PDA

Visualizza versione completa : nuovo virus? sygs.exe


bllmtt
08-09-2004, 12.01.35
Sono nella $roba_fetida_marrone! Ho due pc in sedi distaccate della ditta affetti da "qualcosa". Dico "qualcosa" perchè ne SAV ne McAfee rilevano nulla. Il problema è che ho individuato un pezzo del virus ma non trovo alcuna informazione su Internet.
Qualcuno si è già scontrato o ha notizie di un file che si chiama sygs.exe??
Nel registro di windows si spaccia per sygates personal firewall, si infila in un sacco di chiavi (praticamente in tutte le services e run sia in HKLM che in HKCU che in HKU). Dopo aver cancellato tutte le chiavi e riavviato il pc, le chiavi sono di nuovo presenti. Suppongo ci sia qualche altro file che va in esecuzione all'avvio e che ripristina le chiavi e lancia l'eseguibile.
Sniffando il traffico di rete ho scoperto che:
1. si collega ad un server irc (ho fatto 2 prove e si colelga a server diversi) autenticandosi con uno username e una password
2. spara pacchetti sulla porta 445 facendo andare in crash i sistemi operativi che non hanno la patch del bolletino di Microsoft 2004-11.

Non sono riuscito a capire se uno ha infettato l'altro o il contaggio è venuto da altre fonti.

AIUTO!!!!!! L'unica soluzione al momento sembra formattare il pc

ciao a tutti
Matteo

Slith
08-09-2004, 12.52.17
Mi sono fatto un giro x alcune delle più grandi case di antivirus del mondo(symantec,trendmicro etc.) nessuna di queste conosce questo file(sygs.exe)..e ne tantomeno se sia associato ad un virus o quant' altro:rolleyes: , ti posso dire che anche io ho un paio di chiavi che riguardano sygs.exe, nessun problema riscontrato.

Non saprei proprio...:O

Lionsquid
08-09-2004, 17.07.38
Originariamente inviato da bllmtt
...cut...

Dopo aver cancellato tutte le chiavi e riavviato il pc, le chiavi sono di nuovo presenti. Suppongo ci sia qualche altro file che va in esecuzione all'avvio e che ripristina le chiavi e lancia l'eseguibile.


...cut...

Sniffando il traffico di rete ho scoperto che:
1. si collega ad un server irc (ho fatto 2 prove e si colelga a server diversi) autenticandosi con uno username e una password
2. spara pacchetti sulla porta 445 facendo andare in crash i sistemi operativi che non hanno la patch del bolletino di Microsoft 2004-11.

....

Presumo che sia inserito come falso servizio, indaga in quella direzione... oppure ha sostituito un file "innocente"...

quanto al comportamento, potresti monitorare cosa cambia dopo il repulisti usando sw come INCTRL5....sia le chiavi "run", che i vari system.ini... per i servizi ci vuole un pò di pazienza in +...

interessante, cmq...

bllmtt
08-09-2004, 20.13.41
Proverò il software che mi hai consigliato. L'ideale sarebbe che riesca a rilevarmi quale file viene lanciato all'avvio (in realtà sembra che si attivi al login dell'utente) e che modifica il registro.
Qualcuno conosce software simili?
Matteo

bllmtt
20-10-2004, 15.05.14
Un mese dopo cominciano ad arrivare le soluzione dai produttori di AV

http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_RBOT.XB

bllmtt
20-10-2004, 15.48.03
per fare pulizia a mano

http://computercops.biz/postp323239.html

ciao
Matteo

crWT
20-10-2004, 17.05.29
Si trova anche questo:
symantec (http://servicenews.symantec.com/cgi-bin/displayArticle.cgi?article=<1096393156.1701900699@newsrouter.symantec.com>&group=symantec.support.generic.virus_corporate.gen eral)