Attacco da sito DCOM EXPLOIT ...che fare ?

[miciotta62]

sia altro ieri che ieri mentre navigavo in 2 siti ipersicuri, mi e’ apparso il pop ROSSO di avast che mi segnalava
un (non ricordo se accesso o tentativo di connessione…) di un sito chiamato DCOM EXPLOIT , ma di
che si tratta ? come mai Avast l’ha bloccato 2 volte ? come elimino sto problema ?



http://forum.avast.com/index.php?topic=66551.0

http://forum.avast.com/index.php?topic=67010.0

http://forum.avast.com/index.php?topic=63295.0

http://www.grc.com/freeware/dcom.htm

http://www.microsoft.com/technet/sec.../MS03-026.mspx

http://forum.avast.com/index.php?topic=65990.0

https://www.grc.com/x/ne.dll?rh1dkyd2

questo TEST mi da tutto verde con stealth !


"- Attacchi DCOM sono speculative, non mirata e cerca di sfruttare una vulnerabilità nel sistema operativo obsoleto, se il vostro sistema operativo sia aggiornato, allora non sono vulnerabili a sfruttare le. Ciò non impedisce loro (di solito una persona dallo stesso ISP con un computer infetto), cercando di vedere se si può infettare gli altri.

Il tuo firewall dovrebbe essere la prima linea di difesa in questo, ma avast controlla anche le porte comuni di attacco utilizzando la protezione di rete, in teoria il firewall dovrebbe bloccare e avast non lo sanno, ma per qualsiasi motivo avast è in prima linea sul vostro firewall ...."

che significa ?????


ma in inglese…cosa dicono che sia ??? quindi NON c’e da preoccuparsi ? fatto il TEST sopra e mi da tutto verde e stealth quindi
mio firwall di xp ok e mi protegge ? avast cmq sembra che blocca questa intrusione di DCOM ! che dite che fare ?

[LoryOne]

Dice semplicemente che un computer infetto può scandagliare la rete in cerca della porta TCP 445 aperta, sulla quale sono in ascolto i servizi DCOM, RPC ed SMB: Se la trova, prova ad iniettare codice malevolo sulla macchina attraverso un exploit che agisce sulla vulnerabilità non patchata del servizio stesso. L'accesso al computer attraverso internet è il primo veicolo d'infezione, per poi consentire l'attacco sulla sottorete di appartenenza del client infetto che può consentire l'uscita all'esterno del protocollo TCP su porta 445 attarverso il router. Anche i client appartenenti alla tua rete interna possono essere interessati dal malware. In particolare, la pagina internet che il tuo browser elabora, può contenere al suo interno il link al malware che viene eseguito in locale grazie all'automazione fornita dagli ActiveX o scripting host, oppure dalla errata interpretazione del codice HTML. Quella pagina, però, non è quella de siti di test, pertanto da quei siti risulta solo che il tuo firewall blocca dall'esterno l'accesso alla TCP 445, oppure che la consente, ma il tuo client è patchato e l'attacco non può essere portato a termine con successo.

In linea generale, un buon utente (ed anche sysadmin) deve provvedere a mantenere aggornati sia il S.O., sia i dispositivi di rete, sia gli applicativi come il browser che consentono l'esecuzione in locale di codice acquisito dall'esterno (pagine internet): Al tutto, deve essere aggiunta una buona dose di intelligenza da parte dell'utente nel far uso coscente di Internet, nonchè limitare col suo operato la possibilità di infettare gli altrui PC.

NB: In sintesi, quanto sopra è il sunto di quanto riguarda l'ambito sicurezza SOLO lato client.

[miciotta62]

grazie... quindi devo fare qualcosa per i continui pop up rossi di avast o significa attachi all dcom bloccati da avast ? che faccio ?

[LoryOne]

Bisogna prima vedere se AVAST segnala il tentatvo di attacco dall' * esterno o dall'interno: Quando hai fatto il test e sei risultata stealth, sono state verificate le porte TCP 135,139 e 445 ? Se no, allora puoi essere già infetta dall'interno, cioè sei tu che provi ad aprire un canale d'infezione. Quel DCOM Exploit non è il nome di un sito (perdonami, ma mi sono fidato di cio che hai scritto), bensì il payload relativo all'exploit che AVAST ha identificato e forse bloccato. La prima cosa che ti consiglio di fare, è patchare opportunamente il tuo Windows, verificare che il messaggio appaia nuovamente e poi procedere ad una scansione antivirus (McAfee stinger, ad esempio) che sia in grado di identificare eventuali trojan già presenti sul tuo PC e non identificati da AVAST.

* Esattamente, cosa appare sullo schermo ?
E' riportato l'IP da cui proviene l'attacco ?

[LoryOne]

Piccolo appunto:

Quota:

Inviato da LoryOne

La prima cosa che ti consiglio di fare, è patchare opportunamente il tuo Windows, verificare che il messaggio appaia nuovamente e poi procedere ad una scansione antivirus (McAfee stinger, ad esempio) che sia in grado di identificare eventuali trojan già presenti sul tuo PC e non identificati da AVAST.

Anche patchando opportunamente Windows può comparire l'avvertimento, poichè la pacth è indipendente dal contenuto dell' eventuale sessione aperta. La patch consente a te di evitare che il servizio in questione (sono più di uno interdipendenti) possa essere sfruttato dal payload, ma tu puoi essere colei che scansiona altri IP in cerca di vulnerabilità. Per questo devi patchare e verificare di non essere infetta da trojan che ti sfruttano come portatrice sana del virus, con internet come veicolo di contagio.

[miciotta62]

sicuri ?

si cmq le porte sono tutte stealth ..quindi bloccate ?

nel forum avast invece dicono che avsat avverte ma che appunto averte
di un attacco a quella porta dcom , ma che avast ha bloccato !

e quindi non dovrei avre preso infezione tramite quelle porte dcom...giusto ?

[LoryOne]

Quota:

Inviato da miciotta62

sicuri ?

Beh ... Sono sicuro di quel che affermo, però è a te che AVAST segnala l'attacco.
Non ti preoccupare, in caso segnalerai ancora il messaggio di AVAST.

Quota:

Inviato da miciotta62

sicuri ?
si cmq le porte sono tutte stealth ..quindi bloccate ?

Bisogna vedere cosa intende quel sito con stealth: solitamente si attribuisce ad una scansione la tipologia "stealth" solo se più scansioni con lo stesso protocollo e sulla stessa porta si sono effettuate con differenti metodologie, ma che non hanno prodotto i risultati attesi in risposta alle sollecitazioni delle varie sonde (probes) inviate: Le porte sondate, ad ogni modo, sono sicuramente chiuse. Controlla il log del tuo firewall.

Quota:

Inviato da miciotta62

nel forum avast invece dicono che avsat avverte ma che appunto averte
di un attacco a quella porta dcom , ma che avast ha bloccato !

Sicura ? Sniffa per esserne certa.

Quota:

Inviato da miciotta62

e quindi non dovrei avre preso infezione tramite quelle porte dcom...giusto ?

Dall'esterno no se hai ben configurato il firewall ed hai patchato opportunamente Windows
Ripeto: Devi essere certa di non essere stata infettata comunque, ma attraverso il browser. In questo caso il firewall non avrebbe alcuna colpa, ma siccome tutti i firewall sono impostati per consentire qualunque connessione dall'interno verso l'esterno, tu potresti essere la causa di una scansione ad ampio raggio a "danno" di altri utenti. Per questo dovresti efettuare comunque una scansione approfondita di eventuali trojan presenti sul tuo PC, ma con altro tool antivirus.

[miciotta62]

uso il firewaal di xp !

ok ma come testo le porte ?

e per sapere se infetto il pc....scansione con combifix o come ?

avast mi dice tutto ok ! grazieeee

[LoryOne]

Scarica MCAfee Stinger da qui: http://www.mcafee.com/us/downloads/f...e-stinger.aspx e lancialo

[miciotta62]

ma NON meglio combifix di stinger ?