Leggete questa mail e ditemi qualcosa...

[Daniele]

Ecco una mail che ho visto pochi minuti fa.......mi date un parere?

DA: UhrPoststelle@t-online.de


Oggetto: a trojan is on your computer! Inviato: 18/01/2004 23:52




hello, I am from Spain and you'll don't believe me,
but a trojan horse in on your pc.
I've scanned the network-ports on the internet. (I know, that's illegal)
And I have found your pc. Your pc is open on the internet for everybody!
Because the smss.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!

On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!

Sorry for my bad english!

greets



remove-smss_tool.exe (101132 bytes)

P.S. se volete vi mando l'exe!

[Daniele]

In ufficio mi è appena arrivata questa......

Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.

We hereby inform you that your computer was scanned under the IP 62.56.46.224 . The
contents of your computer were confiscated as an evidence, and you will be indicated.
In the next days, you'll get the charge in writing.
In the Reference code: #12095, are all files, that we found on your computer.

The sender address of this mail was masked, to protect us against mail bombs.


- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for "Illegal Internet Downloads", Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000

[Fabio Norway Storm]

leggiti cosa dice qui .In un esempio di corpo di una mail,c'è anche il tuo caso

Cmq anche a me sono arrivate mail simili,per colpa di incompetenti che hanno dei virus e se ne fregano.........Menomale che il norton non lo freghi

[mbruti]

Per l'amore di iddio !!! Cancella la mail del probabile STR=£$%$ ....

Domande:

1) Tipo e versione del tuo antivirus

2) Data dell'aggiornamento delle firme del medesimo

3) Cosa ti dice Ad-Aware facendolo girare

smss.exe e' uno dei files creati dal worm LAdex (vedi http://www.viruslist.com/eng/viruslist.html?id=51071

Se ti serve una mano dai un fischio a qualcuno di noi di cui ti puoi fidare e non al tipo che e' ALQUANTO sospetto !!!

Ciao Bob

[mbruti]

Volevo dirti anche una altra cosa.

La Microsoft rilascia una mini utility che
si chiama PortQry:

PortQryV2

Se la scarichi (e' solo un piccolo EXE) e la lanci da finestra DOS vedi la lista di tutti i processi che hanno attivato dei socket ...

Ce ne sono anche di simili ma grafici (credo di ricordare Process Explorer) ...


Ciao Bob

[mbruti]

AH Ultima e poi vado a nanna !!

Ma un personal firewall (tipo ZoneAlarm ad es.) lo hai installato e configurato ok ?

Bob

[Daniele]

Allora com antivirus ho AVG 7 aggiornato tutti i giorni!
Nono ho attualmente un firewall questo mi manca, usato il Norton ma nell'ultima instalalzione di Win non l'ho messo perchè il pacchetto Norton (Antivirus+Firewall) che ho è pesantissimo.....
Stavo cercando un firewall decente in giro ma nn so su cosa buttarmi

Tanto cmq nel giro di un paio di giorni devo formattare tutto perchè mi arrivano i nuovi discchi da mettere in Raid.

Cmq il csrss.exe ce l'ho in ram ma nn saprei come l'ho beccato....Avg il worm della mail che vi ho riportato lo ha beccato ed eliminato senza problemi!

[Fabio Norway Storm]

Originally posted by Daniele
Cmq il csrss.exe ce l'ho in ram ma nn saprei come l'ho beccato....Avg il worm della mail che vi ho riportato lo ha beccato ed eliminato senza problemi!

attenzione questo è un processo di sistema,forse ti sbagli con il smss.exe.

[frakka]

Spiegatemi in parole povere cosa sono questi socket.

Mail simili mi sono arrivate:

Dall' FBI (Non scherzo! )
da due amici
da un tipo del belgio
dal mio indirizzo di posta!

Io adesso uso Antivir. In alcune di queste mail c'era il sobig, in altre altri worm ma tutti regolarmente beccati...

[mbruti]

Originally posted by frakka
Spiegatemi in parole povere cosa sono questi socket.

Semplificando le comunicazioni TCP/IP si fanno tra una coppia di indirizzi IP (scheda sorgente e scheda destinataria) e da una "porta" sorgente ad una destinataria (ed il protocollo UDP o TCP) usato

Ad esempio un web server tipicamente "ascolta" sulla porta 80 ed il tuo broser gli parla da una porta qualunque sopra la 1024.

Nell'accezione di queste note il socket e' la copiia in ascolto IP/Porta.

Se fai la lista delle porte in ascolto sai quali servizi sono raggiungibili sulla tua macchina (firewall a parte)) ... se riesci ad associare alla porta il processo ed al provesso l'eseguibile hai una idea piuttosto chiara di cosa sta in ascolto.

Utility grafica:


TcpView da sysinternals

che si puo usare su NT/XP e credo anche su 98.

Ciao. Bob