Attacco DCOM exploit...che fare ?

[miciotta62]

sia altro ieri che ieri mentre navigavo in 2 siti ipersicuri, mi e’ apparso il pop ROSSO di avast che mi segnalava
un (non ricordo se accesso o tentativo di connessione…) di un sito chiamato DCOM EXPLOIT , ma di
che si tratta ? come mai Avast l’ha bloccato 2 volte ? come elimino sto problema ?



http://forum.avast.com/index.php?topic=66551.0

http://forum.avast.com/index.php?topic=67010.0

http://forum.avast.com/index.php?topic=63295.0

http://www.grc.com/freeware/dcom.htm

http://www.microsoft.com/technet/sec.../MS03-026.mspx

http://forum.avast.com/index.php?topic=65990.0

https://www.grc.com/x/ne.dll?rh1dkyd2

questo TEST mi da tutto verde con stealth !


"- Attacchi DCOM sono speculative, non mirata e cerca di sfruttare una vulnerabilità nel sistema operativo obsoleto, se il vostro sistema operativo sia aggiornato, allora non sono vulnerabili a sfruttare le. Ciò non impedisce loro (di solito una persona dallo stesso ISP con un computer infetto), cercando di vedere se si può infettare gli altri.

Il tuo firewall dovrebbe essere la prima linea di difesa in questo, ma avast controlla anche le porte comuni di attacco utilizzando la protezione di rete, in teoria il firewall dovrebbe bloccare e avast non lo sanno, ma per qualsiasi motivo avast è in prima linea sul vostro firewall ...."

che significa ?????


ma in inglese…cosa dicono che sia ??? quindi NON c’e da preoccuparsi ? fatto il TEST sopra e mi da tutto verde e stealth quindi
mio firwall di xp ok e mi protegge ? avast cmq sembra che blocca questa intrusione di DCOM ! che dite che fare ?

[Habanero]

Sono tentativi di attacco (probabilmente portati da sistemi a loro volta infetti) che cercano di sfruttare una vecchissima vulnerabilità del servizio DCOM/RPC di windows. Al tempo, questa vulnerabilità causò danni devastanti.

Se il tuo sistema operativo è aggiornato con windows update e se in aggiunta usi pure un firewall non corri alcun pericolo. In un eccesso di zelo, l'antivirus ti avverte semplicemente di aver ricevuto dalla rete un pacchetto malformato che tenta di sfruttare la vulnerabilità. Lo stesso antivirus ha provveduto a bloccare la minaccia.

[miciotta62]

infatti...ma come mai da IP TIM ???

ho bloccato la porta DCOM fatto bene ?

ma a che serve in win xp ????

grazieee

[Habanero]

Originariamente inviato da miciotta62
infatti...ma come mai da IP TIM ???

non capisco la domanda.... e perchè non da ip tim?

Originariamente inviato da miciotta62
ho bloccato la porta DCOM fatto bene ?

in che modo? eri comunque schermata...

Originariamente inviato da miciotta62
ma a che serve in win xp ????

cosa? DCOM? è una interfaccia di programmazione per componenti di rete... è usata in ambiente prettamente locale, su internet è inutile e pericoloso. Dire altro significherebbe scendere in dettagli incomprensibili e insignificanti per un utente non programmatore.

[miciotta62]

ho ancora attacchi e avast li blocca ! che faccio ignoro o come risolvo ? grazie x aiutoooo

[miciotta62]

ma come si BLOCCA sta porta ?

[Habanero]

Non è questione di porta aperta o chiusa... indipendentemente dallo stato della porta, quando arriva un pacchetto contente l'attacco l'antivirus lo blocca. Non è chiudendo la porta che fermi l'attacco (e quindi gli alert di Avast). In ogni caso risulti già protetta.

[miciotta62]

ma visto che sei esperto come funziona sto attacco ?

nel senso io navigo con la chiavetta con tim.... quindi come fanno
ad attaccarmi ? mi spieghi ? o stanno attaccando il sito
della tim e non me ?grazieeee

[Habanero]

Al giorno d'oggi, perché l'attacco vada a buon fine, si devono verificare contemporaneamente diversi eventi:

1) la macchina non deve essere stata aggiornata da parecchi anni
2) la macchina non ha un firewall
3) la macchina non ha un antivirus con modulo di filtro sulla rete
4) Perché l'attacco sia possibile da internet (non da rete locale), la macchina deve essere direttamente esposta su su internet, cioè non deve essere in una rete locale dietro un router che fa NAT, ma deve navigare tramite un semplice modem connesso direttamente al PC.


Se le condizioni si verificano è sufficiente che arrivi un particolare pacchetto malformato sulla porta 135 (RPC/DCOM) affinché la macchina possa essere infettata da remoto. Non occorre alcuna azione da parte dell'utente che rimane del tutto ignaro di come possa essere avvenuta l'infezione. Ai tempi di quella vulnerabilità le conseguenze furono devastanti. Al giorno d'oggi è un attacco che ha decisamente poche probabilità di andare a buon fine.

[miciotta62]

ottimo..gentilissimo !

Usato il prg WWDC per chiudere le porte e ieri nulla, tutto ok, oggi Non
Capisco mi dice che SVHOST occupa troppa memoria ! antivirus non
Da nessuna infezione…che dite falso allarme ? vero occupa ben 44 MB
Ma ci sono quasi TUTTI i processi..ben 79 processi !

Che dite ? falso allarme e normale in XP, oppure ? ecco cosa dice e
Il prg WWDC prima di aprirsi:



E Il processo svchost 1380 da ben 43 MB:



normale e tutto a posto o ???