MarcoFLY
23-07-2010, 01:20
Salve a tutti
Stammattina accedendo al mio pc ho trovato questa sgradita sorpresa
Voglio solo Premettere che utilizzo settimanalmente svariati tools di protezione e sicurezza (quotidianamente aggiornati) tra i quali cito :
Avast 5
adaware
Malwarebytes antimalware
combofix
Eusing free registri cleaner
Ccleaner
Spybot - Search & Destroy
saltuariamente attivo la suite Comodo
Il mio pc è perennemente operativo , lo spengo solo per qualche riavvio necessario, ed è sempre connesso ad internet.
Ho 1 solo account (oltre Administrators ,con password,dal quale non mi sono mai loggato e che normalmente non compare al login) attivo, il mio protetto da nome utente e password.
Premesso ciò vengo al dunqe :
Stamane accendendo il monitor mi trovo la schermata di login con presenti 2 account attivi
Il mio solito e quello administrator.
Curioso di sapere che cosa ci facesse l'account administrator attivo vi accedo.
Riesco solo a visualizzare una schermata del Cmd attiva dalla quale si evince che un' ip esterno si è loggato sulla mia postazione da remoto accedendo come amministratore.
il pc non rispondeva a nessun comando digitato e non era possibille avviare nessun software pertanto ho effettuato una foto completa di ciò che vedevo a monitor :
http://h.imagehost.org/t/0285/DSCN0037.jpg (http://h.imagehost.org/view/0285/DSCN0037)
Da questa schermata ho dedotto che qualcuno si è loggato nel mio pc con i pribilegi di amministratore,
lo stesso con il comando md ha cercato di creare nella cartell c:\windows (%windir%) una nuova cartella chiamata conh
Cartella che tra l'altro è gia presente .
Con il comando Net stop MPSSVC deduco abbia tentato di disabilitare il firewall di windows , servizio che non ho attivo , come da risposta nel file.
L'intruso dopo aver cercato di disabilitare il firewall ha iniziato a dare comandi ftp
nello specifico il comando ftp -n ( del quale non conosco ancora il significato)
Fatto questo si è collegato come user anonimo a questo indirizzo ip in modalità ftp :
95.211.131.155
Effettuando un whois su questo ip risulta risiedere ad Amsterdam :
Nome host Sconosciuto
Provider LEEWEB
Continente Europa
Bandiera NL
Nazione Olanda
Codice ISO NL (NLD)
Regione Noord-Holland
Ora locale* 23 Jul 2010 00:14
Città Amsterdam
Indirizzo IP 95.211.131.155
Latitudine 52.35
Longitudine 4.9167
Fatto questo sul mio pc da quell' ip nella cartella conh situata nella directory c:\windows sono stati scaricati dall ip alla mia cartella 2 o 3 file cosi chiamati :
redirect.exe
conhost.exe
dwm.exe
Fatto questo l'intruso ha chiuso la connessione ed è comparsa la scritta GoodBye!!
Mi sono connesso tramite il mio FlashFxp come utente anonimo
all' IP incriminato riuscendo ad avere accesso e visualizzando questa schermata:
http://a.imagehost.org/t/0586/Cattura.jpg (http://a.imagehost.org/view/0586/Cattura)
Nella cartella soft non ho potuto accedere ma ho preso visione degli altri 2 file :
conhost.exe_1
dwm.exe
che mi sono scaricato sul mio pc e che risultano essere dei malware.
Questo è il log della mia connessione FTP
WinSock 2.0 -- OpenSSL 0.9.8i 15 Sep 2008
[R] In connessione a 95.211.131.155 -> IP=95.211.131.155 PORT=21
[R] Connesso a 95.211.131.155
[R] 220 (vsFTPd 2.0.7)
[R] USER anonymous
[R] 331 Please specify the password.
[R] PASS (hidden)
[R] 230 Login successful.
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 211-Features:
[R] EPRT
[R] EPSV
[R] MDTM
[R] PASV
[R] REST STREAM
[R] SIZE
[R] TVFS
[R] UTF8
[R] 211 End
[R] PWD
[R] 257 "/"
[R] TYPE A
[R] 200 Switching to ASCII mode.
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,242,244)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 62196
[R] LIST -al
[R] 150 Here comes the directory listing.
[R] 226 Directory send OK.
[R] Elenco completato: 307 byte in 0,72 secondi (0,4 KB/s)
[R] CWD soft
[R] 550 Failed to change directory.
[R] TYPE I
[R] 200 Switching to Binary mode.
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,54,191)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 14015
[R] RETR conhost.exe_1
[R] 150 Opening BINARY mode data connection for conhost.exe_1 (585728 bytes).
[R] 226 File send OK.
Trasferito: conhost.exe_1 572 KB in 2,03 secondi (281,6 KB/s)
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,29,40)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 7464
[R] RETR dwm.exe
[R] 150 Opening BINARY mode data connection for dwm.exe (69632 bytes).
[R] 226 File send OK.
Trasferito: dwm.exe 68 KB in 0,53 secondi (128,1 KB/s)
Coda di trasferimento completata
File trasferiti: 2 , per un totale di 640 KB in 3,92 secondi (249,8 KB/s)
[R] CWD /soft
[R] 550 Failed to change directory.
Coda di trasferimento completata
[R] CWD /soft
[R] 550 Failed to change directory.
Coda di trasferimento completata
[R] CWD /soft
[R] 550 Failed to change directory.
[R] CWD /
[R] 250 Directory successfully changed.
[R] PWD
[R] 257 "/"
[R] CWD /
[R] 250 Directory successfully changed.
[R] TYPE A
[R] 200 Switching to ASCII mode.
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,73,19)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 18707
[R] LIST -alR
[R] 150 Here comes the directory listing.
[R] 226 Directory send OK.
[R] Elenco completato: 307 byte in 0,47 secondi (0,6 KB/s)
Come precauzione ho iniziato ad effettuare scansioni con i vari programmi
ma non trovano niente specie nella cartella c:\windows\conh che è quella dove sono stati ,penso, sovrascritti i file originali.
Avendo io nel pc 4 hd da 1 Tera l'uno ed uno da 320 Gb le scansioni sono molto , ma molto lunghe e stanno cmq procedendo .
Cercando in rete qualche probabile soluzione non ho trovato molto
Norton Safe Web lo classifica un sito buono :
http://safeweb.norton.com/report/show?name=95.211.131.155
Mcafee site advisor non lo ha mai censito
è probabile che sia un proxy da come vedo su google.
MalwareBytes riporta i file cosi
conhost.exe_1 (Trojan.Agent) -> Quarantined and deleted successfully.
dwm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Per le informazioni on line che sono riuscito a reperire mi sembra di aver capito che siano , anche i comandi da shell impartiti , tutti dedicati a sistemi Vista e Seven , il mio pc gira con xp sp3.
Quindi chiedevo se qualcuno di voi si è trovato in una condizione simile , o addirittura identica , ed in tal caso come ha provveduto ad arginare l'intrusione evitando di avere un firewall sempre attivo.
al momento non sono cosciente dei danni che abbia fatto questa intrusione.
E' tutto ancora in fase di scansione che non ho idea quando terminerà .
Grazie Mille per le delucidazioni in merito che mi darete , nell'attessa di terminare le varie scansioni .
Bye
Stammattina accedendo al mio pc ho trovato questa sgradita sorpresa
Voglio solo Premettere che utilizzo settimanalmente svariati tools di protezione e sicurezza (quotidianamente aggiornati) tra i quali cito :
Avast 5
adaware
Malwarebytes antimalware
combofix
Eusing free registri cleaner
Ccleaner
Spybot - Search & Destroy
saltuariamente attivo la suite Comodo
Il mio pc è perennemente operativo , lo spengo solo per qualche riavvio necessario, ed è sempre connesso ad internet.
Ho 1 solo account (oltre Administrators ,con password,dal quale non mi sono mai loggato e che normalmente non compare al login) attivo, il mio protetto da nome utente e password.
Premesso ciò vengo al dunqe :
Stamane accendendo il monitor mi trovo la schermata di login con presenti 2 account attivi
Il mio solito e quello administrator.
Curioso di sapere che cosa ci facesse l'account administrator attivo vi accedo.
Riesco solo a visualizzare una schermata del Cmd attiva dalla quale si evince che un' ip esterno si è loggato sulla mia postazione da remoto accedendo come amministratore.
il pc non rispondeva a nessun comando digitato e non era possibille avviare nessun software pertanto ho effettuato una foto completa di ciò che vedevo a monitor :
http://h.imagehost.org/t/0285/DSCN0037.jpg (http://h.imagehost.org/view/0285/DSCN0037)
Da questa schermata ho dedotto che qualcuno si è loggato nel mio pc con i pribilegi di amministratore,
lo stesso con il comando md ha cercato di creare nella cartell c:\windows (%windir%) una nuova cartella chiamata conh
Cartella che tra l'altro è gia presente .
Con il comando Net stop MPSSVC deduco abbia tentato di disabilitare il firewall di windows , servizio che non ho attivo , come da risposta nel file.
L'intruso dopo aver cercato di disabilitare il firewall ha iniziato a dare comandi ftp
nello specifico il comando ftp -n ( del quale non conosco ancora il significato)
Fatto questo si è collegato come user anonimo a questo indirizzo ip in modalità ftp :
95.211.131.155
Effettuando un whois su questo ip risulta risiedere ad Amsterdam :
Nome host Sconosciuto
Provider LEEWEB
Continente Europa
Bandiera NL
Nazione Olanda
Codice ISO NL (NLD)
Regione Noord-Holland
Ora locale* 23 Jul 2010 00:14
Città Amsterdam
Indirizzo IP 95.211.131.155
Latitudine 52.35
Longitudine 4.9167
Fatto questo sul mio pc da quell' ip nella cartella conh situata nella directory c:\windows sono stati scaricati dall ip alla mia cartella 2 o 3 file cosi chiamati :
redirect.exe
conhost.exe
dwm.exe
Fatto questo l'intruso ha chiuso la connessione ed è comparsa la scritta GoodBye!!
Mi sono connesso tramite il mio FlashFxp come utente anonimo
all' IP incriminato riuscendo ad avere accesso e visualizzando questa schermata:
http://a.imagehost.org/t/0586/Cattura.jpg (http://a.imagehost.org/view/0586/Cattura)
Nella cartella soft non ho potuto accedere ma ho preso visione degli altri 2 file :
conhost.exe_1
dwm.exe
che mi sono scaricato sul mio pc e che risultano essere dei malware.
Questo è il log della mia connessione FTP
WinSock 2.0 -- OpenSSL 0.9.8i 15 Sep 2008
[R] In connessione a 95.211.131.155 -> IP=95.211.131.155 PORT=21
[R] Connesso a 95.211.131.155
[R] 220 (vsFTPd 2.0.7)
[R] USER anonymous
[R] 331 Please specify the password.
[R] PASS (hidden)
[R] 230 Login successful.
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 211-Features:
[R] EPRT
[R] EPSV
[R] MDTM
[R] PASV
[R] REST STREAM
[R] SIZE
[R] TVFS
[R] UTF8
[R] 211 End
[R] PWD
[R] 257 "/"
[R] TYPE A
[R] 200 Switching to ASCII mode.
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,242,244)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 62196
[R] LIST -al
[R] 150 Here comes the directory listing.
[R] 226 Directory send OK.
[R] Elenco completato: 307 byte in 0,72 secondi (0,4 KB/s)
[R] CWD soft
[R] 550 Failed to change directory.
[R] TYPE I
[R] 200 Switching to Binary mode.
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,54,191)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 14015
[R] RETR conhost.exe_1
[R] 150 Opening BINARY mode data connection for conhost.exe_1 (585728 bytes).
[R] 226 File send OK.
Trasferito: conhost.exe_1 572 KB in 2,03 secondi (281,6 KB/s)
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,29,40)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 7464
[R] RETR dwm.exe
[R] 150 Opening BINARY mode data connection for dwm.exe (69632 bytes).
[R] 226 File send OK.
Trasferito: dwm.exe 68 KB in 0,53 secondi (128,1 KB/s)
Coda di trasferimento completata
File trasferiti: 2 , per un totale di 640 KB in 3,92 secondi (249,8 KB/s)
[R] CWD /soft
[R] 550 Failed to change directory.
Coda di trasferimento completata
[R] CWD /soft
[R] 550 Failed to change directory.
Coda di trasferimento completata
[R] CWD /soft
[R] 550 Failed to change directory.
[R] CWD /
[R] 250 Directory successfully changed.
[R] PWD
[R] 257 "/"
[R] CWD /
[R] 250 Directory successfully changed.
[R] TYPE A
[R] 200 Switching to ASCII mode.
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,73,19)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 18707
[R] LIST -alR
[R] 150 Here comes the directory listing.
[R] 226 Directory send OK.
[R] Elenco completato: 307 byte in 0,47 secondi (0,6 KB/s)
Come precauzione ho iniziato ad effettuare scansioni con i vari programmi
ma non trovano niente specie nella cartella c:\windows\conh che è quella dove sono stati ,penso, sovrascritti i file originali.
Avendo io nel pc 4 hd da 1 Tera l'uno ed uno da 320 Gb le scansioni sono molto , ma molto lunghe e stanno cmq procedendo .
Cercando in rete qualche probabile soluzione non ho trovato molto
Norton Safe Web lo classifica un sito buono :
http://safeweb.norton.com/report/show?name=95.211.131.155
Mcafee site advisor non lo ha mai censito
è probabile che sia un proxy da come vedo su google.
MalwareBytes riporta i file cosi
conhost.exe_1 (Trojan.Agent) -> Quarantined and deleted successfully.
dwm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Per le informazioni on line che sono riuscito a reperire mi sembra di aver capito che siano , anche i comandi da shell impartiti , tutti dedicati a sistemi Vista e Seven , il mio pc gira con xp sp3.
Quindi chiedevo se qualcuno di voi si è trovato in una condizione simile , o addirittura identica , ed in tal caso come ha provveduto ad arginare l'intrusione evitando di avere un firewall sempre attivo.
al momento non sono cosciente dei danni che abbia fatto questa intrusione.
E' tutto ancora in fase di scansione che non ho idea quando terminerà .
Grazie Mille per le delucidazioni in merito che mi darete , nell'attessa di terminare le varie scansioni .
Bye