|
|||||||
|
|
|
 |
|
|
Strumenti |
02-02-2008, 23:48
|
#1 |
|
Member
Iscritto dal: Jan 2005
Città: prov. di Bergamo
Messaggi: 294
|
services.exe invia spam su smtp
Ciao ragazzi, una persona mi ha chiesto di mettere mano al suo pc infestato di virus*. Dopo passate su passate di antivirus & co. di varie marche, e un numero di "threats" scovati sull'ordine dei 100, sembrava che la situazione fosse abbastanza sotto controllo.
Tuttavia anche con il pc idle non ho potuto fare a meno di notare attività di rete che mi ha fatto pensar male. I sospetti si sono rivelati fondati quando un "netstat -anb" mi ha mostrato una lunga serie di: ip_locale:una_porta_a_caso ip_pubblico:dannata_porta_25!! Quasi preso da malore** pensando allo spam*** che stavo inviando con il mio ip, ho pensato: ecco, ora mi basta scovare quel dannato services.exe e farlo sparire. La ricerca di services.exe su tutto il fs tree ha rivelato però un solo file esistente: c:\windows\system32\services.ese Ho pensato ancora, sarà un services.exe modificato... Ma la scansione con uno di quei servizi online, ha riconosciuto l'md5sum del processo come noto. Ho anche provato per scrupolo a fare uno strings sul file, ma non c'è traccia nè di ip nè di urls. Ora, come è possibile? Di processo services.exe ce ne è solo uno, sia nel fs tree che in esecuzione, è forse comandato da qualcuno per inviare mails? Qualcuno sà dirmi qualcosa? O mi rassegno a chiudere la porta 25 sul firewall? ---------- *: oltre a quello comunemente chiamato microsoft windows xp *a. *a: lo so, non fa ridere, scusate... **: malore tramutato ben presto in irrefrenabile voglia di creare subito una acl sul mio cisco per bloccare il traffico smtp dal pc infetto. ***: si, proprio spam, wireshark personalmente mi ha mostrato in tutto il loro splendore pacchetti contenenti messaggi su come allungare...la vita 
__________________
->il mio blog<- -- Your mouse has moved. Windows XP must be restarted for the change to take effect. Reboot now? [ OK ] |
|
|
|
03-02-2008, 11:09
|
#2 |
|
Member
Iscritto dal: Jan 2005
Città: prov. di Bergamo
Messaggi: 294
|
risolto...!
La colpa l'ho attribuita ad un paio di file .sys: C:\WINDOWS\system32\drivers\srtwe.sys C:\WINDOWS\system32\drivers\fak32.sys ho cancellato quelli con gmer e ora niente più traffico smtp Peccato che non abbia trovato un modo di disabilitare i live links su msn, ho paura che tra un mese il pc mi tornerà indietro nelle medesime condizioni...
__________________
->il mio blog<- -- Your mouse has moved. Windows XP must be restarted for the change to take effect. Reboot now? [ OK ] |
|
|
|
|
03-02-2008, 11:39
|
#3 |
|
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
la cosa straordinaria è che, facendo una ricerca su google dei 2 .sys incriminati, il 1° risultato che si ottiene punta ad Hw
 ! e al mitico Chill-Out che, evidentemente, grazie al suo "mazzo" che si fa gratuitamente per la collettività, lavora e ha lavorato bene....Es: http://www.hwupgrade.it/forum/showpo...postcount=1921 (dal thread: http://www.hwupgrade.it/forum/showthread.php?t=1547867) Bleepingcomputer, invece, li associa ad una generica variante dell'ormai famoso Rustock... http://www.bleepingcomputer.com/star...k32-21637.html Io, cmq, una vocina a Chill-Out gliela darei.... 
|
|
|
|
|
21-02-2008, 19:50
|
#4 |
|
Senior Member
Iscritto dal: Apr 2000
Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29
Messaggi: 53971
|
Ciao masterb, ho qui un computer con un problema simile al tuo, mi sai dire come hai risolto ?
Il nome dei file è diverso, ma il comportamento è lo stesso. |
|
|
|
|
22-02-2008, 19:05
|
#5 |
|
Senior Member
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27479
|
risolto qui -> http://www.hwupgrade.it/forum/showthread.php?t=1684114
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 07:00.
