masterb
02-02-2008, 22:48
Ciao ragazzi, una persona mi ha chiesto di mettere mano al suo pc infestato di virus*. Dopo passate su passate di antivirus & co. di varie marche, e un numero di "threats" scovati sull'ordine dei 100, sembrava che la situazione fosse abbastanza sotto controllo.
Tuttavia anche con il pc idle non ho potuto fare a meno di notare attivitā di rete che mi ha fatto pensar male. I sospetti si sono rivelati fondati quando un "netstat -anb" mi ha mostrato una lunga serie di:
ip_locale:una_porta_a_caso ip_pubblico:dannata_porta_25!!
Quasi preso da malore** pensando allo spam*** che stavo inviando con il mio ip, ho pensato: ecco, ora mi basta scovare quel dannato services.exe e farlo sparire. La ricerca di services.exe su tutto il fs tree ha rivelato perō un solo file esistente:
c:\windows\system32\services.ese
Ho pensato ancora, sarā un services.exe modificato... Ma la scansione con uno di quei servizi online, ha riconosciuto l'md5sum del processo come noto.
Ho anche provato per scrupolo a fare uno strings sul file, ma non c'č traccia nč di ip nč di urls.
Ora, come č possibile? Di processo services.exe ce ne č solo uno, sia nel fs tree che in esecuzione, č forse comandato da qualcuno per inviare mails?
Qualcuno sā dirmi qualcosa? O mi rassegno a chiudere la porta 25 sul firewall?
----------
*: oltre a quello comunemente chiamato microsoft windows xp *a.
*a: lo so, non fa ridere, scusate...
**: malore tramutato ben presto in irrefrenabile voglia di creare subito una acl sul mio cisco per bloccare il traffico smtp dal pc infetto.
***: si, proprio spam, wireshark personalmente mi ha mostrato in tutto il loro splendore pacchetti contenenti messaggi su come allungare...la vita :D
Tuttavia anche con il pc idle non ho potuto fare a meno di notare attivitā di rete che mi ha fatto pensar male. I sospetti si sono rivelati fondati quando un "netstat -anb" mi ha mostrato una lunga serie di:
ip_locale:una_porta_a_caso ip_pubblico:dannata_porta_25!!
Quasi preso da malore** pensando allo spam*** che stavo inviando con il mio ip, ho pensato: ecco, ora mi basta scovare quel dannato services.exe e farlo sparire. La ricerca di services.exe su tutto il fs tree ha rivelato perō un solo file esistente:
c:\windows\system32\services.ese
Ho pensato ancora, sarā un services.exe modificato... Ma la scansione con uno di quei servizi online, ha riconosciuto l'md5sum del processo come noto.
Ho anche provato per scrupolo a fare uno strings sul file, ma non c'č traccia nč di ip nč di urls.
Ora, come č possibile? Di processo services.exe ce ne č solo uno, sia nel fs tree che in esecuzione, č forse comandato da qualcuno per inviare mails?
Qualcuno sā dirmi qualcosa? O mi rassegno a chiudere la porta 25 sul firewall?
----------
*: oltre a quello comunemente chiamato microsoft windows xp *a.
*a: lo so, non fa ridere, scusate...
**: malore tramutato ben presto in irrefrenabile voglia di creare subito una acl sul mio cisco per bloccare il traffico smtp dal pc infetto.
***: si, proprio spam, wireshark personalmente mi ha mostrato in tutto il loro splendore pacchetti contenenti messaggi su come allungare...la vita :D