problema virus

[renato1961]

buon anno a tutti

vengo subito al problema

abbonamento adsl alice

modem adsl marca dlink

succede che quando mi collego a internet(non su questo computer)dopo un minuto l'antivirus(Mcafee) identifica questo virus "W32/Sdbot.Worm! Ftp ne segnala l'eliminazione ma da questo momento tutto il sistema si blocca e mi tocca riavviare.

Qualcuno ne sa qualcosa?

Ah il sistema e' naturalmente XP Pro

[ivano65]

il sistema e' legale?

e' aggiornato tramite windows update?

se la risposta e' no purtroppo succede quello che dici in modo ripetitivo

ivano65

[ignazioedo]

Ciao, tanto per provare, fai un scansione online , con Panda:

http://www.pandasoftware.com/activescan/it...n_principal.htm

Prima viene scaricato l'eseguibile, poi avviene la scansione on line,

e se non hai un firewall, installalo, Zone Allarm, è ottimo e gratis

[nll]

renato1961, non ci dici se il problema si verifica ad ogni accesso Internet, o se è capitato una sola volta.

Nel primo caso lascia ad intendere che il virus in realtà non è stato debellato, in quanto potresti avere un troiano che apre la porta al virus rilevato ogni qual volta vi sia un accesso alla rete. Se è così, è necessario fare un boot da sistema operativo pulito (su CD, o su altra partizione del disco, se hai più sistemi operativi installati) e fare una scansione con un buon antivirus AGGIORNATO. Una scansione online è buona cosa, ma non dà tutte le garanzie, infatti sovente questi siti sono oggetto delle attenzioni dei pirati informatici, che sanno di avere più chances di intercettare macchine con difese indebolite.

Nel secondo caso si tratta di un reboot necessario per rendere effettive le modifiche effettuate dall'antivirus e per scaricare eventuali tracce del virus ancora presenti in RAM. Quindi nessun problema.

Ma, in entrambe i due casi sopra descritti, potrebbe anche essere che il virus abbia già creato danni irreversibili, ai quali l'antivirus non ha potuto porre rimedio e si è limitato a eliminare il codice malware, lasciando a te l'onere di ripristinare i registri, i drivers, le librerie, le applicazioni, ecc... che sono andati irrimediabilmente compromessi. Potrebbe essere necessario disinstallare e installare nuovamente parte, o tutti i software della macchina, sistema operativo compreso.

Modificato: 10 gennaio 2007 da nll

[renato1961]

il sistema operativo e' legale , ho gia' reinstallato piu' volte il sistema operativo ma ad ogni accesso a internet dopo uno o due minuti esce questo virus e il sistema rallenta in maniera esagerata se non addirittura si blocca .

L'anti virus e 'aggiornato

[cafra74]

Lo hai preso quasi sicuramente su messanger.

Nome del virus: Worm/Sdbot.19212

Scoperto: 02/11/2006

Tipo: Worm

In circolazione (ITW): No

Numero delle infezioni segnalate: Basso

Potenziale di propagazione: Medio-Alto

Potenziale di danni: Medio

File statico: Si

Dimensione del file: 19.212 Byte

Somma di controllo MD5: d810a7a72bb1b9ea13a691ae8f85353f

Versione VDF: 6.36.00.117 - Tue, 17 Oct 2006 09:49 (GMT+1)

Versione IVDF: 6.36.00.134

Metodi di propagazione:

• Rete locale

• Messenger

Alias:

• Mcafee: W32/Sdbot.worm.gen.h • Sophos: Mal/Behav-057 • Grisoft: BackDoor.Generic3.RZA • Eset: Win32/IRCBot.UE • Bitdefender: Generic.PWStealer.724E7E99

Effetti secondari:

• Modifica del registro

• Sfrutta la vulnerabilità del software

• Accesso e controllo del computer da parte di terzi

Si copia alla seguente posizione:

• %SYSDIR%\dllcache\updtftpini.exe

Cancella la copia di se stesso eseguita inizialmente.

Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle condivisioni di rete e utilizza le informazioni di login presenti nella cache per aprirsi l'accesso alla macchina remota.

Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo e in seguito prova a stabilire una connessione con gli indirizzi creati.

Processo virale:

Crea uno script FTP sulla macchina compromessa per scaricare il malware nella posizione remota.

Generazione dell'indirizzo IP:

Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.

Per inviare informazioni sul sistema e per fornire il controllo remoto, si connette al seguente server IRC:

Server: freedoom.suicidegaming.**********

Porta: 4512

Canale: #sm

Nickname: [%numero%]USA|%versione di Windows%-SP%numero%[P]%stringa casuale di sei caratteri%

Password: 2pac

– Questo malware ha la capacità di recuperare ed inviare informazioni quali:

• ID della piattaforma

• Informazioni sul sistema operativo Windows

– In più ha la capacità di effettuare azioni quali:

• connettere al server IRC

• Lanciare un attacco DdoS SYN

• disconnettere dal server IRC

• Download di file

• Eseguire file

• Connettersi al canale IRC

• Abbandonare il canale IRC

• Effettuare scansione della rete

• Effettuare un reindirizzamento delle porte

• Arrestare il sistema

• Inizia keylog

• Iniziare procedura di diffusione

• Aggiornarsi

Le seguenti porte sono aperte:

– %SYSDIR%\dllcache\updtftpini.exe su una porta TCP casuale con lo scopo di procurarsi un server FTP.

– %SYSDIR%\dllcache\updtftpini.exe su una porta TCP casuale con lo scopo di procurarsi un server HTTP.

Mutex:

Crea il seguente Mutex:

• windxws

Software di compressione:

Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Queste informazioni le ho reperite in rete.

Il mio consiglio è di provare ad eseguire più antivirus (definizioni aggiornate) senza connetterti (altrimenti va in crash), dai un'occhiata anche alle porte e al firewall.

In bocca al lupo