Colpa di un trojan?

[Feliks]

Porca Trojan

Bè? Me la fate passare liscia così?

[Lollo87Lp]

Thunderbird.

[mosongo]

Scusate se lo posto anche qui, ma Internet Inter Nos è un deserto...

Per tutta la giornata di ieri non sono riuscito ad inviare mail da Eudora. Ogni volta che provavo, ricevevo lo stesso messaggio di errore: "550 5.7.1 Relaying denied". Ho consultato forum e siti internet, tutti proponevano le soluzioni più astruse ed incomprensibili, alla fine sono andato a controllare le configurazioni di Eudora (pur essendo sicuro che erano giuste, visto che fino al giorno prima funzionava perfettamente ed io non avevo cambiato nulla). Bè, il server smtp era stato cambiato da smtp.fastwebnet.it a smtp.atlavia.it. Andando a controllare in rete, scopro che Atlavia è un nuovo internet provider.

Ora mi chiedo: come cazzo è possibile questo? Subito dopo ho fatto la scansione antivirus, ed ho trovato qualche trojan (tutti del genere win32), uno era pure nella memoria, può essere che sia stato qualcuno dall'esterno sfruttando la backdoor aperta dal trojan? E perchè farmi uno scherzo del genere?

Prova a fare un'altra scansione con Kasperky online...se te ne trova devi formattare....

[Max72]

Per tutta la giornata di ieri non sono riuscito ad inviare mail da Eudora. Ogni volta che provavo, ricevevo lo stesso messaggio di errore: "550 5.7.1 Relaying denied". Ho consultato forum e siti internet, tutti proponevano le soluzioni più astruse ed incomprensibili, alla fine sono andato a controllare le configurazioni di Eudora (pur essendo sicuro che erano giuste, visto che fino al giorno prima funzionava perfettamente ed io non avevo cambiato nulla). Bè, il server smtp era stato cambiato da smtp.fastwebnet.it a smtp.atlavia.it. Andando a controllare in rete, scopro che Atlavia è un nuovo internet provider.

Ora mi chiedo: come cazzo è possibile questo? Subito dopo ho fatto la scansione antivirus, ed ho trovato qualche trojan (tutti del genere win32), uno era pure nella memoria, può essere che sia stato qualcuno dall'esterno sfruttando la backdoor aperta dal trojan? E perchè farmi uno scherzo del genere?

Lo scopo del trojan e' esattamente quello di creare una backdoor per fare cose poco simpatiche ai tuoi danni.

Probabile che l'indirizzo mail sara' compromesso, probabile che ci siano altri regalini sull'HD.

Tenta un eradicazione in base ai link forniti con qualche scan e soprattutto proteggi un po' meglio il sistema, perche' se il trojan ha avuto il tempo di duplicarsi e redirectarti senza che un antivirus ti mettese in allarme, potrebbe esserci un rootkit a kernel-space, e nessuna eradicazione in questo caso e' possibile.

Quando un sistema e' compromesso a simile livello, tutti i propri datri personali vanno dati per inquinati...

[Max72]

Non so' se ricordo male, ma non avevi avuto casini per spam con un hotmail qualche settimana fa'?

[Max72]

Non so' se ricordo male, ma non avevi avuto casini per spam con un hotmail qualche settimana fa'?

http://www.politicaonline.net/forum/...d.php?t=318270


Avevi scansionato e verificato di non essere infetto?

[are(a)zione]

Bè? Me la fate passare liscia così?

a me ha fatto ridere...anche se un pochino scontata

[Fenris]

http://www.politicaonline.net/forum/...d.php?t=318270


Avevi scansionato e verificato di non essere infetto?

Avevo scansionato con l'antivirus che uso sempre (Avast), e non aveva trovato granchè. E comunque il problema in quel caso era che qualcuno aveva inserito il mio indirizzo di Hotmail in una mailing list ba mia insaputa, infatti poco prima della chiusura dell'account avevo ricevuto molte mail da questa mailing list, la maggior parte di protesta (non nei miei confronti) per l'inserimento anonimo, che evidentemente è stato fatto ai danni di molti.

Ti dirò che del tuo post precedente non ho capito granchè, cosa vuol dire "potrebbe esserci un rootkit a kernel-space"?

[Fenris]

Per gli spyware ed adware usa il programma della lavasoft

Per formattare ti fai una copia dell'hd con norton ghost od altro programma simile (e non mi chiedere come o dove lo puoi prendere "gratuito" :-o )

Infine, metti un firewall se proprio devi continuare a stare su Windows

MA secondo te non lo uso? Ho antivirus e firewall (rispettivamente Avast e Sygate) da sempre, ma a quanto pare non bastano...

[Max72]

Avevo scansionato con l'antivirus che uso sempre (Avast), e non aveva trovato granchè. E comunque il problema in quel caso era che qualcuno aveva inserito il mio indirizzo di Hotmail in una mailing list ba mia insaputa, infatti poco prima della chiusura dell'account avevo ricevuto molte mail da questa mailing list, la maggior parte di protesta (non nei miei confronti) per l'inserimento anonimo, che evidentemente è stato fatto ai danni di molti.

Hai rilevato del malaware con programmi stile adaware o spybot, spyware terminator?
Io sparo nel buio a livello paranoico(l'unico livello per windows)perche' non posso sapere come scarichi e gestisci le varie mail che possono arrivarti in spam da altri contatti estranei.

Probabilmente si trattava solo di spam.

Ti dirò che del tuo post precedente non ho capito granchè, cosa vuol dire "potrebbe esserci un rootkit a kernel-space"?

I rootkit non lavorano a livello utente, ma direttamente a livello kernel(quindi al massimo livello di amministrazione possibile) e sono utilizzati per occultare a loro volte operazioni hijacking(una ne fa' partire un altra e spalanca una backdoor ad esempio) e da li lo stesso processo del trojan(che viene alterato quindi a livello di kernel ed appare innocuo).

Una tecnica utilizzata dai rootkit(in continua evoluzione) sta' nel rendere visibili diversi trojan e permetterne in parte l'eradicazione, ma in realta' (sempre parlando di livello kernel=nocciolo/cuore e cervello del sistema che nel caso di windows integra TUTTI i software eseguiti da amministratore[dato che e' un po' dura utilizzare windows XP e precedenti senza tali privilegi]) il trojan(o meglio un pezzo di codice e' sufficiente a livello di kernel) e' ancora presente ed occultato e riesce a bypassare l'euristica dell'antivirus e le policy del firewall, ri-spalancando la backdoor e permettendo di riprendere il controllo della tua macchina da remoto(o da locale in caso di LAN in uffci o reti intranet etc.etc.).

In poche parole, se e' un rootkit non sai nemmeno di averlo e la macchina proseguira' ad essere infetta nella maggior parte dei casi.
Dai un occhio :

http://www.rootkit.com/