mrcnet

dsy developer

User info:

Registered: Oct 2002
Posts: 1160 (0.14 al dì)
Location: Milano
Corso: Comunicazione Digitale
Anno:
Time Online: 9 Days, 5:44:55 [...]
Status: Offline

Post actions:

come è di consuetidine iniziare un post del genere.."spam.. ultima frontiera..." no vabbè.. passiamo all'accadduto..

stavo proprio vedendo l'ultimo matrix.. a proposito di intrusioni.. ed ecco che il mio firewall impazzisce.. (ps. ero al cinema con il portatile non stavo mica vedendo un divx.. è illegale )

bene.. fino ad ora la macchina con cui esco in rete mi ha sempre protetto da qualsiasi tipo di intrusione, scansione o tentativo di inviare dati all'esterno senza il mio comsenso... questo perche sono ben protetto da antivirus aggiornato, firewall e gingilli vari..

oggi come tante volte avevo condiviso la connessione con il portatile (la macchina l'avevo posteggiata fuori con il proxy )

e fastidiosissimamente si apre il firewall che mi avverte di un tentativo di inviare email senza il mio consenso a sconosciuto senza il mio client predefinito..e senza nessuna traccia o origine di tale invio..

sembrava il classico virus che si autoinvia o come in questo caso invia spam a indirizzi presenti in rubrica..

solo che questa volta si trattava di spam!!

Non contento di bloccare l'invio in automatico e basta ho analizzato come lavorava..e ho raccolto molti dati: lo spammatore autocreava un oggetto sempre uguale (e qui l'errore del creatore visto che il firewall bloccava proprio in base a quello) con una piccola variante alla fine dell'oggetto.. (ci ha provato.. ) tre lettere casuali autogenerate, cosi come nel corpo del messaggio spammoso più che mai.. e gli indirizzi dei destinatari, sempre autogenerati, ma sta volta non a caso.. anche se poteva sembrare.. (erano tutti hotmail.com e aol.com i primi 20 poi ho bloccato definitivamente)

gli indirizzi erano si simili, ma sicuramente presi da qualche parte.. solo che non so da dove...

inoltre come mittente non faceva comparire me, ma un tale indirizzo.. (povero sfigato) che naturalmente passava da me.. altrimenti perche fare tutto ciò visto che non ero io la sua fonte di indirizzi email ma attingeva da chissa dove?

altri dati che ho è lo username del creatore di tale cosa che ha usato per registrarsi ad un servizio di statistiche su web per monitorare le email (il corpo era in html) ma sicuramente sarà la solita registrazione fasulla..

perciò vi chiedo:
sta specie di virus ora se ne sta buono buono.. ma secondo me è ancora presente.. come faccio a toglierlo visto che con le scansioni dei vari mcafee viruscan, norton antivirus, adaware, un antitrojan e non mi ricordo piu che ho provato (sempre aggiornati naturalmente) non ho trovato nulla??

altra cosa.. chi metto per fare la denuncia dello spam? in genere si segnala l'header dell'email..ma in posta inviata non va nulla e le tracce che ho sono quelle che ho detto.. ora vedo nei log del firewall se ho altro.. ma dubito..

__________________
www.mrcnetwork.it

Flyzone

User info:

Registered: Jan 2003
Posts: 1956 (0.24 al dì)
Location:
Corso:
Anno:
Time Online: 19 Days, 22:20:19 [...]
Status: Offline

Post actions:

Originally posted by mrcnet
lo spammatore autocreava un oggetto sempre uguale

autocreava? Scusa ma da dove?
O navigando su siti non proprio...simpatici...ti sei cuccato un bel activex che ti crea quest'oggetto (eseguibile?) oppure l'oggetto in questione veniva scaricato come plugin dal divx stesso (hai aggiornato windows media player per evitare script indesiderati all'interno dei video?).
E' ovvio che l'antivirus non te lo sgama..non è un virus!

Io controllerei in x:\windows\web\*.htm (e sopratutto retaled.htm), guarda la data di modifica, inoltre i plugin scaricati e nel registry nella sezione:

HKLM\Software\Microsoft\Internet Explorer\Extensions
(idem per HKCU)
se c'è qualcosa di sospetto..

e non ti collegare come administrator.............

URANIO

.utente.radioattivo

User info:

Registered: Nov 2001
Posts: 1011 (0.12 al dì)
Location: Casalpusterlengo (LO)
Corso: TICo
Anno: 1°
Time Online: 11 Days, 6:12:08: [...]
Status: Offline

Post actions:

Be non è una cosa nuova...dato che ora spammare è illegale(nel senso penale) mandano in giro virus che scaricano una lista di email da spammare e ti sfruttano!

__________________
BinarySun
"L'intelligenza è una pianta che va curata continuamente.
Dovreste vedere com'è bello, il mio bonsai."
Rat-man®

mrcnet

dsy developer

User info:

Registered: Oct 2002
Posts: 1160 (0.14 al dì)
Location: Milano
Corso: Comunicazione Digitale
Anno:
Time Online: 9 Days, 5:44:55 [...]
Status: Offline

Post actions:

Originally posted by Flyzone
autocreava? Scusa ma da dove?
O navigando su siti non proprio...simpatici...ti sei cuccato un bel activex che ti crea quest'oggetto (eseguibile?) oppure l'oggetto in questione veniva scaricato come plugin dal divx stesso (hai aggiornato windows media player per evitare script indesiderati all'interno dei video?).
E' ovvio che l'antivirus non te lo sgama..non è un virus!

Io controllerei in x:\windows\web\*.htm (e sopratutto retaled.htm), guarda la data di modifica, inoltre i plugin scaricati e nel registry nella sezione:

HKLM\Software\Microsoft\Internet Explorer\Extensions
(idem per HKCU)
se c'è qualcosa di sospetto..

e non ti collegare come administrator.............

__________________
www.mrcnetwork.it

Flyzone

User info:

Registered: Jan 2003
Posts: 1956 (0.24 al dì)
Location:
Corso:
Anno:
Time Online: 19 Days, 22:20:19 [...]
Status: Offline

Post actions:

Originally posted by mrcnet
plug-in che non conosco non ne scarico.. quindi mi pare il tutto strano..

Se hai win e senza una politicy paranoica ti si autoinstallano senza che te ne accorga, anche se hai detto di "NOOOOOOOOOOOOOOO"

mrcnet

dsy developer

User info:

Registered: Oct 2002
Posts: 1160 (0.14 al dì)
Location: Milano
Corso: Comunicazione Digitale
Anno:
Time Online: 9 Days, 5:44:55 [...]
Status: Offline

Post actions:

azz... tengo d'occhio proprio tutto... e le uniche plugin che vedo ogni tanto sono quelle classiche di connessione dei dialer.. ma se cliccando sul NO fanno ciò che dici allora c'è da sklerare!

__________________
www.mrcnetwork.it

Flyzone

User info:

Registered: Jan 2003
Posts: 1956 (0.24 al dì)
Location:
Corso:
Anno:
Time Online: 19 Days, 22:20:19 [...]
Status: Offline

Post actions:

X:\WINDOWS\Downloaded Program Files
Controlla lì.
Già che ci sei cancella i temporanei (possibilmente dal propt, con l'opzione di IE non sempre li cancella tutti).
Altro.. hummm se avessi ISAserver riusciresti anche a rintracciare l'url da dove prende la lista delle mail (è di sicuro su internet).

Guarda inoltre nei soliti percorsi del registry per i trojan.

mrcnet

dsy developer

User info:

Registered: Oct 2002
Posts: 1160 (0.14 al dì)
Location: Milano
Corso: Comunicazione Digitale
Anno:
Time Online: 9 Days, 5:44:55 [...]
Status: Offline

Post actions:

no.. nada.. ci tengo alla pulizia sul pc.. quelle cartelle le controllo e pulisco sempre se necessario.. e non con IE o programmi appositi ma manualmente..

che fa ISAserver?

__________________
www.mrcnetwork.it

Flyzone

User info:

Registered: Jan 2003
Posts: 1956 (0.24 al dì)
Location:
Corso:
Anno:
Time Online: 19 Days, 22:20:19 [...]
Status: Offline

Post actions:

Originally posted by mrcnet
che fa ISAserver?