Stamattina stavo passando un file dal pc desktop al portatile tramite ftp.

Sul pc desktop ho installato filezilla ftp server (un ftp opensource)

Nel tentativo di collegarmi ho inserito la posta sbagliata, lasciando 21 invece di inserire quella corretta.

bene, anzi male... ho trovato sto server ftp per puro caso...


Stato: Connesso a 192.168.0.4 ...
Stato: Connesso con 192.168.0.4. In attesa del messaggio di benvenuto...
Risposta: 220 Serv-U FTP-Server v2.5f for WinSock ready...
Comando: USER anonymous
Risposta: 530 Sorry, no ANONYMOUS access allowed.
Errore: Non è possibile connettersi!
Stato: In attesa di ritentare... (5 tentativi rimasti)
Stato: Connesso a 192.168.0.4 ...
Stato: Connesso con 192.168.0.4. In attesa del messaggio di benvenuto...
Risposta: 220 Serv-U FTP-Server v2.5f for WinSock ready...
Comando: USER anonymous
Risposta: 530 Sorry, no ANONYMOUS access allowed.
Errore: Non è possibile connettersi!
Stato: In attesa di ritentare... (4 tentativi rimasti)


è mica un servizio di win2k ? O_o

ho provveduto subito a chiudere la porta 21 che avevo lasciato aperta sul mio router

questo il log di Hijackthis


Logfile of HijackThis v1.98.0
Scan saved at 10.30.23, on 22/07/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\FileZilla Server\FileZilla Server.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\altsvc.exe
c:\winnt\system32\service.exe
C:\WINNT\system32\lssas.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\msthost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe
C:\WINNT\system32\dla\tfswctrl.exe
C:\Programmi\D-Tools\daemon.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\internat.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
c:\progra~1\popfile\popfileb.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINNT\system32\dla\tfswshx.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HGTXPEI] C:\WINNT\system32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programmi\File comuni\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sxwdanmd] C:\WINNT\sxwdanmd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Run POPFile.lnk = C:\Programmi\POPFile\runpopfile.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://C:\patente\install\AuthorwareFull\AwareWebPlayer\Download\Smart\Cab\awswaxf.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5484AAAD-08E1-41DD-BFAB-55382321CFA1}: NameServer = 62.211.69.150,212.48.4.15
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\MSERO.DLL
O20 - AppInit_DLLs: wbsys.dll

il file lssas.exe sarà questo worm ?
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober@mm.html

eppure il norton (ultraggiornato) non me l'ha rilevato

la cosa ridicola è che uso anche mozilla thunderbird come client di posta elettronica, quindi non saprei spiegarmi come l'ho preso (anche perchè non apro mai alcun allegato)

ho netbios disabilitato... sto dietro router, qualche porta aperta c'è, ma non di pericolose...

insomma boh..

ho constatato che il file lssas.exe è il server ftp

questo è il testo in parte contenuto in esso


ServU FTPServer v2.5f Copyright c 1995200 Cat Soft, All Rights Reserved by Rob Beckers
Cat Soft is an affiliate of Deerfield.Com
Version 2.5f 32bit
ServU s KBps d Socks d Users d Xfers
out of memory
lu lu 16s u s
ld lu s u s
lu lu 16s u s
lu lu s u s
06lu Access DLL event
out of memory
out of memory
out of memory
out of memoryC\
ServU FTPServer v2.5f for WinSock ready..
This FTP server is an unregistered 45 day tryout version of ServU
.0f Kb/sec lu bytess
.1f Kb/sec lu bytess
.2f Kb/sec lu bytess
.0f bytes/sec lu bytess
.........................
.........................
Available Groups
Browse Directories
MS Sans Serif
User/Group Disk Quota
MS Sans Serif
Disk Quota
Enable disk quota
alculate current
Enter Key
MS Sans Serif
From File
Exit Serv
MS Sans Serif
Stop Server
Out Method
MS Sans Serif
Thank you for trying FTP Serv
This is the unregistered version of Serv
out for a period of 45 days. The program offers two different ways to evaluate it, each with its own advantages and disadvantages.
Please read the sections below and make your choice. This message will only be displayed once.
You can have a fully functional program. But to ensure a try
out period of 45 days it will communicate over the Internet with a remote system to ask permission to run each time it is started.
To this purpose Serv
number and a flag. It receives back the same information, with the flag set to
Please note that only the unregistered version does this, once the program is registered it NEVER contacts a remote system apart from regular FTP traffic.
The other choice is a somewhat crippled version of this program but it will NOT contact a remote system for permission to run.
It will display a text to the users stating that it is an evaluation version that is not registered.
And finally, one hour after startup it will switch the server off
Instead, it will have the following limitations
Kill User
MS Sans Serif
Kill user
Are you sure you want to disconnect user
..................
..................

ennesimo aggiornamento

questa l'unica traccia del file lssas.exe nel registro di sistema


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netbios Helper Service\Parameters]
"Application"="lssas.exe"
"AppParameters"="/h"


qualcuno può farmi il piacere di controllare la presenza di tale file nel proprio sistema ?

ciao,

no, quel lssas.exe non ci deve essere, come hai già intuito da solo probabilmente fa parte del "sober"

Hai già scoperto la pagina Symantec con le istruzioni per rimuoverlo:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober@mm.removal.tool.html

Scarica il FIX (http://securityresponse.symantec.com/avcenter/FixSober.exe)
e dopo aver cancellato i file temporanei, i temporanei di internet e disattivato il ripristino della configurazione, lancialo.

Eventualmente fai fare un passaggio a quel fix anche da modalità provvisoria.

Anche lo STINGER (http://vil.nai.com/vil/stinger/) è buono per quel worm. Provalo

ciao, grazie per la risposta

cmq dopo un pò ho scoperto di cosa si tratta, una variante del W32/Rbot non ancora riconosciuta dagli antivirus

il norton (installato sul mio sistema), ma anche scansioni online con Panda Antivirus ed altri non hanno rilevato nulla

Il virus è composto dai seguenti file
lssas.exe
serv-u.ini
msimp.reg

- lssas.exe è semplicemente una versione crackata del noto serv-u
il programma, avviato col Netbios Helper Service diveniva applicazione di sistema e non era terminabile... ho letto che il Netbios Helper Service è abbastanza rischioso come servizio e quindi l'ho disattivato, terminando anche il server ftp.
Il server sharava il mio hd tramite la porta 21 (che purtroppo tenevo aperta sul router).
Poi ho tolto le voci di registro responsabili dell'avvio di serv-u.

- serv-u.ini è il file config di serv-u

- msimp.reg è il file reg col quale mi è stato installato il "trojan"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbios Helper Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbios Helper Service\Parameters]
"Application"="lssas.exe"
"AppParameters"="/h"

ho riportato "restrictanonymous" al valore 0 (default) e cancellato le altre stringhe

ora vorrei proprio capire come diavolo ho preso questo "virus" visto che sto dietro router, non uso IE ed outlook, ho un antivirus aggiornato (ma a quanto pare non è bastato)

la presenza del file reg, col quale mi è stato installato l'ftp, mi induce a pensare che il server ftp è solo una conseguenza di un'infezione principale... mi vien da pensare tramite un qualche altro trojan mi sia stato uppato il server e sia stato installato eseguendo il file .reg

mistero... cmq fate attenzione... girovagando per la rete ho trovato molti forum di persone con questo problema che si sbatevano per capire cosa fosse lssas.exe