Attacco di rete Lovesan

[cCUCAIO]

E' da un paio d'ore che il Kaspersky mi segna questo attacco al ritmo di un avviso ogni minuto circa....l'ip è sempre lo stesso (fastweb come il mio, ho tolto le ultime 3 cifre), ma di cosa si tratta, che è sto attacco Lovesan?? Premetto che ho fatto la scansione da qualche giorno ed il pc è pulito....corro rischi? Grazie a tutti! Ah, ho anche Outpost come firewall!

[andorra24]

Ma il tuo sistema operativo e' aggiornato? L'unico Lovesan che conosco e' il virus Blaster. http://virus.html.it/virus/cat_3/vir...(lovesan).html

[cCUCAIO]

Quote:

Originariamente inviato da andorra24

Ma il tuo sistema operativo e' aggiornato? L'unico Lovesan che conosco e' il virus Blaster. http://virus.html.it/virus/cat_3/vir...(lovesan).html

Aggiornatissimo, Xp pro con SP2 e tutte le patch applicate....

[andorra24]

Posta un log di hijackthis
Fai anche una scansione online con bitdefender:http://www.bitdefender.com/scan8/ie.html

[cCUCAIO]

Vanno avanti anche mentre scrivo....solo che ora l'ip è cambiato, è minore di uno...per esempio, se prima era con 200 finale adesso è con 199 finale, è diminuito di un numero...ma che cavolo è????

[cCUCAIO]

Logfile of HijackThis v1.99.1
Scan saved at 20.50.14, on 18/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programmi\Agnitum\Outpost Firewall\outpost.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Claudio\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRA~1\DAP\dapiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Browser Adjustment - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programmi\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0E64B286-F91C-442D-8B6D-0D78433AA93D} (BLZPlayerAxCtrl Class) - http://visualizzamms.net.vodafone.it...erActiveXs.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121356445123
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\Outpost Firewall\wl_hook.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\WRSSSDK.exe




questo è il log, la scansione la sto facendo ma ci mette un paio d'ore...

[andorra24]

Queste 2 voci se non le conosci puoi fixarle:
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
ti consiglierei anche di togliere Dap perche' contiene spyware.

Per quanto riguarda l'attacco lovesan devi sapere che prende di mira i punti vulnerabili del servizio DCOM RPC dei sistemi operativi Windows NT 4.0/NT 4.0 Terminal Services Edition/2000/XP/Server 2003. Una volta rilevata la vulnerabilità, il worm, costituito da un malware che consente al mittente di effettuare qualsiasi manipolazione, viene scaricato sul computer attaccato. Sei sicuro che non ti manchi qualche aggiornamento importante?

[cCUCAIO]

Fixerò le voci al più presto...anzi, disinstallo proprio musicmatch che è quanto ho visto è proprio un programma dannoso....riguardo agli aggiornamenti ho controllato anche ora, ho installato davvero tutto quanto, importanti e non....ma corro qualche rischio o sono protetto dall'antivirus e dal firewall? Cosa mi consigli di fare?

[wgator]

Ciao,

conoscendo (in grandi linee perchè nella mia zona non c'è) il funzionamento delle reti fastweb direi che il problema potrebbe essere insito nel firewall.

- il firewall di XP è attivato?
- nelle eccezioni del firewall cosa c'è di "consentito"?
- potresti provare a settare il FW di XP su "non consentire eccezioni" per vedere se lo fa ancora

Suppongo che quegli "attacchi" provenienti da altri utenti Fastweb non siano intenzionali. Immagino che si tratti di qualche poveretto infettato da blaster (ce ne sono ancora?) che ora funge da "untore"

[andorra24]

Quote:

Originariamente inviato da cCUCAIO

Fixerò le voci al più presto...anzi, disinstallo proprio musicmatch che è quanto ho visto è proprio un programma dannoso....riguardo agli aggiornamenti ho controllato anche ora, ho installato davvero tutto quanto, importanti e non....ma corro qualche rischio o sono protetto dall'antivirus e dal firewall? Cosa mi consigli di fare?

Disinstalla musicmatch e togli anche DAP che contiene spyware. Leggiti il link che ti ho dato sopra che parla di lovesan: http://virus.html.it/virus/cat_3/vir...(lovesan).html
Per sicurezza lancia il fix di rimozione di blaster: http://securityresponse.symantec.com...r/FixBlast.exe

[andorra24]

Quote:

Originariamente inviato da wgator

- il firewall di XP è attivato?
- nelle eccezioni del firewall cosa c'è di "consentito"?
- potresti provare a settare il FW di XP su "non consentire eccezioni" per vedere se lo fa ancora

Ha detto di usare outpost come firewall.

[cCUCAIO]

Quote:

Originariamente inviato da wgator

Ciao,

conoscendo (in grandi linee perchè nella mia zona non c'è) il funzionamento delle reti fastweb direi che il problema potrebbe essere insito nel firewall.

- il firewall di XP è attivato?
- nelle eccezioni del firewall cosa c'è di "consentito"?
- potresti provare a settare il FW di XP su "non consentire eccezioni" per vedere se lo fa ancora

Suppongo che quegli "attacchi" provenienti da altri utenti Fastweb non siano intenzionali. Immagino che si tratti di qualche poveretto infettato da blaster (ce ne sono ancora?) che ora funge da "untore"

Ciao, ti rispondo subito dicendoti che il firewall di XP è disattivato, uso Outpost Firewall che penso basti e avanzi, le uniche eccezioni consentite sono per i programmi che uso (msn, emule, aggiornamento dell'antivirus ed altri, cmq tutti conosciuti)...Riguardo agli "untori" avevo pensato anche io ad una cosa simile, però prima di oggi non mi era mai uscito quest'avviso, e cmq viene da due ip diversi,seppur di poco (la cifra finale) ma diversi.....boh.....!

[wgator]

scusatemi... non avevo letto di Outpost.

In ogni caso resta la mia convinzione. Forse c'è qualche porta (netbios 135, 4444 o non ricordo bene quali altre) che per qualche motivo è stata aperta. Da quella porta "entra" il tentato attacco Lovesan che viene prontamente intercettato dal Kasper. In sistemi Fastweb capita spesso. Gli utenti FW sono collegati tra loro come in una LAN classica.

[andorra24]

Se le scansioni dicono che il tuo pc e' pulito, se hai outpost ben settato e il kaspersky e se hai detto di avere il sistema operativo aggiornato non dovresti avere problemi. Dai un'occhiata a questo link che parla delle porte utilizzate dal worm: http://web.opzione.com/modules.php?o...article&sid=28

[wgator]

Quote:

Originariamente inviato da andorra24

http://web.opzione.com/modules.php?o...article&sid=28

mi meraviglio della mia memoria, normalmente è bucherellata come un formaggio svizzero le porte me le sono ricordate giuste

[andorra24]

Quote:

Originariamente inviato da wgator

mi meraviglio della mia memoria, normalmente è bucherellata come un formaggio svizzero le porte me le sono ricordate giuste

Eh si...

[cCUCAIO]

Pc pulito, scansioni terminate senza trovare nulla, ho letto i vostri link, ho cercato manualmente i file ma nn ho trovato nulla...boh, meglio così! Gli attacchi sembrerebbero terminati ora, vi farò sapere eventuali novità....grazie ancora!

[kuoppamaki]

ciao,se posso esserti d'aiuto anche io uso sul mio pc di casa kaspersky e per moltissimo tempo come te mi e' comparsa la schermata di attacco di lovesan..all'inizio,anche se l'avviso di kaspersky mi diceva che lo bloccava,mi preoccupavo anche io e non sapevo perche' venivo attaccato in continuazione..avevo xp con sp2 aggiornato e norton firewall attivo,anch'egli aggiornatissimo..poi,postando il problema qui sul forum mi hanno avvisato che la versione di kaspersky che usavo aveva un firewall integrato che poteva causare conflitti con il norton e mi consigliavano di disabilitare la funzione "protection against network attack" e da allora gli avvisi che si ripetevano al ritmo di 20/30 al giorno sono spariti..non so se il problema fosse il conflitto..ma credo di averlo risolto facendo questa piccola modifica,dato che da quel giorno in poi ho fatto centinaia di scansioni(anche online) e non ho mai subito attacchi o infezioni da lovesan..ciao,prova a fare cosi'..male non farai..ciao

[juninho85]

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)

rimuovi questi,ma comunque sia non dovresti risolvere il problema in questo modo,disinstalla dap in quanto portatore di malware

[glamo]

ciao

avendo lo stesso problema mi chiedevo se si era riusciti a capire come eliminare questo messaggio e la relativa minaccia....anche se onestamente ho fatto di tutto ma nn credo prorpio di aver il blaster nel pc...pero nn so spiegarmi questo mess. (uso anche io kasperky av)