Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Specie di virus invisibile
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus
Precedente :: Successivo  
Autore Messaggio
pincopallino
Dio maturo
Dio maturo


Registrato: 05/05/02 08:05
Messaggi: 3396
Residenza: Paperopoli

MessaggioInviato: 17 Set 2003 11:42    Oggetto: Specie di virus invisibile Rispondi citando

Se sia Blaster trasformato o meno, ancora non si sa... Comunque ecco cosa succede.

Le macchine (Win2K, WinXP) sulle quali non è stato disattivato DCOM possono essere attaccate da un "qualcosa" che non è riconosciuto nemmeno dall'antivirus più aggiornato. Questo "qualcosa" modifica il services.exe di Win e poi comincia ad inviare pacchetti su pacchetti alla porta 135. La funziona copia-incolla risulta inattiva, ed Eudora non mostra più alcuna cartella. Disattivare DCOM una volta che il PC è stato infettato serve a ripristinare la funzionalità, ma non a bloccare l'infezione (chiudere la stalla dopo che i buoi son scappati...)

Qui abbiamo 6 macchine "infettate" che sparano pacchetti a tutto spiano, sempre sulla 135. Erano state aggiornate (Windows Update) prima dell'attacco. Addirittura, pare che comunichino fra di loro, sempre tramite quel services.exe modificato. I responsabili della piattaforma informatica (che copre università, istituti, biblioteche ecc. - immaginate quale estensione!) per il momento non hanno bloccato gl'IP delle macchine infettate, proprio per studiare il colpevole e cercare di trovare un rimedio.

Io non sono stato infettato, ma avevo disattivato il DCOM già da parecchio.

Se doveste trovarvi nella medesima situazione, consiglio un "repair" dell'installazione direttamente dal CD di Windows. Se non funziona, una sostituzione brutale del services.exe, e poi una visita a Windows Update. Ovviamente, un bel backup di tutti i dati prima di smanettare con il SO.

Questo è il caso più subdolo che abbia mai incontrato... Finora!

_________________________________

God saves, but Buddha makes incremental backups

Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 10677
Residenza: Tokelau

MessaggioInviato: 17 Set 2003 12:42    Oggetto: Re: Specie di virus invisibile Rispondi citando

ma era stata installata la "seconda" patch rilasciata per i bachi di DCOM? Che dopo Blaster e la prima patch si sono resi conto che il problema era stato risolto solo in parte e che presto qualcuno avrebbe modificato un pochettino una copia di Blaster per sfruttare lo spiraglio ancora aperto... allora hanno rilasciato una seconda patch, cerca la fix "824146".



Top
Profilo Invia messaggio privato HomePage
pincopallino
Dio maturo
Dio maturo


Registrato: 05/05/02 08:05
Messaggi: 3396
Residenza: Paperopoli

MessaggioInviato: 17 Set 2003 13:10    Oggetto: Re: Specie di virus invisibile Rispondi citando

Alcune delle macchine erano completamente pacchate. Eppure...

_________________________________

God saves, but Buddha makes incremental backups

Top
Profilo Invia messaggio privato
SverX
Supervisor Macchinisti
Supervisor Macchinisti


Registrato: 25/03/02 11:16
Messaggi: 10677
Residenza: Tokelau

MessaggioInviato: 17 Set 2003 13:11    Oggetto: Re: Specie di virus invisibile Rispondi citando

Quote:
pacchate




intendi macchine "pacco"? ;)



"Sono workstation Windows, cosa pretendi?" direbbe doctorK ;) lol :)

Top
Profilo Invia messaggio privato HomePage
pincopallino
Dio maturo
Dio maturo


Registrato: 05/05/02 08:05
Messaggi: 3396
Residenza: Paperopoli

MessaggioInviato: 17 Set 2003 18:52    Oggetto: 'spetta 'spetta.... Rispondi citando

.... che n'è saltata fuori una bella! Ci credi che sul Windows Update francese non c'è la patch 824146? Io non uso la versione francese, quindi non posso accertarmene direttamente, ma il nostro amministratore network, su mio consiglio, è andato a cercarsi la patch separatamente, e non solo l'ha trovata, ma installandola l'invio esterno si è fermato. A quel punto ha controllato le macchine che erano state aggiornate tramite WinUp e non ha trovato traccia della 824146, nemmeno nella cronologia delle installazioni. Quindi è andato su WinUp alla ricerca di tutte le patch, incluse le minori: niente!

Questo fa il pajo con un driver HP per una laser recto-verso. L'ultima versione francese non funziona, presenta una finestra proprietà completamente diversa dalla corrispondente versione inglese (che invece funziona).

Mah, fortunatamente io continuo con la mia versione giapponese, che non mi ha mai dato problemi ;)

_________________________________

God saves, but Buddha makes incremental backups

Top
Profilo Invia messaggio privato
gieffeo
Dio minore
Dio minore


Registrato: 17/07/03 14:37
Messaggi: 784

MessaggioInviato: 17 Set 2003 19:19    Oggetto: suoni e significati Rispondi citando

Quote:
laser recto-verso




gh ... detto cosi', nn suona mica tanto bene :



;)

Top
Profilo Invia messaggio privato
pincopallino
Dio maturo
Dio maturo


Registrato: 05/05/02 08:05
Messaggi: 3396
Residenza: Paperopoli

MessaggioInviato: 17 Set 2003 20:13    Oggetto: Re: suoni e significati Rispondi citando

Uhm... "laser bifronte"? "laser double-face"? "laser ..."??



A proposito, la sai quella dei tre carabinieri che... ma no, lasciamo perdere... ;)

_________________________________

God saves, but Buddha makes incremental backups

Top
Profilo Invia messaggio privato
ioSOLOio
Amministratore
Amministratore


Registrato: 12/09/03 18:01
Messaggi: 16342
Residenza: in un sacco di...acqua

MessaggioInviato: 18 Set 2003 08:09    Oggetto: articolo di Attivissimo Rispondi citando

nell'articolo di Paolo Attivissimo QUA' si parla del probabile Blaster2..



..oltre che del solito zio Bill !!

Top
Profilo Invia messaggio privato
gieffeo
Dio minore
Dio minore


Registrato: 17/07/03 14:37
Messaggi: 784

MessaggioInviato: 18 Set 2003 08:11    Oggetto: Re: suoni e significati Rispondi citando

Quote:
"laser bifronte"? "laser double-face"?


il primo suona tanto epico il secondo sartoriale ... adottero' il primo, molto piu' carino del banale laser fronte-retro usato finora :D



AHAHAHAHAHAHAHAHAHAHAHAHAHA (si la sapevo :D :D :D )



;)

Top
Profilo Invia messaggio privato
egosumquisum2
Dio minore
Dio minore


Registrato: 04/07/02 14:13
Messaggi: 885

MessaggioInviato: 18 Set 2003 09:24    Oggetto: ocio ocio ocio!!! Rispondi citando

deselezionato il servizio DCOM e puffete!!!

niente firewall, più un altro paio di problemini minori

quindi: riabilitato il servizio

There are 10 kinds of people
Those who understand binaries and those who don't

Top
Profilo Invia messaggio privato
pincopallino
Dio maturo
Dio maturo


Registrato: 05/05/02 08:05
Messaggi: 3396
Residenza: Paperopoli

MessaggioInviato: 18 Set 2003 09:29    Oggetto: Re: ocio ocio ocio!!! Rispondi citando

mooolto strano! Che firewall usi? Con sygate e niente DCOM nessun problema qui

_________________________________

God saves, but Buddha makes incremental backups

Top
Profilo Invia messaggio privato
doctorK
Dio minore
Dio minore


Registrato: 10/06/02 21:09
Messaggi: 874

MessaggioInviato: 18 Set 2003 11:50    Oggetto: Re: Specie di virus invisibile Rispondi citando

Ma allora siete prevenuti!!! :-)

Top
Profilo Invia messaggio privato
egosumquisum2
Dio minore
Dio minore


Registrato: 04/07/02 14:13
Messaggi: 885

MessaggioInviato: 18 Set 2003 14:12    Oggetto: Re: ocio ocio ocio!!! Rispondi citando

proprio sygate e scm.exe ha fatto le bizze subito dopo aver disabilitato il dcom

There are 10 kinds of people
Those who understand binaries and those who don't

Top
Profilo Invia messaggio privato
pincopallino
Dio maturo
Dio maturo


Registrato: 05/05/02 08:05
Messaggi: 3396
Residenza: Paperopoli

MessaggioInviato: 18 Set 2003 14:20    Oggetto: Re: ocio ocio ocio!!! Rispondi

Mooolto strano! Io ho disabilitato DCOM mooolto tempo fa, e sygate non ha mai banfato >D

_________________________________

God saves, but Buddha makes incremental backups

Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Pronto Soccorso Virus Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi