Virus su windows server 2000

[Vitacillina]

Ciao.

Vorrei sapere da Voi esperti in materia, se la presunta presenza di un non ben identificato virus su un pc dov'è installato come s.o. Windows Server 2000, può compromettere il regolare funzionamento del server virtuale SMTP predefinito che provvede all'invio dei messaggi email tramite i componenti CDONTS e CDOSYS.

Grazie
Vitacillina

[thomas_anderson]

ciao!
ci sono varie tipologie di malware:

1) virus
infettano i file e per replicarsi hanno bisogno di iniettare il loro codice nel file vittima.

2) worm
non infettano file ma infettano sistemi operativi. sono programmi autonomi divisi in due grandi categorie:

-a: mass-mailer: infettano i pc tramite la posta, inviandosi come allegati. hanno un loro motore SMTP che li rende autonomi dai server. tuttavia generano moltissimo traffico fastidioso sui server SMTP per via del continuo invio di mail infette.

-b: network worm: sfruttano il semplice TCP/IP per diffondersi e non necessitano di interazione con l'utente. esempi di questi worm sono Sasser e Blaster. temibili per i server non patchati.

sui worm: http://www.wormblog.com/ i worm possono aprire backdoor con l'esterno.

3) trojan
programmi stand-alone che in genere si installano sotto forma di programmi apparentemente non nocivi. possono installare backdoor, sniffer, keylogger e dare il completo accesso al pc vittima.

4) rootkit
i peggiori in assoluto. si nascondono nel sistema operativo agganciandosi a funzioni di sistema e modificando il loro output. si possono rimuovere solo con tool specifici. aprono backdoor e possono anche disabilitare il fw di windows. sui rootkit:

www.hxdef.org
www.rootkit.com

questa è una panoramica generale. diciamo che i più pericolosi per un server sono trojan, worm e rootkit. ciao

[billiejoex]

...

E' una domanda a trabocchetto?

[thomas_anderson]

Per entrare nel dettaglio, dipende dal malware. cmq in generale un'infezione compromette sempre la macchina ospite.

[Vitacillina]

Grazie per la risposta.

La domanda ha un suo senso: venerdì passato su questo pc adibito a server il norton antivirus ha segnalato la presenza di un worm che non è in grado di eliminare.

Chi aveva in custodia in quei giorni la macchina non gli ha dato peso e non solo ha chiuso la finestra di avviso del norton, ma non ha preso nota del tipo di worm.

Ebbene dopo questa segnalazione le email tramite il server virtuale SMTP predefinito non vengono più inviate; inizialmente ne mandava 5 su 10, poi 3 su 10... oggi non spedisce più nulla.

Pensando ad un problema di configurazione "saltata" ho provato a riconfigurare il server virtuale SMTP predefinito, ma senza successo. A questo punto è venuta fuori la storia del worm (che non conoscevo).

Se come dice Thomas nella sua esauriente risposta è possibile che il blocco del server virtuale SMTP predefinito sia causato dalla presenza del worm, cosa devo fare per non danneggiare tutto il server e rimuovere questo worm ?

Esiste un'utility generale per la rimozione di un qualsiasi worm o devo sapere necessariamente il tipo di worm ?

A proposito ho altre macchine che si collegano a questo server, ma non presentano segni d'infezione.

Grazie...

[Habanero]

Tutto e possibile, per questo ti è stato chiesto se era una domanda trabocchetto... puo' essere e può anche non essere. Dai pochi dati che fornisci è impossibile dare una risposta.
Comunque, gli strumenti per rimuovere i worm sono gli antivirus...
Lancia una scansione completa del sistema con il tuo antivirus aggiornato a magari prova con una scansione online.
Ti consiglio anche di leggere il thread in rilievo sulla rimozione del malware:
http://forum.html.it/forum/showthrea...hreadid=811189

[Vitacillina]

Che tipo di informazioni ti possono essere utili?
Nel frattempo lavoro sulle tue indicazioni, grazie.

[Vitacillina]

Aggiorno la discussione comunicando che nè il Norton antivirus e nemmeno l' ewido hanno riscontrato virus o malware.

Ma il servizio server virtuale SMTP predefinito continua a non funzionare.