raceman
11-04-2006, 20:23
Come già noto nod32 e qualche altri av (test con virustotal) rileva la patch in oggetto come un trojan w32.evid....etc
La patch permette di modificare il limite delle connessioni massime (dieci) per porta in attesa (halfopen) impostate nello stack TCP che causa rallentamenti nei programmi P2P e riconoscibile dall'errore nel registro eventi EventID 4226. Questo limite è stato introdotto con il sp2 di xp.
La scoperta che ho fatto e che spero possa tornare utile è che il nod32 rileva solo la versione in inglese come trojan, mentre quella in tedesco è pulita.
Mi rendo conto che per chi non conosce il programmino, e soprattutto il tedesco :D , la versione in germanico è molto ostica, ma per chi si è già cimentato con la versione in inglese, non dovrebbe incontrare difficoltà. ;)
Per finire ho segnalato come false positive la cosa, ma in pratica non mi hanno filato neanche di striscio. Se vogliamo non è neanche sbagliato visto quello che fa l'eseguibile in questione, ovvero modificare un file di sistema.
E allora se il nod vuole la guerra..... :D
La patch permette di modificare il limite delle connessioni massime (dieci) per porta in attesa (halfopen) impostate nello stack TCP che causa rallentamenti nei programmi P2P e riconoscibile dall'errore nel registro eventi EventID 4226. Questo limite è stato introdotto con il sp2 di xp.
La scoperta che ho fatto e che spero possa tornare utile è che il nod32 rileva solo la versione in inglese come trojan, mentre quella in tedesco è pulita.
Mi rendo conto che per chi non conosce il programmino, e soprattutto il tedesco :D , la versione in germanico è molto ostica, ma per chi si è già cimentato con la versione in inglese, non dovrebbe incontrare difficoltà. ;)
Per finire ho segnalato come false positive la cosa, ma in pratica non mi hanno filato neanche di striscio. Se vogliamo non è neanche sbagliato visto quello che fa l'eseguibile in questione, ovvero modificare un file di sistema.
E allora se il nod vuole la guerra..... :D