Aiuto!c'è puzza di virus!

[Zell]

All'improvviso il mouse impazzisce...e c'è un'app ke mi puzza Dvldr32..ke è?aiuto!

[af624726]

prova ad avviarlo con quell'aplicazione spenta, se nn è lei la riaccendi

[Zell]

Continua a farlo!uff..penso formatterò...

[drake001]

Il virus Deloder utilizza la porta 445

Identificato da Symbolic nella giornata di domenica 9 marzo. Potrebbe essere pericoloso per l'utenza Home e Small Office. Infetta i computer con Windows 2000 e XP

L'annuncio viene da Symbolic, che nella giornata di ieri, 9 marzo, ha rilevato un nuovo worm, di probabile origine cinese, denominato Win32.Deloder.
Il worm si propaga tra macchine Windows (2000 e XP) utilizzando la porta TCP 445 (SMB su TCP/IP), copiandosi su directory di rete condivise e protette da password deboli. Il virus copia un file, INST.EXE, nella cartella Windows Start che apre appunto la porta 445. Inoltre, il virus memorizza nel sistema il file DVLDR32.EXE che contiene una copia del worm.
Deloder compromette la riservatezza dei dati contenuti nella macchina infetta, installandovi una backdoor che permette ad un hacker di prenderne il controllo remoto.
Date le sue caratteristiche, è probabile che il worm rappresenti un problema in particolare per l'utenza Home/Small Office: negli ambienti aziendali, infatti, il traffico verso la porta 445 è solitamente proibito dai firewall.

Questa notizia è prelevata da PCOPEN


SYMBOLIC
Antivirus Security Division  
     
 9 Marzo 2003  
     
 NOME: Deloder
  ALIAS: Deloader    
   SIZE: 745984  
   


Deloder è un worm che infetta le macchine Windows che hanno una password debole per l'utente "Administrator".


Il worm contatta indirizzi IP casuali alla ricerca di macchine Windows che hanno la porta 445 aperta. La porta 445 (Microsoft NetBIOS su TCP/IP) permette agli utenti esterni di accedere agli share di Windows.


La maggior parte della computer nelle reti aziendali sono protetti da firewall o distributed firewall, che bloccano l'accesso a questa porta. Molti computer però che si connettano da casa sono vulnerabili a questo worm se hanno la password dell'utente "Administrator" debole.


Una volta che ha trovato un macchina attaccabile il worm cerca di fare un log on come "Administrator" e prova a turno 50 password differenti, come:



"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"

"

"admin"

"Admin"

"password"

"Password"

"1"

"12"

"123"

"1234"

"12345"

"123456"

"1234567"

"12345678"

"123456789"

"654321"

"54321"

"111"

"000000"

"00000000"

"11111111"

"88888888"

"pass"

"passwd"

"database"

"abcd"

"abc123"

"oracle"

"sybase"

"123qwe"

"server"

"computer"

"Internet"

"super"

"123asd"

"ihavenopass"

"godblessyou"

"enable"

"xp"

"2002"

"2003"

"2600"

"0"

"110"

"111111"

"121212"

"123123"

"1234qwer"

"123abc"

"007"

"alpha"

"patrick"

"pat"

"administrator"

"root"

"sex"

"god"

"foobar"

"a"

"aaa"

"abc"

"test"

"test123"

"temp"

"temp123"

"win"

"pc"

"asdf"

"secret"

"qwer"

"yxcv"

"zxcv"

"home"

"xxx"

"owner"

"login"

"Login"

"pwd"

"pass"

"love"

"mypc"

"mypc123"

"admin123"

"pw123"

"mypass"

"mypass123"

"pw"

Se il login riesce il worm si copia (sfruttando di solito il nome "INST.EXE" in diverse directory Startup e aggiunge una chiave al registro per eseguire automaticamente il file "DVLDR32.EXE" (che è un'altra copia del worm).


Quando la macchina viene fatta ripartire il worm ricomincia a cercare nuovi host da infettare.


Un effetto secondario dell'infezione potrebbe essere che le directory di share non siano più condivise.


L'eseguibile principale del worm è compresso con ASpack, una volta eseguito crea i file "psexec.exe" e "inst.exe".


Il file INST.EXE crea diversi file sul sistema:

Un server VNC composto dai seguenti file:

cygwin1.dll
explorer.exe
omnithread_rt.dll
VNCHooks.dll

L'utility:


psexec.exe (UPX packed)


Ed una backdoor basata su IRC che si connette ad una lista di 13 server:


rundll32.exe (UPX packed)
F-Secure Anti-Virus rileva il worm con le impronte del 9 Marzo 2003.

[FSAV_Database_Version]

Version=2003-03-09_01

[Davide]

Zell, vai a questo indirizzo: http://www.nod32.it/tools/DLRCLEAN.ZIP
sul sito di NOD32 ho trovato qualcosa che potrebbe aiutarti a eliminare quel virus.
Spero che possa servirti

[Zell]

Ragazzi..non ci crederete!Ho installato 5 antivirus(norton 2004,nod32,pc chilling,avg free,f-secure) una miriade di tool e non ho risolto nulla!
Di qui è seguito il formattone..ma nulla!il bastardo si era infiltrato nel sector 0..ho dovuto cancellare le partizioni e rifarle...e poi..sapete cosa ho scoperto?
Il worm(xkè di worm si trattava!)si infiltrava tramite una porta ke la microsoft lascia deliberatamente aperta(nel firewall appare come netbios)e ke nn si può tappare con Il FW...ma dico io...xkè mamma microsoft fa sl software a tipo emmental?e passi I.E.6..e passi WinXP...e adesso bastaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa!

[Davide]

Io ho ZoneAlarm 5 Pro , e ogni tanto mi escono dei messaggi in cui dice che c'è un tentativo di entrata alla porta tale netbios. E' quello che intendi?

[Khana]

Il firewall integrato in XP serve solo a garantire che determiante porte rimangano aperte...
Non usatelo... come non usate Kazaa, WinMX e iRC. Lavorano tutti su protocolli che danno accesso al File system.

[Zell]

Infatti uso Outpost firewall pro..ma è cmq sempre aperta..

[Khana]

Disinitalla il servizio NetBIOS, tanto non ti serve per restare online.