Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 29-03-2007, 10.03.20   #1
Tecno214
Hero Member
 
L'avatar di Tecno214
 
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
Tecno214 promette bene
(Kerio Firewall) Possibile virus...

Ho ricevuto da un cliente un pc che, tra le altre cose presenta una caratteristica che mi fa pensare ad un possibile virus..
Premetto che lo stesso firewall "kerio" è quello che uso personalemnte per cui ritengo di aver sviluppato in esso un minimo di conoscenza.

Ho notato che tra le rules create nell'elenco applicazioni ce n'è una denominata KVPN (kerio Virtual Private Network) che genera ad intervalli iregolari un tentativo di connessione ad un server sempre diverso, magari per scaricare degli exploit o degli script malevoli...
Ho impostato di default il blocco per tale applicazione e mi ritrovo il reg Event di kerio, sezione web, completamente pieno di tentativi di connessione dell'applicazione KVPN a googleadvertising.
Il curioso è che il tentativo di log è generato da una applicazione che si chiama \\.*(nomecasuale)\(ipcasuale) il che mi lascia pensare ad un bel rootkit.

Ho provato con esito NEGATIVO tutti i seguenti tools
*) Vir-it aggiornato all'ultima versione
*) GMER
*) Hijackthis, che ha un log pulitissimo!
*) Superantispyware e SpyBoot
*) MWAV Antivirus
*) AVG Free

Tutti non rilevano niente di niente sia da provvisoria che da normale.

*) I servizi sono tutti nella norma visto che molti rootikit generano appunto servizi di sistema fasulli.

Se fosse un rootkit stavolta si è camuffato veramente bene.

Oggi da casa farò una schermata esemplificativa del problema; non voglio ridare la macchina al cliente con un problema abbastanza evidente.
Tecno214 non è collegato   Rispondi citando
Vecchio 29-03-2007, 13.52.18   #2
Lionsquid
Gold Member
Top Poster
 
L'avatar di Lionsquid
 
Registrato: 03-05-2001
Loc.: Trapani
Messaggi: 11.639
Lionsquid promette bene
i rootkit maligni si evolvono a velocità supersoniche


dovresti controllare bene i servizi e soprattutto l'utente associato...

e dato che gli strumenti conosciuti e collaudati non rilevano nulla, forse è il momento giusto di provarne altri, col duplice scopo di scoprire l'intruso e cercare nuovi tools

attendiamo sviluppi
___________________________________

... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica....
Beppe Grillo
Lionsquid non è collegato   Rispondi citando
Vecchio 29-03-2007, 17.44.59   #3
Tecno214
Hero Member
 
L'avatar di Tecno214
 
Registrato: 26-06-2006
Loc.: Empoli (FI)
Messaggi: 968
Tecno214 promette bene
IMAGE

Questa è una immagine di ciò che ho rilavato....

I servizi sono stati MINUZIOSAMENTE CONTROLLATI, non c'è niente di irregolare.
Ho istallatoanche la consolle Pserve che scaricai a suo tempo da Wintricks in modo da avere ben chiaro il quadro della situazione dei servizi stessi!
Niente di anomalo.
Comincio a credere di aver preso un abbaglio...
La rete è praticamente oscura a questo problema, ho letto un paio di forum inglesi e un utente italiano con lo stesso prblema ma non sembra ci siano pareri concordanti.

Intanto c'è da dire che il pc non ha niente di anomalo.

Una cosa l'ho notata.
Ho cercato di rifare le ultime operazioni fatte dall'utente il giorno prima che si è accorto del problema visto che mi ha riportato che, oltre ad Emule in esecuzione, il prblema si è manifestato SUBITO DOPO aver scaricato il tools BHT 3.0 dal link proposto proprio da Wintricks pochi giorni fa e, magia delle magie, subito dopo kerio si è riepito di log verso l'indirizzo "fasullo".
Mi verrebbe voglia di autorizzare il collegamento all'host remoto e vederne le conseguenze, magari in una V.M.
Tecno214 non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Kerio Firewall 4.3.268 Gervy Archivio News Software 3 20-07-2006 18.14.43
Virus polli: 1° contagio da uomo a uomo (Update) Gigi75 Chiacchiere in libertà 76 23-04-2006 14.38.10
Software e Drivers Beta - alpha ecc. Gervy Segnalazioni Web 213 12-06-2005 02.15.14
problema con possibile virus massimo729 Sicurezza&Privacy 3 03-05-2004 14.47.55

Orario GMT +2. Ora sono le: 18.49.10.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.