Incredibile!! Intruso nel mio computer, ORA!!! E con Norton attivo!

[Alessio Palmieri]

Salve a tutti!
Dopo aver penato con il virus w32.hllw.gaobot.gen ed un fantomatico file
wautof.exe che veniva creato sulla partizione D: (Documenti), dopo aver
disabilitato le condivisioni delle risorse (sembra che questo virus attacchi
le risorse condivise in rete) ed aver apparentemente risolto tutto
reinstallando Norton 2004, è successa una cosa agghiacciante:
andando a smanettare in Pannello di controllo,
Strumenti di amministrazione, Gestione Computer, Cartelle Condivise,
Sessioni... chi vedo???? Un fantomatico utente "MARY" su computer "TECNO",
connesso come "Guest" (mistero in quanto l'utente guest è disabilitato)!!!
Chiudo la sessione e dopo un minuto... POP! Riappare anche se sembra non
fare alcuna azione (leggo "file aperti: 0")....
Che devo fare??? Questa sensazione di impotenza è frustrante!!!!

Nel traffico di rete Norton nei registri segnala solo una serie di messaggi
del tipo:

"Dettagli:Connessione reindirizzata: localhost: 1027
da localhost: 1075
39 byte inviati
2605 byte ricevuti
15:00.312 tempo trascorso"

Qualche notizia sul mio sistema: ho Windows XP HOME Edition (che tra l'altro
rende praticamente impossibile impostare password di accesso ad unità
condivise, come invece ci si raccomanda di fare per evitare il virus gaobot)
Smanetto un po' con Adunanza per Fastweb (e temo sia questo il maggior
motivo di contagi del genere...) ma il fenomeno descritto accade senza che
sia lanciato il programma;
mi collego ad Internet via LAN con Fastweb (tramite HAG).
Leggendo post passati so che qualcuno ha avuto i miei stessi sintomi ma non
sono riuscito a leggere dei post esaustivi!
Ho anche provato senza successo il tool della Symantec...
L'unico rimedio è stare disconnesso da Internet ma questo non me lo posso
permettere....
Suggerimenti?
Grazie in anticipo

Alessio

[sbrecche]

> Suggerimenti?
> Grazie in anticipo
>
> Alessio

Installa un firewall, ti consiglio outpost
ciao
S.

[Cujo]

Alessio Palmieri wrote:

> Strumenti di amministrazione, Gestione Computer, Cartelle Condivise,
> Sessioni... chi vedo???? Un fantomatico utente "MARY" su computer "TECNO",
> connesso come "Guest" (mistero in quanto l'utente guest è disabilitato)!!!
> Chiudo la sessione e dopo un minuto... POP! Riappare anche se sembra non
> fare alcuna azione (leggo "file aperti: 0")....
> Che devo fare???

L'unica cosa che avresti dovuto fare prima, cioè disabilitare file &
printer sharing dall'interfaccia di rete connessa alla WAN.

ciao, f.
--
Cujo.
<f...@despammed.com>
<http://www.cujo.it>

PGP signed / encrypted mail welcome:
PGP Public Key: <http://www.cujo.it/pgp.txt>

[Airone]

> L'unica cosa che avresti dovuto fare prima, cioč disabilitare file &

> printer sharing dall'interfaccia di rete connessa alla WAN.

Potresti spiegarti meglio :)
Grazie CIAO

[Cujo]

Airone wrote:

> Potresti spiegarti meglio :)

Ci provo. :)

Prima ancora di utilizzare un firewall per chiudere determinati tipi di
traffico, IMHO è opportuno chiudere i servizi che non servono.

Va' sulle proprietà della connessione di rete, e leva il segno di spunta
da tutti i protocolli ad eccezione del TCP/IP.

In particolare, leva la spunta da "client per reti microsoft" e da
"condivisione files e stampanti per reti microsoft".

Se quei protocolli invece ti servono, ti conviene architettare meglio la
tua rete: è molto meglio avere una rete "privata" (rispetto alla man di
fastweb) con un router/firewall che faccia NAT e packet filtering in un
punto solo - quello di confine.

[Airone]

[CUT]

Grazie :)
Senti io ho tolto dalla condivisione il C$ e D$ ma al riavvio mi
ricompaiono! Come cavolo posso fare?

[Cujo]

Airone wrote:

Naaaa. :)

pannello di controllo -> connessioni di rete -> tasto DX sulla
connessione a fastweb -> proprietą.

Dall'elenco di protocolli che appare in centro alla finestra che ti si
apre, leva tutto (nel senso di TOGLI il segno di spunta, NON
disinstallare il protocollo) TRANNE TCP/IP.

[ReVeNGE]

Airone ha scritto:

start-esegui: scrivi "services.msc" senza apici e vai al servizio server
clicca destro e fai: arresta.
dopo vai sulle sue proprietą e mettilo in avvio manuale.
se vuoi essere sicuro vai nelle proprietą delle connessioni di rete e
disabilita la condivisione file e stampanti.
ReVeNGE

[Airone]

[CUT]

Fatto!!
Cazzo vuol dire che tutto questo tempo avevo il c e il d condiviso? Cioe
chiunque poteva entrare nel pc? O__O (su questo pc che uso ogni tanto non
c'ho messo il firewall)
Ditemi di no :)

[Cujo]

Airone wrote:

C$ e D$ sono shares amministrativi di default. In teoria, chiunque
condivide il tuo switch (il tuo palazzo e, a seconda dei casi, anche
qualche palazzo vicino) AVREBBE POTUTO accedere ai tuoi files se avesse
avuto user e pass di un utente amministratore della macchina,
semplicemente digitando '\\w.x.y.z\C$' senza le virgolette, dove w.x.y.z
č il tuo ip. Se sul tuo pc ci si logga con 'Administrator' senza
password, beh sě, eri MOLTO vulnerabile.

[Airone]

[CUT]

Grazie per i chiarimenti :)
Un'ultima cosa nelle impostazioni mi è rimasto solo TCP/Ip e Utilità di
pianificazione pacchetti QoS che faccio quest'ultimo lo lascio?

Grazie CIAO :)

[Cujo]

Airone wrote:

> Grazie per i chiarimenti :)

de nada !

> Un'ultima cosa nelle impostazioni mi è rimasto solo TCP/Ip e Utilità di
> pianificazione pacchetti QoS che faccio quest'ultimo lo lascio?

Leva pure quello... Più perchè non serve che per questioni di sicurezza,
ma già che ci sei...

[Christian]

> C$ e D$ sono shares amministrativi di default.

Uno dei problemi piu' grandi riguardante la sicurezza di fastweb č dovuta
proprio al netbios e al problema delle condivisione amministrative di
default del O.s
Molti virus in circolazione vanno proprio ad altare i permessi del disco
locale permettendo a tutti gli utenti di accedere a quella macchina tramite
il famoso $.
Ho notato che molti pc della classe b e cioč A.B.x.x consentono l'accesso
attraverso il c$. La spiegazione che mi sono dato..e si accettano volentieri
correzzioni e suggerimenti.. č che fastweb č formata da tante piccole reti..
(vedi WAN) e in una di queste reti (LAN) c'č anche il mio pc..con tutti gli
altri pc e..probabilmente i virus poi fanno la loro parte alterando i
permessi delle share amministrative.
Il mio consiglio č quello di mettere un bel firewall e controllare
soprattutto le porte che vanno dalla 1 alla 1029 in tcp e udp.

Christian

[Alessio Palmieri]

Vi adoro tutti e vorrei essere vostro amico :-)))))))))))))))
Purtroppo, pur ritenendomi smanettone su gran parte di cio' che riguarda
computer, telefonini e palmari avete raggiunto vette di complessità davvero
eccessive per la mia modesta preparazione da ingegnere civile :-)))))) - mi
riferisco soprattutto alla "supercazzola" del "punto di confine" molto
startrekkiano descritta da
Cujo.

Non so come facciate ad avere tutte queste nozioni ma fate venir voglia di
sapere tutto su sicurezza e reti...

Nel frattempo vi dico l'evoluzione del mio problema: ho parlato con una
gentilissima signorina di Fastweb che ha individuato il pc connesso (era on
line mentre parlavo con lei) e lo ha contattato... poi mi ha richiamato
dicendomi che anche questa persona notava delle anomalie sulla sua rete e
che avrebbe provveduto al piu' presto (chissà se è davvero così)...
Purtroppo il fantomatico utente ogni tanto continua ad apparire (una volta
col nome "MARY", una volta "ADMINISTRATOR" e una volta "XYZ" il che mi fa
pensare al post precedente del grande Cujo!!).. bah, provero' a fare come si
è detto (togliere tutte le spunte dalle proprietà di rete).

Speriamo bene.. navigare con questa presenza annidata mi riporta un po' ad
"Alien" :-)))))))))

Ciacciacciaccia'

Ale

[ker]

"Cujo" <f...@despammed.com> ha scritto nel messaggio

>
> > Un'ultima cosa nelle impostazioni mi è rimasto solo TCP/Ip e Utilità di
> > pianificazione pacchetti QoS che faccio quest'ultimo lo lascio?
>
> Leva pure quello... Più perchè non serve che per questioni di sicurezza,
> ma già che ci sei...
>

Non levare QoS....se modifici il valore da 20% a 0% ti permette di guadagnare
banda...Non è poco!! Cmq anche se lo togli...non ti cambia molto

[ker]

"Christian" <zar...@fastwebnet.it> ha scritto nel messaggio

>
> Uno dei problemi piu' grandi riguardante la sicurezza di fastweb č dovuta
> proprio al netbios e al problema delle condivisione amministrative di
> default del O.s

Basta disattivare Netbios...se č questo il tuo unico problema...e anche le
porte...137/8/9...o per lo meno filtrarle...se sai come fare...eh

[Christian]

>
> Basta disattivare Netbios...se è questo il tuo unico problema...e anche le

> porte...137/8/9...o per lo meno filtrarle...se sai come fare...eh

Certo..ma purtroppo di default il tutto è attivo..quindi per un utente
base..la cosa diventa alquanto problematica

[Federico Spano`]

Il Tue, 29 Jun 2004 14:22:12 +0200, "ker" <oceano...@SPAMlibero.it>
apparentemente scrisse:

>Non levare QoS....se modifici il valore da 20% a 0% ti permette di guadagnare
>banda...

Dove lo modifichi ?

--
Federico Spano`
http://mate.splinder.it non e' stato aggiornato
Le email indirizzate a fsp...@tiscali.it vengono automaticamente cancellate

[ker]

"Federico Spano`" <fsp...@tiscali.it> ha scritto nel messaggio

> Dove lo modifichi ?
>
>

1. Collegatevi ad XP come Amministratori (Administrator)
2. start - esegui - scrivete gpedit.msc
3. espandere il menu "Configurazione Computer"
4. espandere il menu "Modelli Amministrativi"
5. espandere il menu "Rete"
6. Selezionare "Utilità di Pianificazione Pacchetti QoS " nella finestra di
sinistra
7. nella finestra di destra doppio click su "Limita larghezza di banda
riservabile"
8. nel settaggio mettiamo "Attiva"
9. mentre dove dice "Limita Larghezza di Banda %" spostiamo il valore fino a 0
(zero) -- e poi clicchiamo Applica
10. Chiudete la finestra dei Criteri di Gruppo
11. Andate in Impostazioni/Connessioni di Rete (start->impostazioni->connessioni
di rete
12. Selezionate la Vostra connessione e premete il pulsante di destra
13. Scegliete Proprietà e vi si apre la finestra delle proprietà della
connessione
14. Verificate che "L'utilità di pianificazione pacchetti QoS" sia presente ed
attivata.
15. Riavviate il Pc, la modifica è stata fatta.cancellate

Bye

[ker]

"Christian" <zar...@fastwebnet.it> ha scritto nel messaggio

>
>

> Certo..ma purtroppo di default il tutto è attivo..quindi per un utente
> base..la cosa diventa alquanto problematica
>

Basta controllare bene sia le opzioni avanzate di Sistema..da pannello di
controllo e disattivare tutte le opzioni di segnalazione errori, desktop remoto
e via via..e poi andare nelle proprietà della scheda di rete/connessione e
disattivare NetBios...

Già questo è molto...

Se avete XP pro avete il tool amministrazione molto importante per gestire
permessi, utenti, gruppi, ecc..

[Visual]

"whiplash" <whip...@despammed.com> ha scritto nel messaggio
news:cbs3j9$ril$4...@posted-at.bofh.it...

> Per non dimenticare:
> http://snipurl.com/SdC_ed_il_vino

Niente male!
:-P
V

[marconeuro078]

Blak ha scritto:

> Visual wrote on 16:08, mercoledì 30 giugno 2004 in it.tlc.gestori.fastweb:
>
>
>>>Per non dimenticare:
>>>http://snipurl.com/SdC_ed_il_vino
>>
>>Niente male!
>>:-P
>
>

> no, è semplicemente fantastica!
>

ROTFL
la prossima volta che mi fermano per la prova del palloncino dico "solo
vino".

--

"One World, One Web, One Program" - Microsoft Promotional Ad
"Ein Reich, Ein Volk, Ein Fuhrer" - Adolf Hitler