые ICMP Redirects — их сообщает Вашей машине ближайший роутер, либо man-in-the-middle, находящийся в Вашей сети.

Для отключения Google советует
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect=0
сам не пробовал.

Comments

[Ivan Komarov]

Спасибо огромное, похоже вы правы. Способ с правкой реестра не помог, но я поснифферил пакеты, и да — при обращении к тому же гуглю от роутера приходит ICMP пакет.

[Ivan Komarov]

К сожалению, пока не могу убедится в этом. В реестре ключ отключил. На роутере (dd-wrt) выполнил:

echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects
echo "0" > /proc/sys/net/ipv4/conf/lo/send_redirects
echo "0" > /proc/sys/net/ipv4/conf/eth0/send_redirects
echo "0" > /proc/sys/net/ipv4/conf/ath0/send_redirects
echo "0" > /proc/sys/net/ipv4/conf/ath1/send_redirects
echo "0" > /proc/sys/net/ipv4/conf/default/send_redirects

но всё по прежнему. Странно…

Answer 2

[chmv]

А еще таблица роутинга может приходить по DHCP, но это должно было произойти в момент получения IP адреса, а не в когда Вы на сайт пошли.

Еще таблицу роутинга можно менять через RIP Listener (дополнительно устанавливаемый стандартный компонент в WinXP). Проверьте, не установлен ли он. Control Panel -> Add or Remove Programs -> Add/Remove Windows Components -> Networking Services -> RIP Listener. К сожалению, не знаю, как это в русской Windows XP.

P.S. Обе эти технологии могут использоваться провайдером для настройки клиентских компьютеров. На моей практике, один из провайдеров использовал обе технологии, в конце-концов остановившись на первой, как самой практичной.

Comments

[Ivan Komarov]

Спасибо за дополнительную информацию. служба lprip в win xp pro не входит в комплект win xp pro/home. У меня её нет. В любом случае думаю, это все же ICMP redirect, что подверждается сниффером. Но отключить так и не смог. По всё видимости тут два бага. Один в моей версии dd-wrt, другой в win xp :)