BOT genera connessioni TCP e apre un sacco di porte

[k4ez4r]

ciao mi sono bekkato un regalino dalla rete...
presumo sia un BOT ma ho solo 2 indizi...

1) dando netstat in cima all'interminabile lista di connessioni aperte, ne trovo una ke dice "i.have.a.botnet.cause.bill.gates.has.0security.in fo" ( )

2) se sono in IRC mi si genera nel canale in cui sono un utente col mio stesso nick... facendo whois alla fine delle info appare (3ast3r 3gg)

Ovviamente con il firewall riesco a tenerlo a bada, il fatto è ke ho gia provato spybot s&d, ewido, HijackThis e Stinger (di McAffee) eppure è ancora li'... non so proprio cm levarlo!

[k4ez4r]

OK ho risolto cqm nel caso capitasse a qualcun'altro
si tratta del Trojan W32.Rbot-AZA che si piazza in
%System%\wstime.exe (nel mio caso c:\windows\system32\wstime.exe).

Per rimuoverlo:

1) terminare il processo wstime.exe
2) eliminare il file wstime.exe (prima ke il processo riparta automaticamente!)
3) eliminare il file di prefetch wstime[...].pf (in c:\windows\prefetch)
4) controllare ke non sia presente nella sezione 'avvio' di msconfig

tie'!

Ciao!

[thomas_anderson]

Sarebbe utile se tu cercassi di capire come te lo sei beccato. Per una corretta anamnesi.

[LUCASS]

Originariamente inviato da thomas_anderson
Sarebbe utile se tu cercassi di capire come te lo sei beccato. Per una corretta anamnesi.

29 November 2005 09:10:21 (GMT)
to other network computers by exploiting common buffer overflow vulnerabilities, including: LSASS (MS04-011), RPC-DCOM (MS04-012), PNP (MS05-039) and ASN.1 (MS04-007)

[thomas_anderson]

ah, chiaro: sistema non aggiornato...

[LUCASS]

Ma il bello e che sono anche vecchi
Data di pubblicazione: 13 aprile 2004
Published: August 9, 2005
February 10, 2004
Il + giovane è quello di agosto penso che sia quello dello zotob gli altri hanno fatto tutti il compleanno

[k4ez4r]

avete ragione il mio sistema non è x nulla aggiornato,
ma ki se la becca quella *bidonata* di SP2 ??? VVoVe: VVoVe: VVoVe:

preferisco tenermi il virus!!!

[LUCASS]

per adesso la bidonata l'hai presa tu,continua con questi ragionamenti e vedi che sarei un "cliente" affezzionato di questa sezione,se non vuoi aggiornare il sistema prendi in considerazioni altri SO

[thomas_anderson]

Da un punto di vista del sistema operativo in sè, non esiste nulla che dimostri una maggiore vulnerabilità di Windows da un punto di vista nativo. Esiste però la diffusa tendenza degli utenti Windows a trascurare la sicurezza del proprio pc. Il Service pack 2 serve appunto a questo. Il service pack 2 non influisce più di tanto sul funzionamento normale del SO, se questo è già ben configurato. Funzionalità del sp2 da mettere in evidenza sono la protezione del contenuto attivo per IE6, il firewall (efficace sul traffico in entrata, ma non su quello in uscita, quindi occorre installare un software apposito), ed il controllo allegati su Outlook Express. di norma cosa fa un utente? disabilita queste funzioni per non avere "seccature", ma non provvede a sostituirle con software appositi di terze parti. ad esempio la protezione sul conteuto attivo andrebbe abilitata quando si naviga con IE6 su siti sconosciuti, fermo restando che il browser deve essere aggiornato. il service pack 2 è inoltre cumulativo, nel senso che raccoglie molti aggiornamenti di sicurezza che altrimenti andrebbero scaricati a parte.

[Habanero]

Originariamente inviato da thomas_anderson
Da un punto di vista del sistema operativo in sè, non esiste nulla che dimostri una maggiore vulnerabilità di Windows da un punto di vista nativo. Esiste però la diffusa tendenza degli utenti Windows a trascurare la sicurezza del proprio pc. Il Service pack 2 serve appunto a questo. Il service pack 2 non influisce più di tanto sul funzionamento normale del SO, se questo è già ben configurato. Funzionalità del sp2 da mettere in evidenza sono la protezione del contenuto attivo per IE6, il firewall (efficace sul traffico in entrata, ma non su quello in uscita, quindi occorre installare un software apposito), ed il controllo allegati su Outlook Express. di norma cosa fa un utente? disabilita queste funzioni per non avere "seccature", ma non provvede a sostituirle con software appositi di terze parti. ad esempio la protezione sul conteuto attivo andrebbe abilitata quando si naviga con IE6 su siti sconosciuti, fermo restando che il browser deve essere aggiornato. il service pack 2 è inoltre cumulativo, nel senso che raccoglie molti aggiornamenti di sicurezza che altrimenti andrebbero scaricati a parte.

ma cos'è, ultimamente sei stato folgorato sulla via di Damasco?

Originariamente inviato da LUCASS
per adesso la bidonata l'hai presa tu,continua con questi ragionamenti e vedi che sarei un "cliente" affezzionato di questa sezione,se non vuoi aggiornare il sistema prendi in considerazioni altri SO

Quoto in tutto e per tutto, k4ez4r quelli che fanno ragionamenti come il tuo proprio non li capisco...