Cos'è un bounce ?

[Reale_Augello]

Salve a tutti,

la domanda è nel titolo.
Durante una scansione on-line su ZDNet è stata riscontrata la presenza di tale virus/trojan:

TROJ BOUNCE.A

Qualcuno mi sa delucidare al riguardo ?

Grazie mille !

[Martin BK]

ho trovato questo per ora:
http://www.sophos.com/virusinfo/anal...ojbouncea.html

[Cinder]

Non riuscivo prorio a trovare info utili su internet di tale trojan
(sul sito symantec mi sono quasi )
ma alla fine ho fatto la cosa più semplice cioè cercare solo
il nome BOUNCE nel database delle definizioni del mio Norton Antivirus

LA SYMANTEC DICE CHE STO TROJAN è raro ma fa pochi danni poi però scrive:

Trojan.IrcBounce
Scoperto: 11 settembre 2002
Ultimo aggiornato: 26 Novembre 2002 07:06:21 Pm

Direttamente da symantec:

Per Troyan.IrcBounce si intende una serie di programmi che possono essere(lo sono) usati
per ottenere accessi non autorizzati su sistemi Windows, soprattutto su quelli dove vengono usate
password facili da kra.. scoprire.Una volta eseguiti su un sistema tali programmi sono ca**i amari
Dopo che sia installato nel sistema della vittima, dà ad un attacker a distanza l'accesso al pc

LE DEFINIZIONI DATATE PRIMA DELL 11 SETTEMBRE 2002 (AVETE NOTATO LA DATA???),

POSSONO RILEVARE ALCUNE COMPONENTI DI QUESTA MINACCIA CONOSCIUTA COME

IRC TROYAN o IRC.MIMIC. Trojan.IrcBounce

Scoperto: 11 settembre 2002
Ultimo aggiornato : 26 Novembre 2002 07:06:21 Pm

Inoltre Conosciuto Come : Trojan/Bounce [ SecurityFocus ], W32/Bounce

Tipo: Trojan Horse

Lunghezza Di Infezione : variabile

Sistemi Influenzati : Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Sistemi Non influenzati : Macintosh, UNIX, Lin

Carico utile : Dà ad un attacker l'accesso completo al calcolatore compromesso. Può essere usato per l'attacco di DDoS
(tradotto a nostra insaputa ne abbiamo buttati giù di SER**R )


Questo Trojan è composto dai seguenti programmi, che sono rilevati come Trojan.IrcBounce
dai prodotti antivirus Symantec:

Dll32.hlp
Dll32nt.hlp
Xvpll.hlp
Httpsearch.ini
Nt32.ini
Gg.bat
Seced.bat
Tftp8675
V.exe
Mt.exe

Inoltre usa i seguenti programmi puliti, che non sono rilevati
da Symantec:

Kill.exe
Mdm.exe
Mdm.scr
Ncp.exe
Psexec.exe
Taskmngr.exe


Taskmngr.exe è realmente la versione 5,7 di Mirc32.exe. Il Trojan usa questo file per fare funzionare tutti i relativi sripti del mIRC, compresi
Dll32.hlp, Dll32NT.hlp,
Xvpll.hlp, Httpsearch.ini e NT32.ini.

Il Trojan usa gli script per tentare di ottenere l'accesso a distanza su sistemi Windows non protetti da password in generale


Il Trojan permette che l'hacker prenda a distanza il controllo sul pc.

Ciò può includere:
Attacchi (DDoS)
Apertura ripetuta di una porta TCP
Controllo completo sopra il sistema
Uploading e download dal sitema compromesso


SOLUZIONE


1.Aggiornare le definizioni dell'antivirus
2.Effettuare una Scansione completa del sistema e cancellare tutti i file che sono rilevati come Trojan.IrcBounce.
Se dopo aver cancellato Trojan.IrcBounce, il programma MIRC si autoesegue all' avvio di Windows,
cancellare dalla chiave del registro(start- programmi-esegui -scrivere regedit- cercare tra le cartelle del registro)
il valore che si riferisce a Taskmngr.exe.

Questa è la chiave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
(nella cartella RUN cancellare SOLAMENTE il valore che si riferisce
a TASKMNGR.EXE(tasto destro del mouse sul valore e scegliere elimina)


REALE UGELLO questa è la soluzione al tuo problema,
quando vai su MIRC(li credo te lo hanno rifilato sto trojan del c***o)
è essenziale aver sul PC non solo l'antivirus(aggiornato sempre) ma anche uno specifico
programma antitroyan tipo Jammer o altri (fai una ricerca in questo forum sicuramente troverai tali prog)
e credo anche il firewall .La questione è da quando gira sto trojan sul tuo PC?
Comunque credo che la sicurezza del tuo pc sia compromessa(non
scendo nei dettagli)
Sono graditi consigli e aiuto da Martin e AL e da chiunque altro

Ecco il link symantec http://securityresponse.symantec.com...ircbounce.html