PDA

Visualizza versione completa : (Kerio Firewall) Possibile virus...


Tecno214
29-03-2007, 09.03.20
Ho ricevuto da un cliente un pc che, tra le altre cose presenta una caratteristica che mi fa pensare ad un possibile virus..
Premetto che lo stesso firewall "kerio" quello che uso personalemnte per cui ritengo di aver sviluppato in esso un minimo di conoscenza.

Ho notato che tra le rules create nell'elenco applicazioni ce n' una denominata KVPN (kerio Virtual Private Network) che genera ad intervalli iregolari un tentativo di connessione ad un server sempre diverso, magari per scaricare degli exploit o degli script malevoli...
Ho impostato di default il blocco per tale applicazione e mi ritrovo il reg Event di kerio, sezione web, completamente pieno di tentativi di connessione dell'applicazione KVPN a googleadvertising.
Il curioso che il tentativo di log generato da una applicazione che si chiama \\.*(nomecasuale)\(ipcasuale) il che mi lascia pensare ad un bel rootkit.

Ho provato con esito NEGATIVO tutti i seguenti tools
*) Vir-it aggiornato all'ultima versione
*) GMER
*) Hijackthis, che ha un log pulitissimo!
*) Superantispyware e SpyBoot
*) MWAV Antivirus
*) AVG Free

Tutti non rilevano niente di niente sia da provvisoria che da normale.

*) I servizi sono tutti nella norma visto che molti rootikit generano appunto servizi di sistema fasulli.

Se fosse un rootkit stavolta si camuffato veramente bene.

Oggi da casa far una schermata esemplificativa del problema; non voglio ridare la macchina al cliente con un problema abbastanza evidente.

Lionsquid
29-03-2007, 12.52.18
i rootkit maligni si evolvono a velocit supersoniche :(


dovresti controllare bene i servizi e soprattutto l'utente associato...

e dato che gli strumenti conosciuti e collaudati non rilevano nulla, forse il momento giusto di provarne altri, col duplice scopo di scoprire l'intruso e cercare nuovi tools ;)

attendiamo sviluppi ;)

Tecno214
29-03-2007, 16.44.59
IMAGE (http://img175.imageshack.us/my.php?image=senzatitolo3el6.jpg)

Questa una immagine di ci che ho rilavato....

I servizi sono stati MINUZIOSAMENTE CONTROLLATI, non c' niente di irregolare.
Ho istallatoanche la consolle Pserve che scaricai a suo tempo da Wintricks in modo da avere ben chiaro il quadro della situazione dei servizi stessi!
Niente di anomalo.
Comincio a credere di aver preso un abbaglio...
La rete praticamente oscura a questo problema, ho letto un paio di forum inglesi e un utente italiano con lo stesso prblema ma non sembra ci siano pareri concordanti.

Intanto c' da dire che il pc non ha niente di anomalo.

Una cosa l'ho notata.
Ho cercato di rifare le ultime operazioni fatte dall'utente il giorno prima che si accorto del problema visto che mi ha riportato che, oltre ad Emule in esecuzione, il prblema si manifestato SUBITO DOPO aver scaricato il tools BHT 3.0 dal link proposto proprio da Wintricks pochi giorni fa e, magia delle magie, subito dopo kerio si riepito di log verso l'indirizzo "fasullo".
Mi verrebbe voglia di autorizzare il collegamento all'host remoto e vederne le conseguenze, magari in una V.M.