PDA

Visualizza versione completa : Backdoor!!!


favox
28-11-2002, 23.05.54
Salve a tutti, mi ritrovo attualmente con la backdoor subseven sul mio pc. Me ne sono accorto perchè ieri sera mentre ero in chat, ho visto che sulla finestra di dialogo si stava scrivendo da solo un messaggio :o:o:o...il solito lamer.
Cmq, ho messo il Norton Personal Firewall e ogni tot mi intercetta un tentativo di accesso in entrata al mio computer.
Ora volevo sapere, come posso togliere questa backdoor dal mio pc.
Se può essere utile, il mio OS è win2k.


Grazie in anticipo :)

Ciao

Klapaucius
29-11-2002, 15.28.45
un antivirus dovrebbe bastare...

favox
29-11-2002, 15.39.00
il nav 2003 con gli ultimi aggiornamenti non ha trovato nulla :(

Klapaucius
29-11-2002, 15.40.55
prova tauscan allora...

favox
29-11-2002, 20.20.00
Puoi mica dirmi dove lo posso trovare?


Grazie 1000 :)


Ciao :p

Klapaucius
29-11-2002, 20.21.41
http://www.agnitum.com/products/tauscan/

favox
29-11-2002, 20.50.21
Non ho trovato nessuna backdoor :(

Eppure c'è...

Ov3rKuNtZ
29-11-2002, 21.31.02
the cleaner?

favox
29-11-2002, 22.10.57
non lo conosco

Ov3rKuNtZ
29-11-2002, 22.28.38
http://www.moosoft.com/thecleaner/download.php


provalo! ;)

favox
29-11-2002, 22.41.02
Grazie, lo provo e vi faccio sapere ;)

Speriamo :p

Ov3rKuNtZ
29-11-2002, 22.45.54
Originariamente inviato da favox
Grazie, lo provo e vi faccio sapere ;)

Speriamo :p ok!

favox
29-11-2002, 22.54.59
Trovato niente :(

Ov3rKuNtZ
29-11-2002, 23.02.18
....ma tu sei sicuiro ke ci sia sub seven?

cosa ti rileva?

......

Ov3rKuNtZ
29-11-2002, 23.05.02
3) COME SCOVARE ED ELIMINARE I TROJANS

Nella prima sezione, spiegavo brevemente che cosa è un trojan. In questa sezione vi spiegherò più tecnicamente come agisce un trojan (ovviamente limitatamente a quello che vi serve sapere per rimuoverlo). Per affrontare questa parte, però, è necessario avere un po' più di dimestichezza coi PC.

Innanzitutto, la prima cosa che un trojan fa quando viene lanciato la prima volta, è in genere quello di copiarsi (cancellare quindi il file originale non serve a niente) con un nome falso e insospettabile (tipo windrive.exe) nella vostra directory di windows o windows\system. Perchè questo? Perchè in mezzo a tantissimi altri files, una persona normale non ha le conoscenze per distinguere quali files sono legittimi e quali no. L'estensione (che è sempre o quasi .exe) viene mantenuta, cioè non vi trovate un file .exe che poi diventa .dll (anche se la cosa è tecnicamente possibile, purtroppo: dico purtroppo perchè ci sono centinaia di DLLs in windows\system, e se il trojan funziona come una DLL, è quasi impossibile scovarlo usando gestione risorse (ma esistono tanti altri modi che mi accingo a spiegare). Seconda cosa: un trojan per svolgere la sua funzione deve sempre essere caricato in memoria, ma dato che è improbabile che siate voi ad ogni avvio a farlo partire, ci pensa da solo. Come? Piazzando nel registro o nel file c:\windows\win.ini il comando per farsi caricare all'avvio del sistema. Più in dettaglio, i trojans o aggiungono una riga "run=" o "load=" nella prima sezione [windows] del file win.ini con a seguito il loro percorso (notate che anche programmi "legittimi" si caricano a questo modo...), oppure inseriscono il loro percorso nella chiave "HKEY_LOCAL_MACHINE (o HKEY_CURRENT_USER o HKEY_USERS), sottochiave \software\microsoft\windows\current version\run o ...\RunServices, o ancora fanno entrambe le cose. Per rilevare un trojan, è inutile premere i famosi "CTRL+ALT+CANC", perchè tutti i trojans seri si nascondono da questa lista, (fingendosi dei "servizi" (es, degli screen savers)), ma anche loro in fondo sono dei normali programmi, e quindi non possono nascondere il loro "processo" dalla memoria... in questo caso un Process Viewer come pview (incluso nel VC++) è molto utile, perchè visualizza e permette di chiudere qualsiasi programma caricato in memoria, e non c'è modo di nascondersi da questo tipo di programmi... Inoltre un server trojan può essere rilevato dal fatto che per ricevere ordini e mandare informazioni ha bisogno di mettersi "in attesa" su una delle 65535 porte del vostro computer (una porta non è altro che un canale attraverso cui passano dei dati) aspettando che il client si colleghi a lui. Usando il programma netstat, incluso in windows, è possibile rilevare quali programmi sono in attesa su una certa porta del vostro computer. Per usarlo, andate al prompt del DOS e scrivete "netstat -na" (senza virgolette), apparirà una lista di programmi che sono in attesa su una certa porta. Se non avete alcun programma aperto (come Outlook, Internet Explorer e ICQ) questa lista non dovrebbe contenere voci... se ne contiene e la porta indicata è un numero superiore (di solito) a 1024, allora quel programma potrebbe essere con molte probabilità un trojan...(in particolare tenete d'occhio le porte 31337 (back orifice), 1243 (sub seven) e 12345 / 12346 / 20034 (netbus), ma ricordate che questi trojans possono anche collegarsi su porte diverse..) Una volta identificato, per rimuoverlo dovete prima chiuderlo con un Process Viewer (o riavviate in modalità MS-DOS) e poi cancellarne il file eseguibile. Anzichè usare Netstat, potete usare un Firewall come ZoneAlarm, scaricabile gratuitamente al sito www.zonelabs.com: questo programma (opportunamente configurato) vi avvertirà di qualsiasi programma non autorizzato che cerchi di connettersi al vostro computer, o di qualsiasi programma che si mette in attesa su una certa porta; è quindi molto comodo per scoprire eventuali trojans intrufolatisi nel vostro amato PC. Notate che NON tutte le connessioni che vengono effettuate al vostro computer sono trojans, quindi non allarmatevi ogni qual volta il vostro firewall intercetta un tentativo di connessione. :)



NOTE FINALI PER GL UTENTI PIU' ESPERTI:
ci sono modi per sfuggire al controllo del netstat, nascondendo la propria porta, ricordatevelo bene! Potete sempre fare un portscan su voi stessi per controllare davvero quali porte avete aperte sul vostro PC. Inoltre... occhio quando il vostro firewall vi chiede se volete autorizzare un certo programma a connettersi a internet.. in particolare (ma qui solo gli utenti ancora più esperti mi capiranno) è possibile scrivere una ShellExtension di Explorer che funga da trojan, in modo che il processo da cui dipenda sia Explorer stesso, nascondendo così la propria presenza anche ai Process Viewer (dovreste controllare una per una tutte le DLL caricate in memoria...), e ottenendo un'altro grosso vantaggio, cioè quello di evitare il caricamento tramite il registro di sistema, dato che ci penserebbe Explorer a caricare la DLL quando uno clicca ad esempio col pulsante destro su un file...


4) DOVE TROVARE I PROGRAMMI:

Norton Antivirus: Lire 90.000 (in offerta), www.symantec.com DA AGGIORNARE OGNI 2 SETTIMANE VIA INTERNET
o qualunque altro antivirus "serio" (McAfee e altri)
Zone Alarm: gratuito, www.zonelabs.com o qualunque altro firewall "serio" come il Conseal (difficile però da configurare)
NetStat: lo trovate nella dir. di windows
Process Viewer, lo trovate nel Visual C++, o anche uno simile al sito www.sysinternals.com (gratis)
Editor del registro: è incluso con windows (regedit.exe) e nelle Norton Utilities

Questi sono solo alcuni dei programmi disponibili per difesa, ma avere e saper usare quelli in questa lista vi renderà immuni al rischio virus/trojan/worms al 98%

----------------------------------
Spero che questa guida vi sia in qualche modo utile!
Se avete dei commenti, scrivetemi pure

Fabio Bresciani
www.fifamania.it
http://www.pc-facile.net/guide/virus/virus.html

favox
29-11-2002, 23.33.58
Originariamente inviato da overkuntz
....ma tu sei sicuiro ke ci sia sub seven?

cosa ti rileva?

......

Mi dice che blocca la backdoor SubSeven per 30 minuti, poi mi fornisce l'ip di chi ha tentato di entrare nel pc.

Ov3rKuNtZ
29-11-2002, 23.37.26
mmmm! e norton 2003 o 2003 antivirus! non te lo segnala?

mmmm! secondo me è na cazz....

mmm! prova a seguire le istruzione nelle righe sopra e vedi se becchi qualcosa nel registo!

pone
29-11-2002, 23.46.28
pest patrol
:cool:
a me trovò una mirc backdoor in una qualche versione dell'Invision (Y)

favox
29-11-2002, 23.54.46
Il firewall lo trova nel senso che lo blocca...ma il nav no.

Ov3rKuNtZ
30-11-2002, 00.01.17
....a me pare strano!... e kome si kiama il file ke avrebbe il sub seven^?

pone
30-11-2002, 10.31.36
...ehm...a me il pest patrol trovò ed ELIMINO' la backdoor :)

ekerazha
01-12-2002, 15.57.34
cioè, non vedo per quale motivo un trojan dovrebbe venire rilevato da un antivirus/antitrojan, quando basta usare un packer per eluderli...

Ov3rKuNtZ
01-12-2002, 16.03.10
Originariamente inviato da ekerazha
cioè, non vedo per quale motivo un trojan dovrebbe venire rilevato da un antivirus/antitrojan, quando basta usare un packer per eluderli... :D :eek: :eek: :D

Kaioshin
02-12-2002, 01.36.08
Il firewall rileva una tentata intrusione da parte del subseven o del Backdoor anche quando uno usa il programma per fare una scansione degli indirizzi IP per trovare chi ha il trojan installato, quindi se ti segnala una tentata intrusione non è assolutamente detto che tu l'abbia installato nel PC.
Poi se lo avessi installato il norton personal firewall ti avrebbe chiesto se vuoi permettere l'accesso ad internet al suddetto trojan.
Ciao :)

Nemo99
03-01-2003, 16.03.18
Concordo con Kaioshin..

quello che il firewall segnala sono tentativi di qualche lamerone che fa uno scan di IP al "buio" nel tentativo di beccare qualche IP che effettivamente ha un backdoor in corpo...

Ciao

Tyler Durden
03-01-2003, 22.01.09
Originariamente inviato da ekerazha
cioè, non vedo per quale motivo un trojan dovrebbe venire rilevato da un antivirus/antitrojan, quando basta usare un packer per eluderli...
Non è così scontato, anche gli antivirus più cazzuti usano gli unpacker (per esempio l'AVP...) per scovare i trojan ;)

il monco
03-01-2003, 22.22.28
Ehi Favox, sei vuoi uscirne fuori installa Kaspersky antivirus (o AVP appunto)...:)

ivanbip
16-01-2003, 08.13.46
beh.. nn sempre è possibile scoprire un trojan con l'antivirus. sopratutto se è un trojan nuovo o modificato.. faresti cmq prima a cercare cosa accede ad internet. controllare le porte e controllare che nn siano state manomesse dll o inseriti script di esecuzioni in automatico. hai un backup pulito dove poter guardate le differenze dei file?