[security] Spam Attack
Clicca QUI per vedere il messaggio nel forum |
| mrcnet |
come è di consuetidine iniziare un post del genere.."spam.. ultima frontiera..." no vabbè.. passiamo all'accadduto..
stavo proprio vedendo l'ultimo matrix.. a proposito di intrusioni.. ed ecco che il mio firewall impazzisce.. (ps. ero al cinema con il portatile non stavo mica vedendo un divx.. è illegale :D )
bene.. fino ad ora la macchina con cui esco in rete mi ha sempre protetto da qualsiasi tipo di intrusione, scansione o tentativo di inviare dati all'esterno senza il mio comsenso... questo perche sono ben protetto da antivirus aggiornato, firewall e gingilli vari..
oggi come tante volte avevo condiviso la connessione con il portatile (la macchina l'avevo posteggiata fuori con il proxy :D )
e fastidiosissimamente si apre il firewall che mi avverte di un tentativo di inviare email senza il mio consenso a sconosciuto senza il mio client predefinito..e senza nessuna traccia o origine di tale invio..
sembrava il classico virus che si autoinvia o come in questo caso invia spam a indirizzi presenti in rubrica..
solo che questa volta si trattava di spam!!
Non contento di bloccare l'invio in automatico e basta ho analizzato come lavorava..e ho raccolto molti dati: lo spammatore autocreava un oggetto sempre uguale (e qui l'errore del creatore visto che il firewall bloccava proprio in base a quello) con una piccola variante alla fine dell'oggetto.. (ci ha provato.. :D ) tre lettere casuali autogenerate, cosi come nel corpo del messaggio spammoso più che mai.. e gli indirizzi dei destinatari, sempre autogenerati, ma sta volta non a caso.. anche se poteva sembrare.. (erano tutti hotmail.com e aol.com i primi 20 poi ho bloccato definitivamente)
gli indirizzi erano si simili, ma sicuramente presi da qualche parte.. solo che non so da dove...
inoltre come mittente non faceva comparire me, ma un tale indirizzo.. (povero sfigato) che naturalmente passava da me.. altrimenti perche fare tutto ciò visto che non ero io la sua fonte di indirizzi email ma attingeva da chissa dove?
altri dati che ho è lo username del creatore di tale cosa che ha usato per registrarsi ad un servizio di statistiche su web per monitorare le email (il corpo era in html) ma sicuramente sarà la solita registrazione fasulla..
perciò vi chiedo:
sta specie di virus ora se ne sta buono buono.. ma secondo me è ancora presente.. come faccio a toglierlo visto che con le scansioni dei vari mcafee viruscan, norton antivirus, adaware, un antitrojan e non mi ricordo piu che ho provato (sempre aggiornati naturalmente) non ho trovato nulla??
altra cosa.. chi metto per fare la denuncia dello spam? in genere si segnala l'header dell'email..ma in posta inviata non va nulla e le tracce che ho sono quelle che ho detto.. ora vedo nei log del firewall se ho altro.. ma dubito..
:? |
| Flyzone |
Originally posted by mrcnet
lo spammatore autocreava un oggetto sempre uguale
autocreava? Scusa ma da dove?
O navigando su siti non proprio...simpatici...ti sei cuccato un bel activex che ti crea quest'oggetto (eseguibile?) oppure l'oggetto in questione veniva scaricato come plugin dal divx stesso (hai aggiornato windows media player per evitare script indesiderati all'interno dei video?).
E' ovvio che l'antivirus non te lo sgama..non è un virus!
Io controllerei in x:\windows\web\*.htm (e sopratutto retaled.htm), guarda la data di modifica, inoltre i plugin scaricati e nel registry nella sezione:
HKLM\Software\Microsoft\Internet Explorer\Extensions
(idem per HKCU)
se c'è qualcosa di sospetto..
e non ti collegare come administrator............. :roll: |
| URANIO |
| Be non è una cosa nuova...dato che ora spammare è illegale(nel senso penale) mandano in giro virus che scaricano una lista di email da spammare e ti sfruttano! |
| mrcnet |
Originally posted by Flyzone
autocreava? Scusa ma da dove?
O navigando su siti non proprio...simpatici...ti sei cuccato un bel activex che ti crea quest'oggetto (eseguibile?) oppure l'oggetto in questione veniva scaricato come plugin dal divx stesso (hai aggiornato windows media player per evitare script indesiderati all'interno dei video?).
E' ovvio che l'antivirus non te lo sgama..non è un virus!
Io controllerei in x:\windows\web\*.htm (e sopratutto retaled.htm), guarda la data di modifica, inoltre i plugin scaricati e nel registry nella sezione:
HKLM\Software\Microsoft\Internet Explorer\Extensions
(idem per HKCU)
se c'è qualcosa di sospetto..
e non ti collegare come administrator............. :roll:
autocreava nel senso che ogni volta produceva un oggetto diverso con la variante di tre lettere.. la navigazione la escludo a priori perche non navigavo..e le cartelle dei temporanei erano state appena pulite.. poi non usavo win media player ma un lettore poco conosciuto (zplayer) e non penso si tratti di script indesiderati.. quelli in genere me li becca al volo l'antivirus.. plug-in che non conosco non ne scarico.. quindi mi pare il tutto strano.. soprattutto dove risiede la lista delle email da spammare.. e da cosa è stato avviato il tutto..
ora ho imbastardito ancora più il firewall e non mi ha più rotto.. ma da qualche parte deve pur essere.. |
| Flyzone |
Originally posted by mrcnet
plug-in che non conosco non ne scarico.. quindi mi pare il tutto strano..
Se hai win e senza una politicy paranoica ti si autoinstallano senza che te ne accorga, anche se hai detto di "NOOOOOOOOOOOOOOO" :asd: |
| mrcnet |
| azz... tengo d'occhio proprio tutto... e le uniche plugin che vedo ogni tanto sono quelle classiche di connessione dei dialer.. ma se cliccando sul NO fanno ciò che dici allora c'è da sklerare! |
| Flyzone |
X:\WINDOWS\Downloaded Program Files :asd:
Controlla lì.
Già che ci sei cancella i temporanei (possibilmente dal propt, con l'opzione di IE non sempre li cancella tutti).
Altro.. hummm se avessi ISAserver riusciresti anche a rintracciare l'url da dove prende la lista delle mail (è di sicuro su internet).
Guarda inoltre nei soliti percorsi del registry per i trojan. |
| mrcnet |
no.. nada.. ci tengo alla pulizia sul pc.. quelle cartelle le controllo e pulisco sempre se necessario.. e non con IE o programmi appositi ma manualmente..
che fa ISAserver? |
| Flyzone |
Originally posted by mrcnet
che fa ISAserver?
Firewall/proxy registra ogni singolo url che viene richiamato. |
|
|
|
