Misterioso "nc.exe", qualcuno ne sa qualcosa?

euthymos · 23-02-2007, 12:13

Salve a tutti,

ieri sera mi sono accorto che su C:\ era apparso un certo nc.exe: la data di creazione risaliva a due giorni prima, e l'eseguibile non era in esecuzione come processo.

Il semplice fatto che questo eseguibile sia apparso da solo mi inquieta. Io utilizzo sempre il computer come utente limitato, ed entro come amministratore molto di rado, solo per installare i programmi.

Documentandomi, ho scoperto che questo nc.exe risponde al nome di NetCat, una network utility nota per le sue possibili applicazioni "malefiche".

Né il mio antivirus (AVG), né l'antispyware identificano in nc.exe una minaccia, ma la cosa non mi tranquillizza affatto. Ho letto tutorial, su Internet, dove si spiega come lanciare una shell con privilegi da amministratore collegandosi a un computer con nc.exe in ascolto su una porta.

La mia domanda è:
Se un hacker voleva prendere il controllo del mio sistema e fosse riuscito in qualche modo a introdurre nc.exe nel mio computer, perché non nasconderlo meglio? Poteva rinominarlo in spool.exe e piazzarlo dentro system32. E inoltre, perché non far avviare nc.exe automaticamente all'avvio del sistema?

SuGaR0 · 23-02-2007, 12:24

forse proprio perchè non aveva i privilegi di sistema ed è rimasto lì

Comunque sia quel file ci è finito in un nonsobene quale modo ma sicuramente è stato fatto in automatico.Non c'è quasi nessuno che ha interesse ad attaccare un host direttamente a mano (parlo di BOT specifici)

euthymos · 23-02-2007, 12:37

Quote:

Originariamente inviato da SuGaR0

forse proprio perchè non aveva i privilegi di sistema ed è rimasto lì

Comunque sia quel file ci è finito in un nonsobene quale modo ma sicuramente è stato fatto in automatico.Non c'è quasi nessuno che ha interesse ad attaccare un host direttamente a mano (parlo di BOT specifici)

Sì, non credo che qualcuno abbia preso di mira proprio me... Molto più probabilmente si tratta di qualche tizio che in modo completamente automatizzato vuole ravanare un po' di informazioni fra i computer della gente.

Il mio computer non cela particolari segreti industriali, ma ci sono degli importanti certificati digitali (con tanto di chiave privata). Cosa mi consigliate di fare? Devo distruggerli e farmeli rifare (la cosa richiederebbe settimane)?

W.S. · 23-02-2007, 13:08

innanzitutto ti consiglio di evitare di tenere i certificati sulla macchina ma di tenerli ad es. sulla chiavetta e collegarla solo quando ti servono...
cmq strano, di solito gli attacchi automatizzati si nascondono molto meglio, io sarei parecchio preoccupato di vedermi installare netcat, non per l'eseguibile in se ma per il come c'è arrivato e per l'utilizzo che ne può fare chi ce l'ha messo...
personalmente piallerei tutto ma forse son un po paranoico...

mausap · 23-02-2007, 14:28

Quote:

Originariamente inviato da W.S.

innanzitutto ti consiglio di evitare di tenere i certificati sulla macchina ma di tenerli ad es. sulla chiavetta e collegarla solo quando ti servono...
cmq strano, di solito gli attacchi automatizzati si nascondono molto meglio, io sarei parecchio preoccupato di vedermi installare netcat, non per l'eseguibile in se ma per il come c'è arrivato e per l'utilizzo che ne può fare chi ce l'ha messo...
personalmente piallerei tutto ma forse son un po paranoico...

Direi che salvare i dati e "piallare" mi sembra una soluzione adeguata in questo caso. Se uno vuol essere al sicuro al 100%

euthymos · 23-02-2007, 15:26

Francamente non credo che gli "artefici" di questa operazione siano riusciti a cavare informazioni utili dal mio computer. La cosa che mi sconvolge di più non è che era presente NetCat nel mio sistema. Sono cose che succedono, pazienza...

Il problema, piuttosto, è come ci è entrato. Sto molto attento quando uso Windows: sono uno dei pochi a non utilizzarlo come amministratore, ma come utente limitato. Il PC è "pulito". Ci sono pochi processi in esecuzione, e li tengo continuamente sott'occhio.

Ad ogni modo, per essere sicuro, credo che formatterò.

Rimane comunque un mistero il fatto che due giorni fa si è materializzato un eseguibile nel mio C:\. Ed è una settimana che non utilizzo l'amministratore.

mausap · 23-02-2007, 16:04

Quote:

Originariamente inviato da euthymos

Francamente non credo che gli "artefici" di questa operazione siano riusciti a cavare informazioni utili dal mio computer. La cosa che mi sconvolge di più non è che era presente NetCat nel mio sistema. Sono cose che succedono, pazienza...

Il problema, piuttosto, è come ci è entrato. Sto molto attento quando uso Windows: sono uno dei pochi a non utilizzarlo come amministratore, ma come utente limitato. Il PC è "pulito". Ci sono pochi processi in esecuzione, e li tengo continuamente sott'occhio.

Ad ogni modo, per essere sicuro, credo che formatterò.

Rimane comunque un mistero il fatto che due giorni fa si è materializzato un eseguibile nel mio C:\. Ed è una settimana che non utilizzo l'amministratore.

Beh tempo fa ci furono dei worm che si infilavano del sistema sfruttando delle vulnerabilita' di windows. Direi che è fondamentale avere il sistema aggiornato ,non avere nessuna risorsa in condivisione a meno che non sia strettamente necessario e attenzione alla navigazione sul web. Se usi una sandbox sul browser aumenti ancora di piu' il livello di sicurezza

23-02-2007, 12:13	#1
euthymos Member Iscritto dal: Sep 2005 Messaggi: 188	Misterioso "nc.exe", qualcuno ne sa qualcosa? Salve a tutti, ieri sera mi sono accorto che su C:\ era apparso un certo nc.exe: la data di creazione risaliva a due giorni prima, e l'eseguibile non era in esecuzione come processo. Il semplice fatto che questo eseguibile sia apparso da solo mi inquieta. Io utilizzo sempre il computer come utente limitato, ed entro come amministratore molto di rado, solo per installare i programmi. Documentandomi, ho scoperto che questo nc.exe risponde al nome di NetCat, una network utility nota per le sue possibili applicazioni "malefiche". Né il mio antivirus (AVG), né l'antispyware identificano in nc.exe una minaccia, ma la cosa non mi tranquillizza affatto. Ho letto tutorial, su Internet, dove si spiega come lanciare una shell con privilegi da amministratore collegandosi a un computer con nc.exe in ascolto su una porta. La mia domanda è: Se un hacker voleva prendere il controllo del mio sistema e fosse riuscito in qualche modo a introdurre nc.exe nel mio computer, perché non nasconderlo meglio? Poteva rinominarlo in spool.exe e piazzarlo dentro system32. E inoltre, perché non far avviare nc.exe automaticamente all'avvio del sistema?

23-02-2007, 13:08	#4
W.S. Senior Member Iscritto dal: Nov 2005 Messaggi: 1868	innanzitutto ti consiglio di evitare di tenere i certificati sulla macchina ma di tenerli ad es. sulla chiavetta e collegarla solo quando ti servono... cmq strano, di solito gli attacchi automatizzati si nascondono molto meglio, io sarei parecchio preoccupato di vedermi installare netcat, non per l'eseguibile in se ma per il come c'è arrivato e per l'utilizzo che ne può fare chi ce l'ha messo... personalmente piallerei tutto ma forse son un po paranoico... __________________ [ W.S. ]

23-02-2007, 12:24	#2
SuGaR0 Senior Member Iscritto dal: Dec 2004 Città: MN Messaggi: 572	forse proprio perchè non aveva i privilegi di sistema ed è rimasto lì Comunque sia quel file ci è finito in un nonsobene quale modo ma sicuramente è stato fatto in automatico.Non c'è quasi nessuno che ha interesse ad attaccare un host direttamente a mano (parlo di BOT specifici)

23-02-2007, 15:26	#6
euthymos Member Iscritto dal: Sep 2005 Messaggi: 188	Francamente non credo che gli "artefici" di questa operazione siano riusciti a cavare informazioni utili dal mio computer. La cosa che mi sconvolge di più non è che era presente NetCat nel mio sistema. Sono cose che succedono, pazienza... Il problema, piuttosto, è come ci è entrato. Sto molto attento quando uso Windows: sono uno dei pochi a non utilizzarlo come amministratore, ma come utente limitato. Il PC è "pulito". Ci sono pochi processi in esecuzione, e li tengo continuamente sott'occhio. Ad ogni modo, per essere sicuro, credo che formatterò. Rimane comunque un mistero il fatto che due giorni fa si è materializzato un eseguibile nel mio C:\. Ed è una settimana che non utilizzo l'amministratore.

Strumenti
Mostra una versione stampabile Invia questa pagina per email