Win32/Tenga.A

[andrea.ippo]

Quote:

Originariamente inviato da lucadue

ma se uso sygate firewall 5.5 + avast posso stare tranq?

io da quando ho installato zone alarm ho tutte le porte "stealthed", cioè invisibili.
Con sygate penso sia lo stesso, quindi penso che puoi fare a meno di scaricare il tool
Comunque per accorgertene basta che vai su http://scan.sygatetech.com/stealthscan.html
e controlli che la porta 139 NetBIOS sia BLOCKED.

Per una scansione completa delle porte (1-1024) usa questo test:
http://scan.sygatetech.com/tcpscan.html
Se è tutto su BLOCKED nel primo test, e nel secondo non ti vengono notificati possibili rischi, dovresti stare a posto

[Gordon86_ITA]

Purtroppo anche io ho ricevuto la visita di questo virus (che, all'inizio, leggevo Tanga )
In teoria, sembra che il sistema sia pulito, ma ho un piccolo problema. Il pc da cui scrivo è quello che fà da server per la LAN che ho quì in casa. Ebbene, gli altri pc non vanno più in rete.
Il messaggio che appare sugli altri pc mi informa che la Connettività è limitata o assente.
Ora ho come antivirus il NOD32 e Avast, e come firewall Sygate.
Ho fatto una scansione con Hijackthis e, ripeto, che il sistema sembra pulito.
Come mai, però, la LAN non funge più?

[mardurhack]

Se hai usato tools di chiusura di porte tipo Worm door cleaner, è ovvio che non funzioni più la lan...poiché le informazioni dei pacchetti in una lan vengono inviati tramite net bios, disattivata la sua porta, quale 139 (che poi non corrisponde a quella dello stanit/tenga che invece è 135). Alcune volte può accadere che la propria scheda di rete si attenga a questo compito tramite un altro protocollo, ma per esempio il mio router senza netbios non mi inseriva tra gli users collegati (US robotics 9910).

Cmq, vi sembra abbastanza sicuro il mio Note??



Come vedete la porta del netbios è aperta, ma non causa nessun pericolo, a parte se il virus o il worm passa attraverso la rete, il che non accade, nel mio caso, essendoci un firewall interno al router che blocca tutti gli accessi alla porta 139! Cosi no blocchi il netbios ma solo le connessioni "abusive" Ciauz!

[andrea.ippo]

eh...perché tu ce l'hai il router...
infatti con ZA neanche a me funziona più la Lan, anche se pingando i pacchetti arrivano tutti

[mardurhack]

eh già...non so peché ma il protocollo tcp/ip dovrebbe stare sopra al net bios come gerarchia...non so perché non usando il netbios non permette l'analisi dei pacchetti ma solo la loro rilevazione...strange...cmq la porta 139 nn da problemi, quella a rischio è la TCP 135! Ciauz
!

[lucadue]

Quote:

Originariamente inviato da andrea.ippo

io da quando ho installato zone alarm ho tutte le porte "stealthed", cioè invisibili.
Con sygate penso sia lo stesso, quindi penso che puoi fare a meno di scaricare il tool
Comunque per accorgertene basta che vai su http://scan.sygatetech.com/stealthscan.html
e controlli che la porta 139 NetBIOS sia BLOCKED.

Per una scansione completa delle porte (1-1024) usa questo test:
http://scan.sygatetech.com/tcpscan.html
Se è tutto su BLOCKED nel primo test, e nel secondo non ti vengono notificati possibili rischi, dovresti stare a posto

Il test ha dato questo responso
You have blocked all of our probes! We still recommend running this test both with and without Sygate Personal Firewall enabled... so turn it off and try the test again.

significa che sono al sicuro?

[kwb]

Quote:

Originariamente inviato da lucadue

Il test ha dato questo responso
You have blocked all of our probes! We still recommend running this test both with and without Sygate Personal Firewall enabled... so turn it off and try the test again.

significa che sono al sicuro?

Siginifica che tutte le prove che ha fatto sono state bloccate e ti dice di riprovare senza firewall

[lucadue]

quindi vuol dire che il firewall funziona bene?
ma i virus possono entrare anche attraverso porte UDP p ICMP?

[kwb]

Quote:

Originariamente inviato da lucadue

quindi vuol dire che il firewall funziona bene?

Cosi' pare

[andrea.ippo]

si, a me ha dato lo stesso responso, e da allora nessun problema di sicurezza da un bel po'...
L'unica adesso è la LAN...

@mardurhack: io avevo letto che Tenga entra dalla 139
Non è che se apro la 139 per la Lan, mi ritrovo tenga dopo due ore?
E poi: come faccio ad aprire una porta con ZA???

[lucadue]

ma le porte UDP e ICMP nn sono anche a rischio?
windows firewall nn blocca tutte le porte TCP?

[xenom]

Raga ho letto le prime 3 pagine ma mi fermo qui, non posso leggere tutto il topic.
Ho il Tenga sul gateway che combina un po' di casini... avete trovato la soluzione per questo dannato virus?
Notare che non uso NOD32, uso avast antivirus + firewall kerio personal e anche peer guardian.

Il worm mi infetta solo gli exe sulla partizione secondaria D.
E come sempre, niente processi/autorun/files strani...

una cosa strana è che ha infattato solo il pc che funge da dateway, direttamente collegato a questo pc. Questo non presenta infezioni da tenga.
E quindi perché non infetta tutti i pc? solitamente i virus che sfruttano i bug di windows fanno come il sasser...

[mardurhack]

Quote:

Originariamente inviato da andrea.ippo

si, a me ha dato lo stesso responso, e da allora nessun problema di sicurezza da un bel po'...
L'unica adesso è la LAN...

@mardurhack: io avevo letto che Tenga entra dalla 139
Non è che se apro la 139 per la Lan, mi ritrovo tenga dopo due ore?
E poi: come faccio ad aprire una porta con ZA???

Guarda non so proprio che dirti...a quanto so io il Tenga o Stanit, qualsivoglia chiamarlo, colpisce attraverso un baco della porta 135, più precisamente nel servizio DCOM RPC (che in wwdc trovi come porta 139 TCP)...Cmq non c'era bisogno di installare il ZoneAlarm come firewall, basta quello di windows, a meno che tu non debba tenere alla larga qualche hacker dalla tua rete aziendale! cmq io ho la 139 aperta e non sto avendo problemi da 1 mese e mezzo ormai...Poi tutto è possibile!

Raga per togliere il tenga io ho fatto cosi:

1)NON FORMATTATE! NON SERVE A NULLA!
2) Connettevi a internet, aggiornate l'antivirus! Disabilitate il ripristino automatico fino ad operazione finita
3)Avviate Windows in modalità provvisoria premendo ripetutamente F8 all'avvio del BIOS
4) "Scannate" il disco con l'antivirus (Io uso Avira Antivir PE, stupendo, gratuito e funzionale!), troverà tutti gli exe infetti. Eliminateli tutti! Tanto non sono più recuperabili, guardate anche la cartella in cui sono stati trovati e ricercateli a scan finito uno ad uno per vedere se ci sono rimaste copie che l'antivirus non ha beccato (succede, magari perché si ricreano dopo la scanzione!). è un lavoro duro lo so, ma vi da soddisfazioni! :lol:
5)Riavviate windows, scansionate ancora una volta il sistema (Configurate l'antivirus perché scansioni TUTTI i files e non solo quelli nella blacklist e TUTTI gli archivi! Vi ricordo che solo dalla versione 7.0 avira ripara gli archivi, prima poteva solo analizarli!)
6) Se non trovate problemi allora avviate il windows firewall e togliete TUTTE le eccezioni, comprese quelle necessarie al funzionamento della LAN, collegatevi a internet, scaricate Windows Worm Door Cleaner e chiudete le porte 135, 445, le altre potete lasciarle! (UPnP, Messenger e Netbios)
7)A questo punto scaricate il mitico Firefox e navigate SOLO con quello! Per ricevere le mails scaricate ThunderBird e configurateli entrambi! per stare proprio sicuri sicuri CANCELLATE TUTTA LA CACHE di internet explorer presente in C:\documents and settings\NOMEUTENTE\temporary internet files
8)Riattivate il ripristino automatico ed abilitate le necessarie eccezioni nel firewall di windows!

Con questa procedura io non ho più avuto problemi di alcun genere con virus o trojan o chicchessia... Spero sia lo stesso con voi! Ah, se avete un router abilitate il firewall hardware naturalmente e nel NAT disabilitate le porte 135 e 445...cosi siete a prova di bomba!! Alla prox!!

[lucadue]

Quote:

Originariamente inviato da mardurhack

Guarda non so proprio che dirti...a quanto so io il Tenga o Stanit, qualsivoglia chiamarlo, colpisce attraverso un baco della porta 135, più precisamente nel servizio DCOM RPC (che in wwdc trovi come porta 139 TCP)...Cmq non c'era bisogno di installare il ZoneAlarm come firewall, basta quello di windows, a meno che tu non debba tenere alla larga qualche hacker dalla tua rete aziendale! cmq io ho la 139 aperta e non sto avendo problemi da 1 mese e mezzo ormai...Poi tutto è possibile!

Raga per togliere il tenga io ho fatto cosi:

1)NON FORMATTATE! NON SERVE A NULLA!
2) Connettevi a internet, aggiornate l'antivirus! Disabilitate il ripristino automatico fino ad operazione finita
3)Avviate Windows in modalità provvisoria premendo ripetutamente F8 all'avvio del BIOS
4) "Scannate" il disco con l'antivirus (Io uso Avira Antivir PE, stupendo, gratuito e funzionale!), troverà tutti gli exe infetti. Eliminateli tutti! Tanto non sono più recuperabili, guardate anche la cartella in cui sono stati trovati e ricercateli a scan finito uno ad uno per vedere se ci sono rimaste copie che l'antivirus non ha beccato (succede, magari perché si ricreano dopo la scanzione!). è un lavoro duro lo so, ma vi da soddisfazioni! :lol:
5)Riavviate windows, scansionate ancora una volta il sistema (Configurate l'antivirus perché scansioni TUTTI i files e non solo quelli nella blacklist e TUTTI gli archivi! Vi ricordo che solo dalla versione 7.0 avira ripara gli archivi, prima poteva solo analizarli!)
6) Se non trovate problemi allora avviate il windows firewall e togliete TUTTE le eccezioni, comprese quelle necessarie al funzionamento della LAN, collegatevi a internet, scaricate Windows Worm Door Cleaner e chiudete le porte 135, 445, le altre potete lasciarle! (UPnP, Messenger e Netbios)
7)A questo punto scaricate il mitico Firefox e navigate SOLO con quello! Per ricevere le mails scaricate ThunderBird e configurateli entrambi! per stare proprio sicuri sicuri CANCELLATE TUTTA LA CACHE di internet explorer presente in C:\documents and settings\NOMEUTENTE\temporary internet files
8)Riattivate il ripristino automatico ed abilitate le necessarie eccezioni nel firewall di windows!

Con questa procedura io non ho più avuto problemi di alcun genere con virus o trojan o chicchessia... Spero sia lo stesso con voi! Ah, se avete un router abilitate il firewall hardware naturalmente e nel NAT disabilitate le porte 135 e 445...cosi siete a prova di bomba!! Alla prox!!

grazie x i consigli
se mi capiterà proverò sicuramente questo metodo, ma mi auguro che cio nn accada

[SirioU77]

anche io son del gruppo ragazzi!
uno firewall di win xp sp2 + avg + firefox + ad-aware se
scansioni online con panda - tred micro - karpesky, hijackthis
niente sistema pulito!
ma gli exe li corrompeva ugualmente!
o meglio usando il "tools vcleaner" li beccava al volo ma nel tentativo di ripararli li corrompeva, (pero' un paio di setup è riuscito a ripararli)

credo di averlo beccato dalla porta 445!
perchè è l'unica che avevo aperta!

leggendo questo post ho scaricato Windows Worm Door Cleaner e chiuso la sudetta porta!
ora sembra non ripresentarsi +!

speriamo!

cmq molto simpatica la discussione, tra gente che formatta, chi lo chiama tAnga, chi scongiura, chi paragona win ad una prostituta...mi son divertito molto!

tra un po provo se funge la lan!

[SirioU77]

ok funziona tutto

questa è la scansione delle mie porte

Quote:

GRC Port Authority Report created on UTC: 2006-06-15 at 00:35:15

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.

pero' non ho capito questo:


anche se riavvio il netbios e UPNP rimangono in giallo

[mardurhack]

Beh, se ospiti una LAN è normale che LE NetBios e il UPnP siano aperte, altrimenti la comunicazione tra i pc sarebbe impossibile...per il fatto che wwdc te le dia aperte e invece il controllo di syagate...beh penso che il firewall non calcoli anche le porte necessarie alla LAN...Poi, più di questo non so dirti! Sorry...

[SirioU77]

Quote:

Originariamente inviato da mardurhack

Beh, se ospiti una LAN è normale che LE NetBios e il UPnP siano aperte, altrimenti la comunicazione tra i pc sarebbe impossibile...per il fatto che wwdc te le dia aperte e invece il controllo di syagate...beh penso che il firewall non calcoli anche le porte necessarie alla LAN...Poi, più di questo non so dirti! Sorry...

è molto strano....ora la lan non funge +...ed io non ho cambiato nulla

windows Worms doors cleaner ora mi da!

la 135 che si chiuderà al prissimo riavvio???? (ma prima era chiusa e se riavvio rimane sempre in giallo!)

ora provo ad aprire netbios e Upnp per far funzionare la lan...intanto con tutto chiuso il virus non + + entrato.....speriamo che non entri aprendo netbios e upnp..se entra ancora prendo un router con firewall integrato e stop!

[SirioU77]

Quote:

Originariamente inviato da SirioU77

è molto strano....ora la lan non funge +...ed io non ho cambiato nulla

windows Worms doors cleaner ora mi da!

la 135 che si chiuderà al prissimo riavvio???? (ma prima era chiusa e se riavvio rimane sempre in giallo!)

ora provo ad aprire netbios e Upnp per far funzionare la lan...intanto con tutto chiuso il virus non + + entrato.....speriamo che non entri aprendo netbios e upnp..se entra ancora prendo un router con firewall integrato e stop!

niente rettifico.....tutto ok!
qualcuno dei miei mi aveva disabilitato il brige e non me ne ero accorto

[Aiolia]

Raga ho un problemino anche io con questo Virsus del c.... però nn mi da alcun danno ne nelle reti neppure negli .exe o dll. Ho solo nella cartella dei file completati di emule e sul desktop un setup.exe e un autorun, kaspersky mi rileva solo una volta al giorno il suddetto virus e me lo disinfetta.. se provo a scaricare i file in meno di mezz'ora mi tornano!! Ho rinunciato anche a cancellarli tanto tornano di continuo.. però mi danno un po fastidio