VNC un malware???

[MRO]

ULTRAVNC un malware??? ma vaaah...

Tutti gli antimalware più seri mi vedono UltraVNC come un tracking cookie.
Lo metto tra le esclusioni, ma la cosa mi incuriosisce lo stesso:
stiamo parlando di un programma piuttosto noto, che dovrebbe essere riconosciuto
come sicuro (infatti HijackThis lo dà per sicuro)
Allego rapporto ASuqared... se qulacuno per favore commenta.
Grazie.
Mauro

a-squared Free - Version 2.1

Impostazioni scansione:

Oggetti: Memoria, Tracce, Cookies
Archivio scansioni: On
Scientifico: On
ADS Scan: On

Scansione avviata: 07/03/2007 2.30.21

C:\Programmi\ultravnc rilevati: Trace.Directory.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\doc\licence.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\doc\readme.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\doc\whatsnew.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc repeater\install repeater service.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc repeater\remove repeater service.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc repeater\run.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server\install default registry settings.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server\install winvnc service silent.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server\install winvnc service.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server\reinstall winvnc service (silent).lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server\remove winvnc service.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server\run service helper.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server\show about box.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server\show default settings.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server\show user settings.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc server\show winvnc server help.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc viewer.lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc viewer\run ultravnc viewer (listen mode).lnk rilevati: Trace.File.UltraVNC
C:\Documents and Settings\All Users\Menu Avvio\Programmi\ultravnc\ultravnc viewer\show ultravnc viewer help.lnk rilevati: Trace.File.UltraVNC
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{a8ad990e-355a-4413-8647-a9b168978423}_is1 --> inno setup: deselected components rilevati: Trace.Registry.UltraVNC
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{a8ad990e-355a-4413-8647-a9b168978423}_is1 --> inno setup: deselected tasks rilevati: Trace.Registry.UltraVNC
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{a8ad990e-355a-4413-8647-a9b168978423}_is1 --> inno setup: selected components rilevati: Trace.Registry.UltraVNC
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{a8ad990e-355a-4413-8647-a9b168978423}_is1 --> inno setup: selected tasks rilevati: Trace.Registry.UltraVNC
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\{a8ad990e-355a-4413-8647-a9b168978423}_is1 --> quietuninstallstring rilevati: Trace.Registry.UltraVNC
Key: HKEY_CLASSES_ROOT\.vnc rilevati: Trace.Registry.VNC.CommonComponents
Key: HKEY_CLASSES_ROOT\vncviewer.config rilevati: Trace.Registry.VNC.CommonComponents
Key: HKEY_LOCAL_MACHINE\software\orl\winvnc3 rilevati: Trace.Registry.VNC.CommonComponents
Key: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\winvnc rilevati: Trace.Registry.VNC.CommonComponents
Key: HKEY_CLASSES_ROOT\.vnc rilevati: Trace.Registry.VNC

Scansionati

Files: 1434
Tracce: 100361
Cookies: 22
Processi: 34

Rilevato

Files: 0
Tracce: 31
Cookies: 0
Processi: 0
Chiavi registro: 0

Fine scansione: 07/03/2007 2.31.03
Tempo scansione: 0.00.42

[ania]

Quote:

Originariamente inviato da MRO

ULTRAVNC un malware??? ma vaaah...

Tutti gli antimalware più seri mi vedono UltraVNC come un tracking cookie.
Lo metto tra le esclusioni, ma la cosa mi incuriosisce lo stesso:
stiamo parlando di un programma piuttosto noto, che dovrebbe essere riconosciuto
come sicuro (infatti HijackThis lo dà per sicuro)
Allego rapporto ASquared... se qulacuno per favore commenta.

Potrò anche sbagliarmi, però a me sembra del tutto logico -ed in fondo anche giusto- che i software per la rilevazione dei malware ti avvertano del fatto che Ultra-VNC potrebbe essere un'applicazione potenzialmente pericolosa, e questo perchè, SE NON l'avessi installata TU, MA ti fosse stata installata sulla macchina ad es. con un controllo da remoto di cui tu potresti non sapere nulla, e tu NON fossi consapevole di avere installata quell'applicazione sul tuo pc, allora, credo che in effetti sarebbe appunto un'applicazione alquanto pericolosa ed insidiosa.

All'analisi con il software A-squared 2.1 free ad es., vengono individuate chiavi di registro correlate a Ultra-VNC, e che a -squared 2.1 free ti segnala come potenzialmente sfruttabili da malware, ma da quello che ho capito su VNC, questo è inevitabilmente correlato al fatto che VNC è uno strumento di accesso da remoto, ed è appunto questa sua valenza che lo fa identificare come potenzialmente pericoloso.

In questo caso però, TU sai che Ultra-VNC è un software che hai deciso scientemente di installare, dunque è naturale che è un software legittimo, ma così non sarebbe SE NON lo avessi instllato tu "di tua sponte" sul tuo pc, ma un bel giorno -invece- ce lo ritrovassi giunto da chissà dove ed installato da chissà chi.

Questa è la mia interpretazione, se ho sbagliato, spero che qualcuno mi correggerà.
ciao

[c.m.g]

concordo alla lettera con quanto detto da ania

[MRO]

Grazie!
Avete entrambi perfettamente ragione, in effetti l'unica è porlo tra le esclusioni.
Nelle mie note sugli antivirus (mi scuso ancora per la lunghezza, sarei curioso di sapere se qualcuno ha avuto il fegato di leggerle fino in fondo), parlavo di porte aperte.. eccole: più aperte di così!
Colgo l'occasione per ribadire che un metodo ideale sarebbe quello di chiedermi se autorizzato, ed a mia conferma escludere VNC dalle segnalazioni.
Al contempo sapere che è una porta, e quindi focalizzare lì il suo silenzioso monitoraggio.
Grazie ancora.

ah, per la cronaca, ho scaricato il trial di NOD32 e mi sembra ottimo.. grazie anche per questo!

[c.m.g]

penso che questo software comunque esponga a rischi il pc in cui è installato. esistono altre vie per fare assistenza a distanza senza per questo mettere in pericolo il pc e sotto autorizzazione del cliente.
almeno da quel che ho capito era questo lo scopo dell'installazione, vero?

[MRO]

giusto, ho anche pc anywhere, ma avevo deciso di abbandonare definitivamente Symantec

[Sheerqueenie]

Quote:

Originariamente inviato da c.m.g

penso che questo software comunque esponga a rischi il pc in cui è installato

come non quotarti ,del resto proprio ieri ho scoperto quelllo ke + o meno mi capito nel 2004..

http://www.hwupgrade.it/forum/showth...5#post16254635

spero ke qualcuno non si trovi mai in questa situazione!

[MRO]

eh perdiana..
da un paio di giorni mi chiedo CHI MI STA CAMBIANDO LE IMPOSTAZIONI DEGLI ACCOUNT EMAIL
mi trovo cambiato il pop con indirizzo del server
le impostazioni SSL (es. 995) tornano standard (110)..
per tre volte me ne sono accorto perchè la posta parte ma non ricevo:
vado nelle impostazioni e "da sole" sono cambiate di nuovo???
Io ho spiegato la cosa con azioni autonome di firewall o altre protezioni..
ma
CHE SIA QUELLO?
in effetti ho tolto atri sistemi in favore di UltraVNC solo due giorni fa!!!

[bReAkDoWn]

Quote:

Originariamente inviato da MRO

eh perdiana..
da un paio di giorni mi chiedo CHI MI STA CAMBIANDO LE IMPOSTAZIONI DEGLI ACCOUNT EMAIL
mi trovo cambiato il pop con indirizzo del server
le impostazioni SSL (es. 995) tornano standard (110)..
per tre volte me ne sono accorto perchè la posta parte ma non ricevo:
vado nelle impostazioni e "da sole" sono cambiate di nuovo???
Io ho spiegato la cosa con azioni autonome di firewall o altre protezioni..
ma
CHE SIA QUELLO?
in effetti ho tolto atri sistemi in favore di UltraVNC solo due giorni fa!!!

UltraVNC, salvo il fatto che di suo non cripta le comunicazioni, non mi risulta avere buchi di sicurezza. La questione semmai è come è configurato. Innanzitutto ti consiglierei di cambiare la porta standard, per non ritrovarti continui tentativi di accesso da parte dei vari scanner attivi per la rete, e in secondo luogo ovviamente di mettere una buona password, o a seconda di come lo usi, anche di attivare la richiesta di conferma da parte tua prima di far entrare qualcuno da remoto. L'ultima opzione ovviamente non devi attivarla se hai bisogno di entrare in un pc dove non c'è nessuno che fisicamente può autorizzarti.
In questo modo non dovresti correre alcun rischio.

[c.m.g]

io uso il sistema di "richiesta di assistenza remota" compreso in windows xp per assistenza remota.

[bReAkDoWn]

Quote:

Originariamente inviato da c.m.g

io uso il sistema di "richiesta di assistenza remota" compreso in windows xp per assistenza remota.

Per l'assistenza remota è comodo anche quel sistema, soprattutto perchè il cliente non deve installare niente, tu ottieni il suo indirizzo ip tramite email, e così via.
Certo poi bisogna vedere cosa vogliono fare loro. Io per controllare i pc che ho nella mia rete uso vnc o desktop remoto, poi vnc lo apro all'esterno dal router quando devo far entrare qualcuno.

[c.m.g]

non c'è bisogno di installare nulla, la funzionalità è già compresa in windows e per sapere come collegarti o usi l'email oppure messager.
comunque si trova in "guida in linea e supporto tecnico" quindi probabilmente "desktop remoto" e "assistenza remota" sono la stessa cosa.

[MRO]

sono d'accordo, ma UltraVNC ha più funzionalità e possibilità di aggiunte
francamente non credo che sarebbe così diffuso se veramente pericoloso
sono però convintissimo che sianecessario mettersi in una fortezza per usarlo serenamente
tutto quanto detto può proteggere, grazie.. ho solo qualche perplessità sulla pwd, dato che di per sè, o è una stringa da un metro, oppure chi vuole entra lo stesso

[bReAkDoWn]

Quote:

Originariamente inviato da MRO

sono d'accordo, ma UltraVNC ha più funzionalità e possibilità di aggiunte
francamente non credo che sarebbe così diffuso se veramente pericoloso
sono però convintissimo che sianecessario mettersi in una fortezza per usarlo serenamente
tutto quanto detto può proteggere, grazie.. ho solo qualche perplessità sulla pwd, dato che di per sè, o è una stringa da un metro, oppure chi vuole entra lo stesso

Hai calcolato quante combinazioni si possano ottenere con una pw, ad esempio di 6 caratteri, prendendo come base le lettere dell'alfabeto maiuscole, minuscole più i numeri? (26+26+10)^6 che è uguale a 56800235584 combinazioni. Non credere che sia così facile entrare.
Ciao!

[MRO]

sì, ma io ho a che fare con i cinesi! non scherzo, davvero..

[ania]

Quote:

Originariamente inviato da MRO

sì, ma io ho a che fare con i cinesi! non scherzo, davvero..

@MRO
Che tradotto nella lingua che si usa solitamente in questo forum cosa vorrebbe dire esattamente ?

[bReAkDoWn]

Quote:

Originariamente inviato da MRO

sì, ma io ho a che fare con i cinesi! non scherzo, davvero..

Non metto in dubbio che tu abbia a che fare con i cinesi, comunque aggiungi altri due caratteri alla pw e così invece di 56 miliardi di tentativi diventano 218340105584896 e poi pensa a quanto tempo può servire ai cinesi a trovarla.
Senza contare che dal log che si trova nella cartella di winvnc puoi vedere se ci sono dei tentativi di accesso falliti e gli indirizzi ip da cui provengono, e magari bloccarli con un firewall.
Se questo non bastasse ancora, sempre con un firewall, puoi abilitare in ingresso sulla porta di winvnc soltanto gli indirizzi da cui devi ricevere connessioni.

Ri-ciao!

[ania]

Quote:

Originariamente inviato da bReAkDoWn

Non metto in dubbio che tu abbia a che fare con i cinesi, comunque aggiungi altri due caratteri alla pw e così invece di 56 miliardi di tentativi diventano 218340105584896 e poi pensa a quanto tempo può servire ai cinesi a trovarla.

Uhmmm, credo di esserci finalmente arrivata, ( meglio tardi che mai ) si allude alla proverbiale "laboriosità del popolo cinese", immagino.

Devo comunque ammettere che mi ha molto aiutata leggere la replica di bReAkDoWn sopra quotata.

Eh già , 56 miliardi di combinazioni per i cinesi devono essere solo bazzecole.

[MRO]

esatto ania! ci hai azzeccato..
scherzo.. solo che io lavoro in "zona ad alto rischio" (provato, leggi i bollettini di guerra) circa due settimane ogni mese (Pechino, Canton, estremo nord)..
sembra che là gli hackers siano come i cani sciolti.. per questo mi faccio sempre almeno uno scrupolo in più di quanti me ne vengono in mente..
se hai un telefonino e un BT nella capitale non duri più di sei ore senza password
comunque è vero: scherzavo sulla pwd..
solo a volte passano per il mio pc informazioni molto riservate e di una discreta importanza, ed allora potrebbero anche impegnarsi con tecnologie più avanzate che le manine..
il governo centrale, come detto pochi giorni fa, siè accorto solo adesso che la pirateria informatica potrebbe essere segno di cattiva immagine di stato.. per il resto non glene fr.. niente.. che la gente si scanni pure

[MRO]

[quote=bReAkDoWn;16261469]Non metto in dubbio che tu abbia a che fare con i cinesi, comunque aggiungi altri due caratteri alla pw e così invece di 56 miliardi di tentativi diventano 218340105584896 e poi pensa a quanto tempo può servire ai cinesi a trovarla.

HAI RAGIONE bReAkDoWn, MI SONO DIVERTITO A FARE UNA STUPIDAGGINE PER AVERE L'EFFETTO VISIVO DELLE COMBINAZIONI DI UNA PASSWORD: SE CI METTI ANCHE I SIMBOLI CON POCHE CIFRE RAGGIUNGI NUMERI IMPRESSIONANTI
Ciaooo