porta 5000 e trojan

[Epris]

Salve,
io utilizzo da circa una settimana windows Xp professional sp1
Ho scaricato tutti gli aggiornamenti da windows update.
Ho installato l'antivirus Etrust 7.0 di Computer Associates costantemente aggiornato (è quello consigliato da Microsoft)
Ho installato Zonealarm pro with filtering che oltre a fngere da firewall esegue la scansione sulle email.

Ieri mia sorella in poche ore è stata capace di prende 4 virus di cui:
1)3 worm (tutte varianti del W32)(Agobot; nachi.b)
2)1 trojan Backdoor/Sdbot.server.variant

Come è possibile?
Ho appena eseguito il security check di symantec ed è risultato che risultano scoperte le seguenti porte che rendono vulnerabile il sistema (le altre porte sono tutte nascoste).
5000 Sokets de Trois v1.
5000 UPnP (Universal Plug and Play). Questo servizio è utilizzato per comunicare con qualsiasi dispositivo UPnP collegato alla rete utilizzata

Come si fa ad impostare zonealarm in modo che nasconda questa porta?
Ma poi... cos'è una porta???

Aiutatemi per piacere ieri per la prima volta in vita mia volevo buttare il pc dalla finestra quando ho visto i 4 virus.

Antonio

[Delmak_O]

con ZA, le tue porte sono in-visibili di default, sei tu a filtrare i processi in entrata ed uscita...ZA non ti chiude le porte, ti mura il PC ma poi vi sono numerose richieste per varcare questo muro, e sei tu che decidi a quale processo concedere l'accesso o meno...la porta 5000, se hai ZA, è comunque in-visibile all'esterno, al limite raggiungibile solo by-passando il firewall, con qualche tecnica di hacking...
le porte sono i canali di comunicazione con l'esterno, già il fatto che ti colleghi ad html.it comprende che il tuo Pc ha 'aperto' delle porte per connettersi con un altro PC (server), e anche lui ha una porta aperta (la 80), altrimenti i PC se ne starebbero tutti muti in una totale incomunicabilità, come le monadi leibniziane...
vuoi far sparire comunque le porte 5000 e - ovviamente - 1900? tanto non ti servono:
Strumenti di Amministrazione / Servizi, disabilita i seguenti due servizi > Host di Periferiche Plug & Play Universal e Servizio di rilevamento SSDP, riavvia, vedrai che le porte non sono più aperte...il servizio che le teneva aperte è infatti disabilitato...
comunque, da ultimo, la porta 5000 veniva sfruttata da un vecchio exploit, se hai tutte le patch per Windows, e addirittura un firewall, non preoccuparti...
certo che un Pc può essere ben patchato, ma se vengono scaricati .exe infetti c'è poco da fare...

ATTENZIONE: disabilitare "Host di periferiche Plug & Play Universali" non significa disabilitare "Plug & Play", che è un servizio che va lasciato in automatico e non c'entra con la porte 5000 e 1900

[olly]

http://sicurezza.html.it/articoli.as...idarticoli=37.

Se vuoi un ulteriore approfondimento, dopo la bella spiegazione di
Delmak_O, guarda questo link: ti servirà sicuramente.

[FlashDomi]

ciao, riprendo questa discussione per chiarirmi qualche dubbio.

ho installato un firewall da pochi giorni e ho notato dei pacchetti bloccati in ingresso dall'indirizzo 239.255.255.250:1900 (nessuna nome per l'applicazione che la usa)
questi pacchetti sono molto frequenti

Io uso Win XP e SP1, conosco l'exploit di UPnP e mi domandavo se con SP1 fosse risolta la vulnerabilità?

io sono in una rete locale con un router/switch e non vorrei che bloccando i servizi sopra elencati mi bloccasse la lan o le stampanti condivise.

pero' soprattutto mi domandavo. questi pacchetti che arrivano sulla porta 1900 sono un attacco verso di me oppure la maggior parte degli utenti ADSL li riceve in continuazione (come me)
Vuol dire che ci sono sistemi infetti che lanciano questi messaggi in giro per la rete??

spero che qualcuno mi illumini.

grazie ciao.

[billiejoex]

Upnp (Universal plug n' play) DoS/BOF vulnerability

Data: 8 novembre 2001
Livello di pericolosità: critico
Tipo: Denial of service e Buffer overflow
Porte interessate: 1900 udp, 5000 tcp
Exploit disponibile: si
Sistemi interessati: Microsoft Windows 98, 98se, ME, XP

Vulnerabilità di tipo DoS (Denial of service) e buffer overflow per il servizio di dubbia utilità Upnp. Upnp è attivo di default nei sistemi XP e può essere avviato nei sistemi 98/ME. Di per sè Upnp servirebbe per far riconoscere remotamente eventuali periferiche, ma di fatto è praticamente inutilizzato nella maggior parte dei cas.i Tiene costantemente aperte le porte 5000 TCP e 1900 UDP rendendo, di fatto, ogni macchina un Upnp server, con tutte le conseguenze del caso.
La vulnerabilità permette ad un eventuale attacker di far crashare remotamente la macchina (DoS attack), oppure utilizzarla per attacchi distribuiti verso terzi (DDoS attack). Il caso più grave riguarda la vulnerabilità di tipo buffer overflow che permetterebbe ad un eventuale attacker remoto di eseguire comandi di livello SYSTEM e prendere il totale controllo della macchina vulnerabile.
Per rendersi immuni è sufficente disabilitare il servizio manualmente, oppure automaticamente tramite l'utilizzo di questa piccola utility, e assicurarsi tramite un netstat -an che le porte 5000 tcp e 1900 upd risultono chiuse. Nel caso si desiderasse lasciarlo attivo è sufficiente installare la patch di aggiornamento.

Bollettino di sicurezza MS
Upnp nel dettaglio

[olly]

Però ad esempio nel caso di messenger se si utilizza un router o un firewall, è necessario attivare l'universal plug and play, altrimenti alcune funzioni come la webcam e la funzione audio potrebbero nn funzionare in windows messenger.


Dov'è la patch di aggiornamento??

UDP 62.10.17.47:1900 *:*

Localmente ho notato che ce l'ho aperta pure io questa porta, poi ci sono gli indirizzi remoti delle porte in ascolto sul protocollo udp.

Ciao ciao.

[FlashDomi]

avevo letto il bollettino di microsoft riguardo a UPnP ma non capisco come mai non e' stato inserito nel service pack 1.

in ogni caso, se io disabilito i due servizi incriminati non ho bisogno della patch, giusto?


infine un ultima informazione su questi misteriosi log di sygate.

da oggi, dopo aver letto semplicemente la posta con outlook (allegato pps e forse immagini), vedo dei pacchetti bloccati in ingresso da 0.0.0.0:68 verso 255.255.255.255:67

non riesco ad avere piu informazioni perche mi dice IP non esistente.

che cos'e'? puo' essere un allegato infettato (magari con i jpg...)??

grazie ciao

[billiejoex]

Dov'è la patch di aggiornamento??

enl bollettino sicurezza M$ che ho postato sopra.

Però ad esempio nel caso di messenger se si utilizza un router o un firewall, è necessario attivare l'universal plug and play, altrimenti alcune funzioni come la webcam e la funzione audio potrebbero nn funzionare in windows messenger.

Sei sicuro?

1900 *:*
Localmente ho notato che ce l'ho aperta pure io questa porta, poi ci sono gli indirizzi remoti delle porte in ascolto sul protocollo udp.

Disabilitando il servizio si chiude sia la 5000 TCP che la 1900 UDP

avevo letto il bollettino di microsoft riguardo a UPnP ma non capisco come mai non e' stato inserito nel service pack 1.

Mi pare che il sp1 abbia corretto il bug e quindi non sia necessaria la patch. E' cmq consigliato disabilitare Upnp se non lo utilizzi.

[olly]

Ciao a tutti.

enl bollettino sicurezza M$ che ho postato sopra.

Ok, io ho installato il sp2, quindi ho il sistema aggiornato.

Sei sicuro?

si.

Disabilitando il servizio si chiude sia la 5000 TCP che la 1900 UDP

Io nn ho questo servizio attivo sincermente, ho guardato ora in strumenti di amministrazione-servizi. Che dicitura ha esattamente???

Ciao.

[olly]

Si l'ho trovato ora raga, era sotto la dicitura host di periferiche plug and play universali.

Ho attivato l'eseguibile, successivamente lanciando il netstat -ano nn ho visto + la porta 1900 aperta.

Ciao ciao.