Attenzione, controllate i vostri hd, che non sia presente...

RoMZERO · 15-04-2003, 20:27

... il file nets.exe nella cartella windows\system32

Vi spiego la mia storia... sono un pò di giorni che il norton mi blocca virus con nomi sempre diversi... già a causa di questo ho pensato di avere il pc bucato da qualche trojan... ed è proprio così...

all'avvio del pc sentivo spesso uno strano suono, identico al suono di mirc quando si collega ad un server... siccome sono + di 7 mesi che non formatto ho pensato "sarà windows imputtanato"...
a causa dell'entrata di virus sempre nuovi mi son messo ad indagare e pian piano ho scovato un file strano in winnt\system32, il file nets.exe

cos'è ? è un file zip autodecompattante... comincio a guardare i file contenuti e pian piano i sospetti si fanno certezze...

nel file zip son contenuti una serie di eseguibili, 2 dei quali rimangono in memoria:
psexec.exe
nb.exe

cos'è nb.exe ? è un client mirc...
il client in questione cosa fa ? si collega ad un redirect, che a sua volta ti spara in un server e quindi in un canale...

sorpresa delle sorprese ho sgamato server e canale, sono entrato e cosa ho visto ?
una lista interminabile di poveretti, tra i quali pochi minuti prima ci stavo anche io, identificati da un numero seriale e un nick casuale (scelto dal file wordl del trojan)... dentro questo canale c'erano 4 tizi che si divertivano a fare scansioni sugli ip dei poveretti e ad inviare trojan, virus e tante altre belle cosucce...

offendendoli un pò mi han detto che sono hacker israeliani

facendo un whois del server ecco risualta che la macchina appartiene ad una università svedese http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=129.16.42.17&do_search=Search

se volete potete andare e controllare con i vostri occhi la situazione (mi raccomando disabilitate il download automatico da mirc, altrimenti vi uppano trojan o virus vari e son cavoli) ecco server e canale dei lamer in questione:

tracewar.homeip.net
#lets-rock

allego anche uno screen a dimostrazione di quanto dico

il firewall l'ho trovato completamente reso innocuo (blackice) e l'antivirus... beh GRAZIE NORTON, mi ha parato il culo...

kellone · 15-04-2003, 21:28

ottima indagine, per adesso sono tranquillo, ma se bilancino intervenisse con un commento dormirei tra due guanciali...
le ultime parole famose, dopodichè... formattò.

AlbioB · 19-04-2003, 11:27

bella indagine, complimenti

W0lf · 19-04-2003, 12:31

Ottima indagine veramente

ciao

eraser · 19-04-2003, 15:26

Ciao rom,

Puoi mandarmi questo nets.exe per mail?

In pvt ti specifico meglio tutto

grazie

Ciao

Eraser

FalconX · 21-04-2003, 10:24

Azz veramente un brutto lavoro questo nets.exe, cmq mi sono messo alla ricerca di info, ho cercato anche su diversi forum di sicurezza ma nessun post riguardante questo file. Mi stavo quasi rassegnando quando ho detto, ma xche' non andare su http://search.symantec.com ? Ho cercato questo file e guardate che ho trovato: http://search.symantec.com/custom/us/query.html

Il mio consiglio e' quello di non connettervi a quel server irc, visto che 90% e' un demone che si trova su un server bukato.

15-04-2003, 20:27	#1
RoMZERO Senior Member Iscritto dal: May 2002 Messaggi: 667	Attenzione, controllate i vostri hd, che non sia presente... ... il file nets.exe nella cartella windows\system32 Vi spiego la mia storia... sono un pò di giorni che il norton mi blocca virus con nomi sempre diversi... già a causa di questo ho pensato di avere il pc bucato da qualche trojan... ed è proprio così... all'avvio del pc sentivo spesso uno strano suono, identico al suono di mirc quando si collega ad un server... siccome sono + di 7 mesi che non formatto ho pensato "sarà windows imputtanato"... a causa dell'entrata di virus sempre nuovi mi son messo ad indagare e pian piano ho scovato un file strano in winnt\system32, il file nets.exe cos'è ? è un file zip autodecompattante... comincio a guardare i file contenuti e pian piano i sospetti si fanno certezze... nel file zip son contenuti una serie di eseguibili, 2 dei quali rimangono in memoria: psexec.exe nb.exe cos'è nb.exe ? è un client mirc... il client in questione cosa fa ? si collega ad un redirect, che a sua volta ti spara in un server e quindi in un canale... sorpresa delle sorprese ho sgamato server e canale, sono entrato e cosa ho visto ? una lista interminabile di poveretti, tra i quali pochi minuti prima ci stavo anche io, identificati da un numero seriale e un nick casuale (scelto dal file wordl del trojan)... dentro questo canale c'erano 4 tizi che si divertivano a fare scansioni sugli ip dei poveretti e ad inviare trojan, virus e tante altre belle cosucce... offendendoli un pò mi han detto che sono hacker israeliani facendo un whois del server ecco risualta che la macchina appartiene ad una università svedese http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=129.16.42.17&do_search=Search se volete potete andare e controllare con i vostri occhi la situazione (mi raccomando disabilitate il download automatico da mirc, altrimenti vi uppano trojan o virus vari e son cavoli) ecco server e canale dei lamer in questione: tracewar.homeip.net #lets-rock allego anche uno screen a dimostrazione di quanto dico il firewall l'ho trovato completamente reso innocuo (blackice) e l'antivirus... beh GRAZIE NORTON, mi ha parato il culo...

15-04-2003, 21:28	#2
kellone Senior Member Iscritto dal: Jan 2003 Città: Genova Messaggi: 11586	ottima indagine, per adesso sono tranquillo, ma se bilancino intervenisse con un commento dormirei tra due guanciali... le ultime parole famose, dopodichè... formattò. __________________ CPU 5800X3D MOBO TUF Gaming B550M-Plus WiFi II RAM FURY Renegade 32GB 3600MHz CL16 DISSI ARCTIC Liquid Freezer II 240 CASE Lian-Li O11 AIR Mini PSU PC FOCUS GX-850 NVME 1 ADATA XPG GAMMIX S70 BLADE 1Tb NVME 2 Crucial P3 Plus 2Tb SSD Crucial MX500 1TB GPU Gainward GeForce RTX 4090 Phantom MONITOR Samsung Odyssey NEO G7 32" TV OLED LG C1 55" e 65"

19-04-2003, 12:31	#4
W0lf Senior Member Iscritto dal: Apr 2003 Città: {LC} Messaggi: 827	Ottima indagine veramente ciao __________________ ..::W0lf::..

19-04-2003, 15:26	#5
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	Ciao rom, Puoi mandarmi questo nets.exe per mail? In pvt ti specifico meglio tutto grazie Ciao Eraser __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

19-04-2003, 11:27	#3
AlbioB Senior Member Iscritto dal: Nov 2001 Città: EU Messaggi: 2991	bella indagine, complimenti

21-04-2003, 10:24	#6
FalconX Junior Member Iscritto dal: Apr 2003 Messaggi: 3	Azz veramente un brutto lavoro questo nets.exe, cmq mi sono messo alla ricerca di info, ho cercato anche su diversi forum di sicurezza ma nessun post riguardante questo file. Mi stavo quasi rassegnando quando ho detto, ma xche' non andare su http://search.symantec.com ? Ho cercato questo file e guardate che ho trovato: http://search.symantec.com/custom/us/query.html Il mio consiglio e' quello di non connettervi a quel server irc, visto che 90% e' un demone che si trova su un server bukato.

Strumenti
Mostra una versione stampabile Invia questa pagina per email