Strano Attacco Esterno al mio pc.

MarcoFLY · 23-07-2010, 02:20

Salve a tutti

Stammattina accedendo al mio pc ho trovato questa sgradita sorpresa

Voglio solo Premettere che utilizzo settimanalmente svariati tools di protezione e sicurezza (quotidianamente aggiornati) tra i quali cito :

Avast 5
adaware
Malwarebytes antimalware
combofix
Eusing free registri cleaner
Ccleaner
Spybot - Search & Destroy

saltuariamente attivo la suite Comodo

Il mio pc è perennemente operativo , lo spengo solo per qualche riavvio necessario, ed è sempre connesso ad internet.

Ho 1 solo account (oltre Administrators ,con password,dal quale non mi sono mai loggato e che normalmente non compare al login) attivo, il mio protetto da nome utente e password.

Premesso ciò vengo al dunqe :

Stamane accendendo il monitor mi trovo la schermata di login con presenti 2 account attivi

Il mio solito e quello administrator.

Curioso di sapere che cosa ci facesse l'account administrator attivo vi accedo.

Riesco solo a visualizzare una schermata del Cmd attiva dalla quale si evince che un' ip esterno si è loggato sulla mia postazione da remoto accedendo come amministratore.

il pc non rispondeva a nessun comando digitato e non era possibille avviare nessun software pertanto ho effettuato una foto completa di ciò che vedevo a monitor :

Da questa schermata ho dedotto che qualcuno si è loggato nel mio pc con i pribilegi di amministratore,
lo stesso con il comando md ha cercato di creare nella cartell c:\windows (%windir%) una nuova cartella chiamata conh

Cartella che tra l'altro è gia presente .

Con il comando Net stop MPSSVC deduco abbia tentato di disabilitare il firewall di windows , servizio che non ho attivo , come da risposta nel file.

L'intruso dopo aver cercato di disabilitare il firewall ha iniziato a dare comandi ftp

nello specifico il comando ftp -n ( del quale non conosco ancora il significato)

Fatto questo si è collegato come user anonimo a questo indirizzo ip in modalità ftp :

Codice:

95.211.131.155

Effettuando un whois su questo ip risulta risiedere ad Amsterdam :

Codice:

Nome host  	 Sconosciuto
Provider  	         LEEWEB
Continente 	 Europa
Bandiera 	         NL
Nazione 	         Olanda
Codice ISO 	 NL (NLD)
Regione 	         Noord-Holland
Ora locale* 	 23 Jul 2010 00:14
Città 	         Amsterdam
Indirizzo IP 	 95.211.131.155
Latitudine 	 52.35
Longitudine 	 4.9167

Fatto questo sul mio pc da quell' ip nella cartella conh situata nella directory c:\windows sono stati scaricati dall ip alla mia cartella 2 o 3 file cosi chiamati :

Codice:

redirect.exe
conhost.exe
dwm.exe

Fatto questo l'intruso ha chiuso la connessione ed è comparsa la scritta GoodBye!!

Mi sono connesso tramite il mio FlashFxp come utente anonimo
all' IP incriminato riuscendo ad avere accesso e visualizzando questa schermata:

Nella cartella soft non ho potuto accedere ma ho preso visione degli altri 2 file :

Codice:

conhost.exe_1
dwm.exe

che mi sono scaricato sul mio pc e che risultano essere dei malware.

Questo è il log della mia connessione FTP

Codice:

WinSock 2.0 -- OpenSSL 0.9.8i 15 Sep 2008
[R] In connessione a 95.211.131.155 -> IP=95.211.131.155 PORT=21
[R] Connesso a 95.211.131.155
[R] 220 (vsFTPd 2.0.7)
[R] USER anonymous
[R] 331 Please specify the password.
[R] PASS (hidden)
[R] 230 Login successful.
[R] SYST
[R] 215 UNIX Type: L8
[R] FEAT
[R] 211-Features:
[R]  EPRT
[R]  EPSV
[R]  MDTM
[R]  PASV
[R]  REST STREAM
[R]  SIZE
[R]  TVFS
[R]  UTF8
[R] 211 End
[R] PWD
[R] 257 "/"
[R] TYPE A
[R] 200 Switching to ASCII mode.
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,242,244)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 62196
[R] LIST -al
[R] 150 Here comes the directory listing.
[R] 226 Directory send OK.
[R] Elenco completato: 307 byte in 0,72 secondi (0,4 KB/s)
[R] CWD soft
[R] 550 Failed to change directory.
[R] TYPE I
[R] 200 Switching to Binary mode.
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,54,191)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 14015
[R] RETR conhost.exe_1
[R] 150 Opening BINARY mode data connection for conhost.exe_1 (585728 bytes).
[R] 226 File send OK.
Trasferito: conhost.exe_1 572 KB in 2,03 secondi (281,6 KB/s)
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,29,40)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 7464
[R] RETR dwm.exe
[R] 150 Opening BINARY mode data connection for dwm.exe (69632 bytes).
[R] 226 File send OK.
Trasferito: dwm.exe 68 KB in 0,53 secondi (128,1 KB/s)
Coda di trasferimento completata
File trasferiti: 2 , per un totale di 640 KB in 3,92 secondi (249,8 KB/s)
[R] CWD /soft
[R] 550 Failed to change directory.
Coda di trasferimento completata
[R] CWD /soft
[R] 550 Failed to change directory.
Coda di trasferimento completata
[R] CWD /soft
[R] 550 Failed to change directory.
[R] CWD /
[R] 250 Directory successfully changed.
[R] PWD
[R] 257 "/"
[R] CWD /
[R] 250 Directory successfully changed.
[R] TYPE A
[R] 200 Switching to ASCII mode.
[R] PASV
[R] 227 Entering Passive Mode (95,211,131,155,73,19)
[R] Apertura connessione dati IP: 95.211.131.155 PORTA: 18707
[R] LIST -alR
[R] 150 Here comes the directory listing.
[R] 226 Directory send OK.
[R] Elenco completato: 307 byte in 0,47 secondi (0,6 KB/s)

Come precauzione ho iniziato ad effettuare scansioni con i vari programmi
ma non trovano niente specie nella cartella c:\windows\conh che è quella dove sono stati ,penso, sovrascritti i file originali.

Avendo io nel pc 4 hd da 1 Tera l'uno ed uno da 320 Gb le scansioni sono molto , ma molto lunghe e stanno cmq procedendo .

Cercando in rete qualche probabile soluzione non ho trovato molto

Norton Safe Web lo classifica un sito buono :

Codice:

http://safeweb.norton.com/report/show?name=95.211.131.155

Mcafee site advisor non lo ha mai censito

è probabile che sia un proxy da come vedo su google.

MalwareBytes riporta i file cosi

Codice:

conhost.exe_1 (Trojan.Agent) -> Quarantined and deleted successfully.
dwm.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Per le informazioni on line che sono riuscito a reperire mi sembra di aver capito che siano , anche i comandi da shell impartiti , tutti dedicati a sistemi Vista e Seven , il mio pc gira con xp sp3.

Quindi chiedevo se qualcuno di voi si è trovato in una condizione simile , o addirittura identica , ed in tal caso come ha provveduto ad arginare l'intrusione evitando di avere un firewall sempre attivo.

al momento non sono cosciente dei danni che abbia fatto questa intrusione.

E' tutto ancora in fase di scansione che non ho idea quando terminerà .

Grazie Mille per le delucidazioni in merito che mi darete , nell'attessa di terminare le varie scansioni .

Bye

**Chill-Out** · 23-07-2010, 15:32

Ciao, per il momento posso solo consigliarti di seguire esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

MarcoFLY · 23-07-2010, 16:55

Salve Chill .
Ho letto precedentemente le regole di sezione ed è mia intenzione postare quanto prima dei log , solo che ormai sono in perenne scansione da oltre 24 ore in quanto la mole di dati ,circa 4 tera effettivi, mi obbliga ad estenuanti attese.

Ho postato il tutto precedentemente e senza log per sapere se qualche altro utente si è già imbattuto in questo strano attacco visualizzando a monitor quello che ho visualizzato io (screenshot dell'immagine allegata) proveniente da quell' ip, il tutto per capire se è un episodio strettamente personale , legato alla mia persona o un comune attacco di qualche malware (visto che ricercando on line non trovo episodi simili).

Poi come ultimo consiglio prima di postare ulteriormente rihuardo i log, avendo in totale 5 HD , conviene che le scansioni complete siano fatti su tutti e 5 o solo su quello di sistema ?

Grazie 1000

**Chill-Out** · 23-07-2010, 18:19

Quote:

Originariamente inviato da MarcoFLY

il tutto per capire se è un episodio strettamente personale , legato alla mia persona o un comune attacco di qualche malware

Dire che non si tratta di una cosa personale

Quote:

Originariamente inviato da MarcoFLY

Poi come ultimo consiglio prima di postare ulteriormente rihuardo i log, avendo in totale 5 HD , conviene che le scansioni complete siano fatti su tutti e 5 o solo su quello di sistema ?

Grazie 1000

Sarebbe opportuno scansionare tutto, non possiamo sapere a priori se c'è qualcosa di depositato in giro.

23-07-2010, 02:20	#1
MarcoFLY Junior Member Iscritto dal: Jan 2003 Messaggi: 17	Strano Attacco Esterno al mio pc. Salve a tutti Stammattina accedendo al mio pc ho trovato questa sgradita sorpresa Voglio solo Premettere che utilizzo settimanalmente svariati tools di protezione e sicurezza (quotidianamente aggiornati) tra i quali cito : Avast 5 adaware Malwarebytes antimalware combofix Eusing free registri cleaner Ccleaner Spybot - Search & Destroy saltuariamente attivo la suite Comodo Il mio pc è perennemente operativo , lo spengo solo per qualche riavvio necessario, ed è sempre connesso ad internet. Ho 1 solo account (oltre Administrators ,con password,dal quale non mi sono mai loggato e che normalmente non compare al login) attivo, il mio protetto da nome utente e password. Premesso ciò vengo al dunqe : Stamane accendendo il monitor mi trovo la schermata di login con presenti 2 account attivi Il mio solito e quello administrator. Curioso di sapere che cosa ci facesse l'account administrator attivo vi accedo. Riesco solo a visualizzare una schermata del Cmd attiva dalla quale si evince che un' ip esterno si è loggato sulla mia postazione da remoto accedendo come amministratore. il pc non rispondeva a nessun comando digitato e non era possibille avviare nessun software pertanto ho effettuato una foto completa di ciò che vedevo a monitor : Da questa schermata ho dedotto che qualcuno si è loggato nel mio pc con i pribilegi di amministratore, lo stesso con il comando md ha cercato di creare nella cartell c:\windows (%windir%) una nuova cartella chiamata conh Cartella che tra l'altro è gia presente . Con il comando Net stop MPSSVC deduco abbia tentato di disabilitare il firewall di windows , servizio che non ho attivo , come da risposta nel file. L'intruso dopo aver cercato di disabilitare il firewall ha iniziato a dare comandi ftp nello specifico il comando ftp -n ( del quale non conosco ancora il significato) Fatto questo si è collegato come user anonimo a questo indirizzo ip in modalità ftp : Codice: 95.211.131.155 Effettuando un whois su questo ip risulta risiedere ad Amsterdam : Codice: Nome host Sconosciuto Provider LEEWEB Continente Europa Bandiera NL Nazione Olanda Codice ISO NL (NLD) Regione Noord-Holland Ora locale* 23 Jul 2010 00:14 Città Amsterdam Indirizzo IP 95.211.131.155 Latitudine 52.35 Longitudine 4.9167 Fatto questo sul mio pc da quell' ip nella cartella conh situata nella directory c:\windows sono stati scaricati dall ip alla mia cartella 2 o 3 file cosi chiamati : Codice: redirect.exe conhost.exe dwm.exe Fatto questo l'intruso ha chiuso la connessione ed è comparsa la scritta GoodBye!! Mi sono connesso tramite il mio FlashFxp come utente anonimo all' IP incriminato riuscendo ad avere accesso e visualizzando questa schermata: Nella cartella soft non ho potuto accedere ma ho preso visione degli altri 2 file : Codice: conhost.exe_1 dwm.exe che mi sono scaricato sul mio pc e che risultano essere dei malware. Questo è il log della mia connessione FTP Codice: WinSock 2.0 -- OpenSSL 0.9.8i 15 Sep 2008 [R] In connessione a 95.211.131.155 -> IP=95.211.131.155 PORT=21 [R] Connesso a 95.211.131.155 [R] 220 (vsFTPd 2.0.7) [R] USER anonymous [R] 331 Please specify the password. [R] PASS (hidden) [R] 230 Login successful. [R] SYST [R] 215 UNIX Type: L8 [R] FEAT [R] 211-Features: [R] EPRT [R] EPSV [R] MDTM [R] PASV [R] REST STREAM [R] SIZE [R] TVFS [R] UTF8 [R] 211 End [R] PWD [R] 257 "/" [R] TYPE A [R] 200 Switching to ASCII mode. [R] PASV [R] 227 Entering Passive Mode (95,211,131,155,242,244) [R] Apertura connessione dati IP: 95.211.131.155 PORTA: 62196 [R] LIST -al [R] 150 Here comes the directory listing. [R] 226 Directory send OK. [R] Elenco completato: 307 byte in 0,72 secondi (0,4 KB/s) [R] CWD soft [R] 550 Failed to change directory. [R] TYPE I [R] 200 Switching to Binary mode. [R] PASV [R] 227 Entering Passive Mode (95,211,131,155,54,191) [R] Apertura connessione dati IP: 95.211.131.155 PORTA: 14015 [R] RETR conhost.exe_1 [R] 150 Opening BINARY mode data connection for conhost.exe_1 (585728 bytes). [R] 226 File send OK. Trasferito: conhost.exe_1 572 KB in 2,03 secondi (281,6 KB/s) [R] PASV [R] 227 Entering Passive Mode (95,211,131,155,29,40) [R] Apertura connessione dati IP: 95.211.131.155 PORTA: 7464 [R] RETR dwm.exe [R] 150 Opening BINARY mode data connection for dwm.exe (69632 bytes). [R] 226 File send OK. Trasferito: dwm.exe 68 KB in 0,53 secondi (128,1 KB/s) Coda di trasferimento completata File trasferiti: 2 , per un totale di 640 KB in 3,92 secondi (249,8 KB/s) [R] CWD /soft [R] 550 Failed to change directory. Coda di trasferimento completata [R] CWD /soft [R] 550 Failed to change directory. Coda di trasferimento completata [R] CWD /soft [R] 550 Failed to change directory. [R] CWD / [R] 250 Directory successfully changed. [R] PWD [R] 257 "/" [R] CWD / [R] 250 Directory successfully changed. [R] TYPE A [R] 200 Switching to ASCII mode. [R] PASV [R] 227 Entering Passive Mode (95,211,131,155,73,19) [R] Apertura connessione dati IP: 95.211.131.155 PORTA: 18707 [R] LIST -alR [R] 150 Here comes the directory listing. [R] 226 Directory send OK. [R] Elenco completato: 307 byte in 0,47 secondi (0,6 KB/s) Come precauzione ho iniziato ad effettuare scansioni con i vari programmi ma non trovano niente specie nella cartella c:\windows\conh che è quella dove sono stati ,penso, sovrascritti i file originali. Avendo io nel pc 4 hd da 1 Tera l'uno ed uno da 320 Gb le scansioni sono molto , ma molto lunghe e stanno cmq procedendo . Cercando in rete qualche probabile soluzione non ho trovato molto Norton Safe Web lo classifica un sito buono : Codice: http://safeweb.norton.com/report/show?name=95.211.131.155 Mcafee site advisor non lo ha mai censito è probabile che sia un proxy da come vedo su google. MalwareBytes riporta i file cosi Codice: conhost.exe_1 (Trojan.Agent) -> Quarantined and deleted successfully. dwm.exe (Trojan.Agent) -> Quarantined and deleted successfully. Per le informazioni on line che sono riuscito a reperire mi sembra di aver capito che siano , anche i comandi da shell impartiti , tutti dedicati a sistemi Vista e Seven , il mio pc gira con xp sp3. Quindi chiedevo se qualcuno di voi si è trovato in una condizione simile , o addirittura identica , ed in tal caso come ha provveduto ad arginare l'intrusione evitando di avere un firewall sempre attivo. al momento non sono cosciente dei danni che abbia fatto questa intrusione. E' tutto ancora in fase di scansione che non ho idea quando terminerà . Grazie Mille per le delucidazioni in merito che mi darete , nell'attessa di terminare le varie scansioni . Bye

23-07-2010, 15:32	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao, per il momento posso solo consigliarti di seguire esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione. Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

23-07-2010, 16:55	#3
MarcoFLY Junior Member Iscritto dal: Jan 2003 Messaggi: 17	Salve Chill . Ho letto precedentemente le regole di sezione ed è mia intenzione postare quanto prima dei log , solo che ormai sono in perenne scansione da oltre 24 ore in quanto la mole di dati ,circa 4 tera effettivi, mi obbliga ad estenuanti attese. Ho postato il tutto precedentemente e senza log per sapere se qualche altro utente si è già imbattuto in questo strano attacco visualizzando a monitor quello che ho visualizzato io (screenshot dell'immagine allegata) proveniente da quell' ip, il tutto per capire se è un episodio strettamente personale , legato alla mia persona o un comune attacco di qualche malware (visto che ricercando on line non trovo episodi simili). Poi come ultimo consiglio prima di postare ulteriormente rihuardo i log, avendo in totale 5 HD , conviene che le scansioni complete siano fatti su tutti e 5 o solo su quello di sistema ? Grazie 1000

Strumenti
Mostra una versione stampabile Invia questa pagina per email