Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Miserioso "nc.exe"

0 views
Skip to first unread message

GD1

unread,
Feb 23, 2007, 6:16:57 AM2/23/07
to
Salve a tutti,

ieri sera mi sono accorto che su C:\ era apparso un certo nc.exe: la
data di creazione risaliva a due giorni prima, e l'eseguibile non era
in esecuzione come processo.

Il semplice fatto che questo eseguibile sia apparso da solo mi
inquieta. Io utilizzo sempre il computer come utente limitato, ed
entro come amministratore molto di rado, solo per installare i
programmi.

Documentandomi, ho scoperto che questo nc.exe risponde al nome di
NetCat, una network utility nota per le sue possibili applicazioni
"malefiche".

Né il mio antivirus (AVG), né l'antispyware identificano in nc.exe una
minaccia, ma la cosa non mi tranquillizza affatto. Ho letto tutorial,
su Internet, dove si spiega come lanciare una shell con privilegi da
amministratore collegandosi a un computer con nc.exe in ascolto su una
porta.

La mia domanda è:
Se un hacker voleva prendere il controllo del mio sistema e fosse
riuscito in qualche modo a introdurre nc.exe nel mio computer, perché
non nasconderlo meglio? Poteva rinominarlo in spool.exe e piazzarlo
dentro system32. E inoltre, perché non far avviare nc.exe
automaticamente all'avvio del sistema?

Gufo

unread,
Feb 25, 2007, 9:21:09 AM2/25/07
to
On 2007-02-23, GD1 <euth...@gmail.com> wrote:
> Documentandomi, ho scoperto che questo nc.exe risponde al nome di
> NetCat, una network utility nota per le sue possibili applicazioni
> "malefiche".

Si, è quello.

> Né il mio antivirus (AVG), né l'antispyware identificano in nc.exe una
> minaccia, ma la cosa non mi tranquillizza affatto. Ho letto tutorial,
> su Internet, dove si spiega come lanciare una shell con privilegi da
> amministratore collegandosi a un computer con nc.exe in ascolto su una
> porta.

Non è una minaccia in se avere un'utility che permetta di gestire del
traffico su rete.

> La mia domanda è:
> Se un hacker voleva prendere il controllo del mio sistema e fosse
> riuscito in qualche modo a introdurre nc.exe nel mio computer, perché
> non nasconderlo meglio? Poteva rinominarlo in spool.exe e piazzarlo
> dentro system32. E inoltre, perché non far avviare nc.exe
> automaticamente all'avvio del sistema?

Se "l'aker" che ha preso controllo del tuo sistema, sempre che ci sia
riuscito, fosse solo un lamerone di prima categoria? Cosa piuttosto
probabile dato il fatto che ha lasciato tracce del passaggio cosi'
evidenti. Controlla con netstat che processi ci sono in ascolto, e vedi
se non c'è qualcosa di strano. Magari sei solo stato usato come testa
di ponte per attaccare qualche altro, o magari nc.exe è finito lì quando
hai installato qualche applicazione o tuo nipote/figlio/amico ha usato
il pc per fare delle prove.

Ciao,
Gufo
--
,___, Telling the truth to people who misunderstand you is
(9v9) generally promoting a falsehood, isn't it?
(_^((\ .: May the owl be with you :.
-^-"-"-\\-^- http://gufo.dontexist.org

GD1

unread,
Feb 25, 2007, 4:50:20 PM2/25/07
to
> Non è una minaccia in se avere un'utility che permetta di gestire del
> traffico su rete.

Sono d'accordo...


> Se "l'aker" che ha preso controllo del tuo sistema, sempre che ci sia
> riuscito, fosse solo un lamerone di prima categoria? Cosa piuttosto
> probabile dato il fatto che ha lasciato tracce del passaggio cosi'
> evidenti.

E' la stessa cosa che ho pensato anch'io. Perché mettere nc.exe sotto
C:\???

> Controlla con netstat che processi ci sono in ascolto

Niente di niente. Tutti i processi in esecuzione sono ben
indentificabili e nessuno sta in ascolto su alcuna porta.

> Magari sei solo stato usato come testa
> di ponte per attaccare qualche altro

...e questa è la cosa che mi spaventa di più. Francamente non vorrei
essere "messo in mezzo" a nulla. E tutto è possibile, conoscendo il
livello di competenza dei fulgidi cyberpoliziotti di quest'italietta...

roberto

unread,
Feb 26, 2007, 8:38:25 AM2/26/07
to
GD1 wrote:
-cut-

> E' la stessa cosa che ho pensato anch'io. Perché mettere nc.exe sotto
> C:\???

Perche' e' sicuro che esiste in ogni localizzazione nazionale, e cosi'
il virus non deve leggere tramite api le variabili di ambiente, ma puo'
puntare direttamente li'.

--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi rpo...@softhome.net

Samanta

unread,
Apr 17, 2007, 2:26:48 PM4/17/07
to

>
>> Se "l'aker" che ha preso controllo del tuo sistema, sempre che ci sia
>> riuscito, fosse solo un lamerone di prima categoria? Cosa piuttosto
>> probabile dato il fatto che ha lasciato tracce del passaggio cosi'
>> evidenti.
>
>E' la stessa cosa che ho pensato anch'io. Perché mettere nc.exe sotto
>C:\???
>

Ancora con questo problema, ma da quanti anni non fai gli
aggiornamenti di xp? Credo almeno dal 2005 visto QUEsto virus è legato
ad una delle famose vulnerabilità dell'anno scorso. Febbario-agosto
2006
Samanta

GD1

unread,
Apr 18, 2007, 12:44:14 PM4/18/07
to

No, sono puntualissimo negli aggiornamenti e vorrei, se possibile, che
indicassi la risorsa dalla quale hai appreso queste informazioni.

Samanta

unread,
Apr 19, 2007, 8:08:59 PM4/19/07
to
O
>>
>> Ancora con questo problema, ma da quanti anni non fai gli
>> aggiornamenti di xp? Credo almeno dal 2005 visto QUEsto virus è legato
>> ad una delle famose vulnerabilità dell'anno scorso. Febbario-agosto
>> 2006
>> Samanta
>
>No, sono puntualissimo negli aggiornamenti e vorrei, se possibile, che
>indicassi la risorsa dalla quale hai appreso queste informazioni.
Guarda qui http://www.securnetwork.net/?p=303, c'è l'archivio del 2006
di tutte le vulnerabilità del 2006. Io avevo questo tipo di problema
ma non facevo gli aggiornamenti di xp e mi sembra che il problema si
chiamava exploit.
Ma questo problema era legato al linkoptimizer, guarda dal pannello di
controllo nella lista dei programmi se compare questa voce
linkoptimizer, se compare c'è l'hai ma non tentare di cliccarci sopra
o eliminarlo altrimenti si collega ad un sito per riscaricarlo
Samanta

Edoardo Benussi [MVP]

unread,
Apr 20, 2007, 4:19:53 AM4/20/07
to
Samanta <Pi...@libero.it> wrote in message,
ls0g23hduc5pcdci2...@4ax.com

> ... e mi sembra che il problema si
> chiamava exploit.

ma ROTFL !!!

--
Edoardo Benussi - e...@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com


Samanta

unread,
Apr 20, 2007, 6:54:46 AM4/20/07
to
On 18 Apr 2007 09:44:14 -0700, GD1 <euth...@gmail.com> wrote:

>No, sono puntualissimo negli aggiornamenti e vorrei, se possibile, che
>indicassi la risorsa dalla quale hai appreso queste informazioni.

Ma comunque se fai ricerce su gooegle può darsi che questo virus l'hai
preso su qualche sito, stai attento a fare ricerche su motori di
ricerche si prendono un sacco di virus
Samanta

Neoviruz

unread,
Apr 20, 2007, 7:34:28 AM4/20/07
to
Samanta ha detto questo venerdě :

> Ma comunque se fai ricerce su gooegle puň darsi che questo virus

> l'hai preso su qualche sito, stai attento a fare ricerche su motori
> di ricerche si prendono un sacco di virus

Hai ragione, e' il metodo di infezione principale nevvero?
Ora, quando gentilmente hai chiuso la bocca, potresti cortesemente
riaprirla per compiere operazioni piu' divertenti e a cui sei
certamente piu' portata?

--
L'universita' americana di Berkeley
ha prodotto due importanti invezioni: l'LSD e Unix.
Credo non sia una coincidenza.
Jeremy S. Anderson


enneti

unread,
Sep 24, 2007, 2:55:47 PM9/24/07
to
Samanta ha scritto:
????????????????????
--
enne
http://ennetidue.spaces.live.com
0 new messages