RoMZERO
15-04-2003, 19:27
... il file nets.exe nella cartella windows\system32
Vi spiego la mia storia... sono un pò di giorni che il norton mi blocca virus con nomi sempre diversi... già a causa di questo ho pensato di avere il pc bucato da qualche trojan... ed è proprio così...
all'avvio del pc sentivo spesso uno strano suono, identico al suono di mirc quando si collega ad un server... siccome sono + di 7 mesi che non formatto ho pensato "sarà windows imputtanato"...
a causa dell'entrata di virus sempre nuovi mi son messo ad indagare e pian piano ho scovato un file strano in winnt\system32, il file nets.exe
cos'è ? è un file zip autodecompattante... comincio a guardare i file contenuti e pian piano i sospetti si fanno certezze...
nel file zip son contenuti una serie di eseguibili, 2 dei quali rimangono in memoria:
psexec.exe
nb.exe
cos'è nb.exe ? è un client mirc...
il client in questione cosa fa ? si collega ad un redirect, che a sua volta ti spara in un server e quindi in un canale...
sorpresa delle sorprese ho sgamato server e canale, sono entrato e cosa ho visto ?
una lista interminabile di poveretti, tra i quali pochi minuti prima ci stavo anche io, identificati da un numero seriale e un nick casuale (scelto dal file wordl del trojan)... dentro questo canale c'erano 4 tizi che si divertivano a fare scansioni sugli ip dei poveretti e ad inviare trojan, virus e tante altre belle cosucce...
offendendoli un pò mi han detto che sono hacker israeliani
facendo un whois del server ecco risualta che la macchina appartiene ad una università svedese http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=129.16.42.17&do_search=Search
se volete potete andare e controllare con i vostri occhi la situazione (mi raccomando disabilitate il download automatico da mirc, altrimenti vi uppano trojan o virus vari e son cavoli) ecco server e canale dei lamer in questione:
tracewar.homeip.net
#lets-rock
allego anche uno screen a dimostrazione di quanto dico
http://enrycm.supereva.it/nets.jpg
il firewall l'ho trovato completamente reso innocuo (blackice) e l'antivirus... beh GRAZIE NORTON, mi ha parato il culo...
Vi spiego la mia storia... sono un pò di giorni che il norton mi blocca virus con nomi sempre diversi... già a causa di questo ho pensato di avere il pc bucato da qualche trojan... ed è proprio così...
all'avvio del pc sentivo spesso uno strano suono, identico al suono di mirc quando si collega ad un server... siccome sono + di 7 mesi che non formatto ho pensato "sarà windows imputtanato"...
a causa dell'entrata di virus sempre nuovi mi son messo ad indagare e pian piano ho scovato un file strano in winnt\system32, il file nets.exe
cos'è ? è un file zip autodecompattante... comincio a guardare i file contenuti e pian piano i sospetti si fanno certezze...
nel file zip son contenuti una serie di eseguibili, 2 dei quali rimangono in memoria:
psexec.exe
nb.exe
cos'è nb.exe ? è un client mirc...
il client in questione cosa fa ? si collega ad un redirect, che a sua volta ti spara in un server e quindi in un canale...
sorpresa delle sorprese ho sgamato server e canale, sono entrato e cosa ho visto ?
una lista interminabile di poveretti, tra i quali pochi minuti prima ci stavo anche io, identificati da un numero seriale e un nick casuale (scelto dal file wordl del trojan)... dentro questo canale c'erano 4 tizi che si divertivano a fare scansioni sugli ip dei poveretti e ad inviare trojan, virus e tante altre belle cosucce...
offendendoli un pò mi han detto che sono hacker israeliani
facendo un whois del server ecco risualta che la macchina appartiene ad una università svedese http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=129.16.42.17&do_search=Search
se volete potete andare e controllare con i vostri occhi la situazione (mi raccomando disabilitate il download automatico da mirc, altrimenti vi uppano trojan o virus vari e son cavoli) ecco server e canale dei lamer in questione:
tracewar.homeip.net
#lets-rock
allego anche uno screen a dimostrazione di quanto dico
http://enrycm.supereva.it/nets.jpg
il firewall l'ho trovato completamente reso innocuo (blackice) e l'antivirus... beh GRAZIE NORTON, mi ha parato il culo...