Nov 25, 2007

Porta 102, rootkit e backdoors

Qualche giorno fa, un cliente mi ha passato una chiavetta USB per copiare alcuni file. E' possibile configurare l'autorun dei dischi USB esattamente come si puo' fare con i CD: la chiavetta ha infatti installato qualcosa sul mio pc, mentre il mio antivirus Symantec naturalmente non faceva una piega.
Da quel giorno, il mio personal firewall Comodo ha iniziato a segnalare il tentativo di services.exe di mettersi in ascolto sulla porta TCP 102, tentativi che ho bloccato.
Ho avuto tempo solo ieri di occuparmi in dettaglio della ripulitura del pc. Mentre Symantec continuava a non accorgersi di niente (c'e' chi dice che gli antivirus sono ormai inutili...), uno scan con AdAware mi ha segnalato la presenza del trojan Win32.Backdoor.RBot, anche se in realta' non e' chiaro se l'ha solo ripescato nel system restore di Windows da qualche vecchio file che avevo gia' ripulito o se c'era qualcosa ancora attivo. AdAware ora sostiene di aver ripulito le chiavi di registro incriminate, ma i tentativi di connessione ogni tanto riappaiono comunque.
Oggi ho quindi provato a eesguire alcuni rootkit detector che mi ero appuntato tempo fa.
Sophos ha rilevato una chiave di registry nascosta, che pero' con tutta probabilita' e' legittimamente utilizzata dai Daemon Tools, oltre a tutta una serie di file nascosti collegati al system recovery di Windows. Il tool non e' in grado di cancellare la chiave di registro (e peraltro nemmeno l'utente amministratore riesce a farlo). In generale i risultati creano piu' confusione che altro.
Panda e' stato quello che mi ha dato l'impressione di fare lo scan piu' approfondito (richiede tra l'altro il reboot del pc), e non ha rilevato nulla.
Anche AVG e McAfee non rilevano nulla. AdAware oggi non trova piu' nulla. Bueno, ma il mistero rimane.
Googlando un po' sulla porta tcp/102 non si trova niente di strano. L'uso legittimo dovrebbe
essere quello di MS Exchange server per scambiare messaggi X.400. Mah. In ogni caso, ho trovato questa utile pagina sul sito Microsoft: "Network Ports Used by Key Microsoft Server Products" e questa su Wikipedia: "List of TCP and UDP port numbers". Da tenere nei bookmark. Anche questa pagina preparata da CastleCop contiene alcuni link utili: "Malware Removal and Prevention: Overview"
...alla prossima puntata...

3 comments:

Andrea said...

ciao! non sono d'accordo con la tua affermazione "gli antivirus sono ormai inutili"... prima di tutto Norton della Symatec è stato stimato come il peggiore antivirus dello scorso anno e anche di alcuni anni precedenti... l'unico motivo per il quale lo trovi nei pc come antivirus di default è che ha un contratto con numerose ditte di elettronica quali Microsoft, Hp e molte altre.
Panda ha uno scan molto buono,ha solo un difetto:le directory ti occupano tantissimo sulla ram.
fai come me,spendi 69euro e acquista NOD32 antivirus and antispyware. è l'AV migliore dell'anno 2007 e 2006 e, probabilmente anche di quest'anno. costa relativamente poco, è il più veloce e il più efficiente; senza contare che non occupa molto con le sue directory.

Andrea said...

ciao! non sono d'accordo con la tua affermazione "gli antivirus sono ormai inutili"... prima di tutto Norton della Symatec è stato stimato come il peggiore antivirus dello scorso anno e anche di alcuni anni precedenti... l'unico motivo per il quale lo trovi nei pc come antivirus di default è che ha un contratto con numerose ditte di elettronica quali Microsoft, Hp e molte altre.
Panda ha uno scan molto buono,ha solo un difetto:le directory ti occupano tantissimo sulla ram.
fai come me,spendi 69euro e acquista NOD32 antivirus and antispyware. è l'AV migliore dell'anno 2007 e 2006 e, probabilmente anche di quest'anno. costa relativamente poco, è il più veloce e il più efficiente; senza contare che non occupa molto con le sue directory.

ilgioa said...

beh, io non dico che gli antivirus siano inutili.
Dico che sicuramente non sono piu' abbastanza. Se si guarda alle statistiche di VirusTotal (http://www.virustotal.com/it/estadisticas.html)
si vede che praticamente nessun virus e' stato rilevato da tutti gli antivirus provati. Con buona probabilita' questo significa anche che tutti gli antivirus hanno qualche "buco".