Ciao a tutti. Posto per un problema riguardante un'infezione abbastanza strana. In pochi giorni mi è capitato di dover reinstallare per 2 volte windows (per problemi di dual boot tra linux e win) e in entrambi i casi ho contratto la stessa, strana, infezione.
Le procedure di configurazione del sistema che ho eseguito sono sempre le solite:
- distaccamento fisico del cavo di rete
- installazione firewall
- collegamento del cavo di rete e aggiornamento a SP1 e tutti gli hotfix di sicurezza di windows update.
- configurazione generica del sistema (disabilitazione servizi superflui, configurazioni varie ecc...) installazione principali programmi e cosi via...
Una cosa normalissima, insomma.
Al termine delle mie configurazioni il sistema è completamente patchato, pulito sia a livello di processi, che di servizi che di programmi in startup.
Senonchè, appena tiro giu il firewall nel giro di qualche minuto contraggo un'infezione! E questo è accaduto per tutte e due le nuove installazioni che ho attuato in questa settimana.
Il virus si presenta sotto forma del file "Wins.exe", si va a posizionare in C:\windows\system32 e crea due chiavi di registro per autoavviarsi in:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices
Incuriosito dall'accaduto ("che razza di vulnerabilità avrà sfruttato, dato che il sistema è completamento patchato?") mi armo di sniffer per vedere almeno che diamine combina suddetto mostriciattolo. Questa è l'analisi che ho eseguito:
- Si avvia in startup, ed inizia ad instaurare una connessione con 213.26.184.148 (tale: server.abo5.com, almeno a quanto dice il DNS) sulla porta 7000 del server remoto.
- Si autentica a questo fantomatico server loggandosi come: "{EVIL4987}"
Il server mi saluta con un banner del tipo "Welcome to the winRT server/2000 server. There are 390 user and 83 invisibles".
Si vede cmq bene dal risultato dello sniffing:
http://billiejoex.altervista.org/Prove/sniff.txt
- Successivamente inizia ad aprire centinaia di porte di range contiguo, e a mandare pacchetti SYN sulla porta 445 (microsoft-ds) di tutti gli host della mia stessa sottorete (ho fastweb, e, di fatto, è come se fossi in una LAN).
http://billiejoex.altervista.org/Prove/netstat.txt
- Per finire, dopo una ventina di minuti che inonda di SYN gli host della mia sottorete, il firewall rileva un tentativo di exploiting relativo al componente RPC (DCOM o LSASS, non ricordo con precisione) indirizzato ai danni degli host a cui prima aveva mandato i pacchetti SYN.
A questo punto mi chiedo: come è possibile tutto questo? Il problema non è la disinfezione (basta cancellare l'eseguibile ed eliminare la chiave in startup) bensi la vulnerabilità che c'è a monte, dato che nel caso in cui io tiri giu il firewall il worm si ripresenta automaticamente.
Il tutto farebbe pensare a una vulnerabilità non patchata, ma del resto il windows update parla chiaro, dicendo che non ci sono aggiornamenti disponibili, salvo il SP2. Cosa diamine può essere allora? Forse M$ ha una nuova vulnerabilità nel comodino, per cui non ha ancora rilasciato la patch (non sarebbe la prima volta del resto)?
PS - Per quel che può servire allego anche un log di hijack:
http://billiejoex.altervista.org/Prove/hijackthis.txt
Saluti
Rispondi quotando
