Problema di sicurezza non identificabile

[Tiziano R.]

Ciao ragazzi , vi spiego il mio problema :

Uso :
-Un normale pc desktop
-WinXp ver. Pro.
-Firefox (ultima versione)
-Un client torrent per i download
-Il pc mi serve solo per navigare e scaricare, non uso altro (video, audio, posta, ftp,etc..)

Dopo aver ripartizionato e formattato il disco fisso e istallato il sistema operativo (inserito pass da admin complessa), e prima di accedere alla rete, eseguo il seguente scan usando i pattern aggiornati :

sysclean.com + pattern lpt511 (l'ultimo a quel che vedo)
Non vengono riscontrati problemi.


Risultando pulito il pc, provvedo ad istallare e configurare :
(i file seguenti sono stati scaricati dal portatile che utilizza Knoppix per navigare, e sottoposti a scan successivamente, risultando puliti)

-F-Secure Blacklight e Rootkit Revealer (per i rootkit)

-AVG Free Edition (per i virus)

-Jetico Personal Firewall con le impostazioni Optimal Protection dopo aver consultato questa e altre guide in rete (lascio passare solo firefox come browser e il client torrent come TCP/IP).

-Copio HijackThis.exe in c:\

-RegSeeker.

-Spybot - Search & Destroy.

-CCleaner

-copio WindowsWormsDoorCleaner in c:\

Lancio quindi AVG per primo, che non rileva problemi.

Lancio F-Secure Blacklight e Rootkit Revealer che non rilevano minacce.

Lancio HijackThis che non rileva problemi :
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Documents and Settings\Tiziano\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Programmi\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

Lancio Spybot che non rileva problemi (solo alexa integrato in xp, che provvedo a rimuovere).

Lancio CCleaner che non rileva problemi, pulendo tutto il possibile.

Lancio ReegSeeker che non rileva problemi, anche qui pulisco le voci non pericolose indicate.

Lancio WindowsWormsDoorCleaner e provvedo alla chiusura delle porte.


Fatte le pulizie, provvedo a disabilitare i servizi inutili come elencato in questa tabella .

Tutto sembra ok, e' arrivato il momento di riavviare il sistema.
Riavvio...e iniziano i problemi :

1-Appena carico i driver per il modem usb fastrate di Alice (sia che carico i driver ufficiali forniti con il kit-Cd di AliceAdsl sia che carico i driver della casa madre, ovvero i Bewan) e stabilisco la prima connessione, subito il processo SVCHOST apre un sacco di porte UDP (a caso).
Le porte le apre quando sono loggato come user normale e quando mi loggo come admin, non c'e' differenza.
Le porte aperte le vedo con netstat -[opzioni] oppure con Tcp/View e Jetico.

2-Dal log di Jetico risultano un sacco di tentativi per connessioni in entrata, piccoli pacchetti da 40-70k con protocolli TCP, UDP e IGMP, vengono rilevati a cadenza regolare (uno ogni 30-50 secondi) anche se non navigo.
La cosa curiosa sta nel fatto che l'ip sorgente e' nel mio stesso range (sempre e comunque).
Esempio :
se il mio Ip e' 60.30.100.150 l'attaccante sara' 60.30.xxx.xxx
se il mio IP e' 88.130.100.150 l'attaccante sara' 88.130.xxx.xxx
Le porte attaccate sono in genere la 445, la 135 e la 1026.
Da premettere che queste porte facendo un test su pc-flank risultano in stealth.

3-Premendo CTRL+ALT+CANC ho accesso al taskmanager, ma nella colonna centrale (dove si riporta il Nome Utente) non appare piu' nessun nome, mentre di regola dovrebbe apparire il nome che ho scelto, il nome Admin oppure il nome SYSTEM.

4-Compaiono sempre nel task manager i processi SVCHOST.EXE aggiuntivi, spuntati da non si sa dove.
Anche terminandoli ricompaiono dopo poco.

La procedura che ho descritto e' stata ripetuta con diversi firewall e diversi antivirus, il risultato non cambia.


Avrei bisogno di sapere :

-E' possibile istallare un rootkit nel bios, e se si, come lo rintraccio e rimuovo ?(eventualmente eliminando e/o aggiornando il bios stesso)

-I programmi standard non rilevano problemi o intrusioni, pero' risulta palese che ci siano problemi di sicurezza, conoscete alternative a quelle sopra esposte ?

-Ipotizzando che siano determinati file o script lanciati durante l'istallazione di windows a causare il problema, come posso controllare passo passo l'istallazione ?
Ho provato a ridurre il sistema usando Nlite, falcidiando tutti i servizi non essenziali, ma il risultato non cambia, il problema si ripresenta.

-Se i miei file di sistema sono corrotti, dove trovo dei file affidabili ?

-Puo' essere che qualcuno all'interno del mio ISP si stia divertendo a mie spese ?...come faccio a tracciare questi abusi ?


-Infine ringrazio chiunque abbia avuto la pazienza anche solo di leggere fino a qui sono 2 mesi che cerco risposta al problema, quindi non scrivetemi cose tipo "cambia pc" o "cambia ISP", non credo siano soluzioni adatte.
Soprattutto non contattatemi in privato chiedendo di loggarvi al mio pc per controllare... la ritengo una misura poco utile e lesiva per la privacy.

[Tiziano R.]

Scusate se riporto su il post, ma proprio non riesco a trovare una qualche soluzione al problema...
Possibile che l'unico modo per liberarmi di questo problema, come ho letto in giro, sia quello di buttare il disco fisso e la scheda madre ?...

[Kars]

Mostraci una schermata di netstat -an ,cosi per renderci idea dei servizi e processi rimasti attivi. Inoltre bisognerebbe dare una controllata per vedere la natura dei pacchetti in entrata/uscita con uno sniffer, ti consiglio ipsniffer piccolo e leggero. Se fossero solo pacchetti in entrata molto probabilmente sono altri sistemi infetti che usano il tuo stesso provider e scandagliano la stessa sottorete.
Discorso rootkit, con i sistemi che hai utilizzato non necessariamente dovresti sentirti troppo sicuro, usando delle tecniche particolari si puo' injectare comandi nei processi in memoria, eludendo talvolta tool che controllano queste operazioni. E' da escludere bios corrotto. Importante invece disattivare i processi relativi al netbios che usano le porte piu' prese di mira: 135,445 ecc. Su google ce' tutta la procedura e qualche utility che ti consentono di rimuovere questi processi/servizi. SVCHOST e' un processo usato da piu' servizi, per intenderci, quindi e' normale averne piu' di uno nel output del taskmanager.
ciao



_____
Kars2

[Tiziano R.]

Ciao Kars, intanto grazie per la risposta, allora :

Quote:

Originariamente inviato da Kars

Mostraci una schermata di netstat -an ,cosi per renderci idea dei servizi e processi rimasti attivi.

Netstat non e' piu' attivo, questa copia di xp e' stata passata al setaccio con nLite e ho eliminato praticamente tutto il possibile, nella speranza di ovviare al problema (non ha funzionato...ma ora certo prima di riformattare e reistallare voglio accertarmi di cosa effettivamente ci sia che non va)

Quote:

Inoltre bisognerebbe dare una controllata per vedere la natura dei pacchetti in entrata/uscita con uno sniffer, ti consiglio ipsniffer piccolo e leggero. Se fossero solo pacchetti in entrata molto probabilmente sono altri sistemi infetti che usano il tuo stesso provider e scandagliano la stessa sottorete.

Da quello che vedo sono tutti pacchetti in entrata TCP, UDP e IGMP.
La stessa cosa me la riporta il firewall , tutti pacchetti in entrata.

Quote:

Discorso rootkit, con i sistemi che hai utilizzato non necessariamente dovresti sentirti troppo sicuro, usando delle tecniche particolari si puo' injectare comandi nei processi in memoria, eludendo talvolta tool che controllano queste operazioni. E' da escludere bios corrotto.

Per il fatto che non sempre i rootkit possano essere individuati ok, avevo letto di questa cosa in giro, pero'... perche' subito dalla prima istallazione il problema si presenta anche se non mi sono mai connesso ?
I software utilizzati sono puliti, e poi ne ho cambiati parecchi, facendo diversi tentativi, mi par strano che sia un problema di rootkit solo software.
Come mai escludi in modo cosi' fermo un rootkit nel bios ?

Quote:

Importante invece disattivare i processi relativi al netbios che usano le porte piu' prese di mira: 135,445 ecc. Su google ce' tutta la procedura e qualche utility che ti consentono di rimuovere questi processi/servizi.

Fatto, come descritto nel primo post

Quote:

SVCHOST e' un processo usato da piu' servizi, per intenderci, quindi e' normale averne piu' di uno nel output del taskmanager.

Il vero problema e' quando inizia ad avviare sottoprocessi che non dovrebbero avviarsi...specie su porte UDP e destinazioni che io non ho contattato volontariamente.
In ogni caso ho sospeso tutti i processi non indispensabili alla connessione, ora come ora l'unica cosa che puo' fare il pc e' (dovrebbe essere...) navigare in rete e usare un client torrent.