Ciao, allora oggi mi chiama il solito amico disperato perchè il pc non parte.
Un semplice ripristino con la console di emergenza di xp e va tutto ok, ritiro su Win e mi accorgo che internet è lentissimo (adsl 640) e che il norton antivirus 2003 è "manomesso": il live update funziona in parte (scarica aggiornamenti del programma ma non le nuove definizioni) e il subscription service non risulta installatoVVoVe: ... inutile dire che la cosa puzza.
Controllo il log del Norton e mi accorgo che un trojan non identificato ha infettato il sistema qualche settimana fa. Lancio subito una scansione in mod. provvisoria ma non trova nulla. Non ci sono processi sospetti che girano. Controllo anche con altri tool (anche il registro) e di trojan non c'è la minima traccia.
Connesso ad internet, controllo le connessioni: ci sono una decina di connessioni stabilite da internet verso la porta TCP 445 (e ribadisco STABILITE, non SYN. Parto subito con una ricerca di info e scopro che la porta è sfruttata da vari exploit, tra cui Sasser, Blaster e Korgo. Il sistema però (patchato a dovere) non mi pare infettato da un worm: verifico anch questo con dei tool specifici e non trovo nulla. Attivo il firewall di Xp e le connessioni spariscono, anche se nel log del firewall le connessioni droppate verso la 445 ci sono, ma il pc sembra funzionare senza problemi. Ho reinstallato il Norton e tutto funziona alla meraviglia.
Le domande che ho in testa sono due: che fine ha fatto quel trojan che ha infettato il sistema (l'utente non lo ha rimosso e nemmeno il norton)?
Due, quelle connessioni alla 445 da cosa erano generate? La macchina non ha vulnerabilità esposte (ripeto, è patchatissima!), eppure c'erano delle connessioni stabilite. Non credo sia normale che una macchina patchata riceva delle connessioni di questo tipo.
Grazie e ciauz
Rispondi quotando
