Olimpo Informatico

[LearningToFly]

Saluto il Forum, sono una new entry.
Sono da tempo iscritto alla newsletter, ora però ho specificatamente cercato un canale di comunicazione per risolvere un problema che è davvero assurdo.

Dunque... Trascorro molto tempo in chat, personalmente non ho mai avuto problemi, non sono un mago del PC ma sono senz'altro un utente piuttosto esperto. A fine Luglio ho conosciuto una ragazza su C6 e abbiamo iniziato a conversare piacevolmente tutte le sere. Dopo qualche tempo, tentando un collegamento con la webcam che con C6 spesso non funziona, le ho chiesto il contatto di MSN. A quel punto lei mi risponde che preferisce non darmelo perchè qualcuno la spia. Alla richiesta di spiegazioni più dettagliate emerge una storia piuttosto inquietante ma tutto sommato normale: lei utente inesperta che "bazzica" nei canali di WinMX, un personaggio "furbo" che la prende di mira, un troijan di MSN e tutto si spiega. Da alcune mails provenienti direttamente dal misterioso "spione" l'intrusione è risultata inconfutabile; le sono stati riportati interi stralci di conversazione, riportato il contenuto di conversazioni vocali su MSN e, dulcis in fundo, sono cambiati gli attributi di alcune cartelle (divenute invisibili) sono comparsi files che non c'erano e il menu "dati recenti" di XP mostrava attività svolte da altri.
Col tempo ho cominciato ad affezionarmi molto a questa ragazza, abbiamo iniziato a sentirci al telefono e ho preso abbastanza a cuore la situazione. Le ho cercato e spedito alcuni antitrojians per MSN ma non abbiamo risolto nulla. A questo punto l'ho esortata a formattare il PC in modo da eliminare drasticamente eventuali softwares indesiderati e di munrsi di un buon antivirus che comunque già aveva. Essendomi sempre trovato bene, le ho consigliato il Norton 2005.

Dopo la formattazione lei ha registrato un nuovo profilo su MSN ed abbiamo cominciato a chiacchierare convinti che il problema fosse risolto. Lei nel frattempo frequenta sempre un canale di chat su WinMX (è comunque mIRC) di cui è moderatrice. Proprio questa sera invece... ecco ripresentarsi il problema: due persone della chat di WinMX la contattano per dirle che da ieri succede una cosa strana... appena accendono il PC compare una strana finestra di chat in cui "qualcuno" digita in tempo reale le conversazioni che avvengono tra me e lei su MSN, commentandole.
Qui si va nella fantascienza ma addirittura sostengono che la finestra compaia senza che il PC sia connesso alla rete (e... il misterioso personaggio risponde alle domande per cui non si tratta di un eseguibile appositamente progettato). Sono cose che mi sono state riportate, credo ci sia qualche enorme dettaglio trascurato, ma resta il fatto che il contenuto delle conversazioni era veritiero ed ora sono direttamente coinvolto anch'io.

Ora... sapendo che le conversazioni "divulgate" risalgono ai giorni immediatamente seguenti la formattazione, dopo essermi raccomandato con lei di non accettare files da nessuno e di non aprire allegati di nessun genere dalla posta elettronica, come può questo misterioso personaggio essersi nuovamente infiltrato? e come può usare 2 diversi utenti per giocare divulgando ciò che spia? Temo che non si tratti del classico lamer che si diverte e oltretutto ora è in possesso di informazioni personali su entrambi. Gli antivirus non rilevano nulla, il firewall non segnala niente di anomalo... come si fa a difendersi? Purtroppo l'IP della macchina spiata è fisso... io ho una dial up e penso di essere meno a rischio.

La prima cosa che viene in mente è una bella denuncia alla polizia ma se le persone coinvolte scambiano DivX sui P2P e il canale di WinMX di cui parlavo prima è dedicato proprio a questo, passa subito la voglia di esporsi immaginando le conseguenze in perfetto stile italiano: uno mi spia e io finisco dentro perchè condivido DivX...

Mi rendo conto che i dettagli necessari per capire cosa succeda sono pochi, io stesso sto cercando di capire di più, però è la prima volta che sento una storia simile e sospetto che si tratti di qualcuno in grado di sniffare direttamente il traffico in uscita dal PC "spiato".

Sarei grato a chiunque sapesse come difendersi e volesse contattarmi per darmi qualche consiglio su come arginare il problema.

Grazie a tutti.

[kimer[a]]

ti giuro che è la prima volta che sento una cosa del genere i consigli che ti do sono questi :


1)buttare via norton ed usare un'altro antivirus (raccomando molto avast)

2)usare un buon firewall (sygate o zonealarm)

3)buttare via messenger e usare un altro client di messaggistica istantanea tipo Gaim (lo trovi qua gaim inoltre supporta tutti i protocolli di messaggistica + usati )

4)di alla tua amica di chiudere il contatto con la chat di winmx

considerando che tu usi dial-up nn sono sicuro che tu sia + protetto di lei anzi perchè basta che lui si colleghi al tuo pc e con un trojan tipo back oreficew si può collegare con internet dove cuole lui

e in questi casi la bolletta lievita

[holifay]

quoto Kimer[a] sul discorso generale di proteggere meglio il PC. Pensa in particolare al firewall oltre all'antivirus.

Il firewall è LA difesa principe.

Provate a fare anche scansioni antivirus online. Alcuni validi sono:
- Kaspersky
- TrendMicro
- Fsecure

Per eventuali software spia fai girare Spybot e ADAware con le definizioni aggiornate (scarica aggiornamenti).

Eventualmente usa HijackThis. Questo piccolo software ti farà un log di sistema. Non cancellare NIENTE ma postalo qui che lo guardiamo per capire cosa c'è che non va.

Consiglio comunque anche a te di leggere la guida di Paolo Attivissimo. In particolare dalla pag. 201 relativa alle Chat. Si può scaricare gratuitamente dal suo sito.

Ah, benvenuto sui nostri forum

.

[SverX]

E' una backdoor, direi. E qui il discorso è che non tutti gli antivirus rilevano le backdoor e comunque potrebbe essere stato ri-configurato per non rilevarle. Allora qui si parla di
1- scollegarsi (non credo nemmeno di striscio al fatto che possa essere spiata da scollegata... non dirmi che tu ci credi...)
2- installare un firewall, te l'hanno detto qui sopra ma insisto.
3- ricollegarsi ed aggiornare il sistema operativo, perchè il modo in cui "entrano" questi programmi appiccicosi si basa su buchi del software.
4- aggiornare anche WinMX o quel che usa, anche qui ci possono essere bachi che consentono l'accesso...

... e comunque, quel chiunque è un lamer. Punto. Un hacker ha di meglio da fare... no?

[Franto]

inoltre non dimenticarti di aggiornare windows con tutte le patch!

buona fortuna!

una denuncia alla polizia secondo me va comunque fatta.

[issproevolution]

un buon surrogato di MSN (che uso attualmente) e' Trillian...
se vuoi, ho la traduzione (fatta da me ) in italiano della versione 3.0!!

ciao,
iss

[LearningToFly]

Grazie a tutti per le indicazioni
Rispondo ad alcune per definire meglio la situazione.

[SverX]

[LearningToFly]

Dimenticavo...

[LearningToFly]

[Shannara]

Io provvederei anche a eliminare tutti i programmi e le installazioni scaricate: la backdoor potrebbe essere stata occultata in uno di quelli.

Inoltre (perdonami, ma ho letto un po' velocemente e magari mi è sfuggito) l'account Administrator è munito di password? ... visto che ha reinstallato, la pwd se la sarà vista chiedere, oppure era la solita "schifezzina" OEM (o peggio un CD di ripristino)? E la Pwd sull'accaunt che usa, c'è?
E per Pwd non intendo date di nascita, anniversari, nome di fidanzati e via dicendo.

Per il resto condivido sia il dubbio di SvreX (sulla connessione) sia il suggerimento di monitorare il traffico.

[Franto]

[LearningToFly]

Perdonatemi se abbasso un po' il tiro... Ma stiamo parlando di due PC domestici, per forza c'è l'accesso da admin, non ci sono altri utenti ne sul mio PC ne sul suo. Non ci sono LAN (esclusa qui da me la connessione diretta con il portatile che però collego solo quando devo trasferire files tra le due macchine).

Per quanto riguarda il mio PC... ritengo di essere abbastanza blindato: desktop remoto, segnalazione errori e compagnia bella sono le prime cose che disattivo.
Al di là della sicurezza, uso il PC per fare musica in maniera più che seria e quei servizi fanno a botte col software musicale.
Seguendo le guide per l'ottimizzazione audio di XP ho disabilitato molti altri servizi.
L'account utente mi sembra ok, io accedo sempre come amministratore, poi c'è il classico account "guest" che risulta disattivato. Dopo aver installato il .NETframework la presenza di un guest inattivo è normale.
NB: è disattivata anche l'utilità di cambio rapido utente.
Ho appena installato, aggiornato e lanciato SpyBot. Nulla da riportare se non una ventina di cookie traccianti che ho già rimosso. Ho attivato anche l'immunizzazione.

Sul PC della "vittima"... la formattazione è stata fatta da un amico che ha un negozio di PC e non so con esattezza come siano impostati i servizi di XP però mi informerò. Fino a lunedì comunque tregua, lei è via per una piccola vacanza. Cmq ora non posso perchè sono "sotto esame" ma prevedo di fare presto un sopraluogo personalmente per dare un'occhiata a questo PC, credo sia più che opportuno.

[LearningToFly]

Ops... chiedo scusa, ho letto male!
No il mio account da amministratore non è protetto da password. Sono l'unico ad usare il mio PC, non aveva senso impostarne una. Sull'altro chiederò appena possibile ma... è rilevante?
Eventualmente creando un account utente senza i privilegi di amministratore, una backdoor si preoccuperebbe di chiedere il permesso?

Mi viene un dubbio sensato proprio ora... lei è moderatrice del famoso canale di WinMX ma... non le ho mai chiesto se accede alla chat tramite lo stesso WinMX o con uno script di mIRC. Se fosse vera la seconda ipotesi si spiegherebbe come mai il problema è ricomparso subito dopo la formattazione. Segno anche questa tra le cose da chiarire...

[SverX]

Prendersi delle schifezze dai canali IRC è praticamente un attimo... ah, se il tipo l'ha beccata tramite IRC è un lamer e punto

Ah, puoi usare Active ports per vedere quali programmi usano le porte TCP/IP dove vedi traffico, magari becchi la backdoor...* (occhio che il tool citato viene rilevato come "security risk" da alcuni antivirus, tra cui Symantec... mah

[LearningToFly]

Si Si, concordo, se il danno viene da mIRC ce la caviamo in un attimo... Purtroppo fino a lunedì non posso indagare oltre.

Il dubbio che comunque ci sia qualcosa di anomalo mi rimane... navigo da anni, sono abbastanza smaliziato ma ben lontano dall'essere un esperto di sicurezza, eppure non ho mai preso nulla bazzicando sia in rete che su mIRC così come in tutti i posti "pericolosi". Questa storia è troppo strana.
Spero di appurare che si tratti di uno script preconfigurato che, dopo la reinstallazione, ha riconsentito l'accesso al PC. Se così non fosse purtroppo il problema si conferma di gravità più che rilevante.

Tra l'altro XP è molto più protetto dei vecchi sistemi e i lamers di solito riuscivano alla peggio a mettere a segno qualche attacco DOS. Senza accettare direttamente un file l'ipotesi che qualcuno riesca a leggere quel che scrivi ad altri è piuttosto remota...

l'indagine è in corso

[ulisse]

[Gipi']

[LearningToFly]

Escludo assolutamente di essere l'oggetto dello scherzo, insomma, non sto a parlare qui di fatti personali ma garantisco che non avrebbe proprio senso. E' vero che a pensar male si indovina sempre però non esageriamo.

Anyway, riporto le ultime novità: le ho chiesto di fare nuovamente le scansioni on line con Fsecure, TrendMicro e Kaspersky. In attesa di vedere se emerge qualcosa questa sera le ho dato il link all'HackerCheck di Trend Micro e mi sono fatto spedire la pagina di risposta.
Questo è il responso:

[SverX]