Scritto da Redazione
alle 18:29 - 28 Maggio 2006 - Letture: 9494 | Voti: 49% (1119 tot.)
 
In termini tecnici gli rxbot sono "Win32:SdBot-gen [Trj]" ovvero trojan (cavallo di troia) i quali, una volta penetrati in un sistema e quindi eseguiti, si insidiano nel proprio sistema operativo (colpisce ogni versione di Windows), mettendo la macchina infettata sotto il pieno controllo del male intenzionato che gestisce l'rxbot.
Questi programmini, vengono usati per utilizzare la macchina infettata per scannare vasti range di ip e quindi trovare altre macchine da infettare a loro volta.
Una volta che il sistema ? stato infettato, il possessore del rxbot ? in grado di prendere il totale controllo di esso: puo accederci in remoto, cancellare file, crearne altri, spegnere o riavviare la macchina fino alle operazioni pi? pericolose come formattare interamente gli hard disk o quant'altro possiate immaginare.
[[[- Come accorgersi di esser stati infettati da un rxbot -]]]
Il modo pi? semplice ? eseguire una scansione del vostro sistema con un buon antivirus aggiornato e, se questo rileva un cavallo di troia con il nome citato prima (Win32:SdBot-gen [Trj]) significa che siete stati infettati.
Per? non sempre ? cos? semplice. Infatti, questi programmi vengono spesso criptati in modo da esser invisibili anche al pi? aggiornato degli antivirus.
In questo caso, bisogna agire in modo differente.
[[[- Scovare gli rxbot usando il "netstat" -]]]
Prima di tutto dovete avviare la vostra connessione e chiudere tutti i vostri programmi che effettuano connessioni internet (browser, p2p, chat client, ecc).
A questo punto, aprite il prompt dei comandi. Per farlo andate su Start -> Esegui, digitate "cmd" (senza le virgolette) e date invio. Si apre cos? il prompt dei comandi.
Qui digitate "netstat -na" (senza le virgolette). Vi compare una schermata con quattro colonne, a noi interessano le ultime due a destra.
Innanzitutto, se avete molte connessioni aperte nella cui ultima colonna a destra c'? scritto SYN_SENT, questo gi? fa presagire che siate infettati da un rxbot. Ma andiamo pi? a fondo.
Se non siete infettati, e dato che avete chiuso tutti i programmi, non dovreste avere connessioni attive quindi, vi dovrebbe apparire una situazione del genere:
0.0.0.0:0 LISTENING
0.0.0.0:0 LISTENING
0.0.0.0:0 LISTENING
0.0.0.0:0 LISTENING
0.0.0.0:0 LISTENING
Se la vostra schermata ? simile a questa (sempre prendendo in riferimento le ultime due colonne a destra) potete stare tranquilli, il vostro sistema non ? infetto.
Invece, se vi compare una schermata di questo genere:
211.31.254.52:135 SYN_SENT
211.4.156.130:135 SYN_SENT
211.231.197.236:135 SYN_SENT
211.23.217.32:135 SYN_SENT
211.101.252.89:135 SYN_SENT
211.110.20.187:135 SYN_SENT
211.118.157.23:135 SYN_SENT
211.214.208.43:135 SYN_SENT
211.252.60.132:135 SYN_SENT
211.22.182.109:135 SYN_SENT
211.217.116.224:135 SYN_SENT
211.237.188.205:135 SYN_SENT
211.201.56.104:135 SYN_SENT
211.128.51.1:135 SYN_SENT
211.13.140.57:135 ESTABLISHED
211.171.173.91:135 SYN_SENT
211.184.60.234:135 SYN_SENT
211.156.1.250:135 SYN_SENT
211.163.37.98:135 SYN_SENT
211.116.59.189:135 SYN_SENT
211.163.231.164:135 SYN_SENT
211.114.111.172:135 SYN_SENT
B? in questo caso, siete proprio infettati da un bel rxbot.
Come vedete, la connessione ? sempre stabilita (o cerca di stabilirsi) sulla stessa porta (135) ed il range ? sempre lo stesso (211.*.*.*). Ovviamente questo ? solo un esempio, vi potete trovare di fronte a range e porte differenti.
Ora bisogna scoprire, quale programma (il nome del file) stabilisce tutte queste connessioni.
Per vederlo, digitate sempre dal prompt: "netstat -b" (senza virgolette).
Vi compare una schermata simile a questa:
TCP localhost:4926 d211-31-254-52.dsl.nsw.optusnet.com.au:135 SYN_SENT 744
[winini.exe]
TCP localhost:2468 d211-31-254-52.dsl.nsw.optusnet.com.au:135 SYN_SENT 745
[winini.exe]
TCP localhost:4954 d211-31-254-52.dsl.nsw.optusnet.com.au:135 SYN_SENT 746
[winini.exe]
TCP localhost:1564 d211-31-254-52.dsl.nsw.optusnet.com.au:135 SYN_SENT 747
[winini.exe]
TCP localhost:8462 d211-31-254-52.dsl.nsw.optusnet.com.au:135 SYN_SENT 748
[winini.exe]
Questo ? solo un esempio, quello che ci interessa ? notare che queste connessioni le effettua sempre il seguente programma: winini.exe
A questo punto, anche il nome del rxbot ? stato scovato. Siamo pronti per eliminarlo dal nostro sistema.
P.S. Il comando "netstat -b" funziona solamente se avete installato la Service Pack 2 quindi, se non l'avete, fate un update di windows ed installatela.
[[[- Rimuovere l'rxbot dal sistema -]]]
Per eliminare il trojan, bisogna agire sul registro di windows. E' un operazione rischiosa ma non complicatissima, quindi, se fate le cose con attenzione, riuscirete ad eliminarlo senza far danni al vostro sistema operativo.
Prima di tutto per?, aprite il task manager premendo in sequenza CTRL+ALT+CANC, selezionate il nome del programma (winini.exe in questo caso) e cliccate su "Termina Processo".
Adesso andate su Start -> Esegui e digitate "regedit" (senza virgolette).
Nella finestra che vi si apre andate su Modifica -> Trova, e inserite qui il nome del programma che avete scovato precedentemente (in questo caso era winini.exe).
Attendete che trovi qualche risultato. Una volta trovato qualche risultato, nella schermata di destra, fate attenzione alla colonna DATI e, se li vi ? il nome del programma che cercate (winini.exe nell'esempio nostro), selezionate la riga e premete CANC (per cancellare ovviamente). Ora premete F3 per trovare altri risultati. Ripetete questa operazione finch? non vi dice che non trova altri risultati.
Se tutto ? andato per il verso giusto, l'rxbot ? stato eliminato!
Se non ve la sentite di agire sul registro di windows, c'? un altro modo per disattivare l'rxbot. Non verr? quindi eliminato dal vostro sistema ma, verr? comunque disattivato e quindi reso innoquo (anche se sarebbe meglio eliminarlo del tutto).
Andate su Start -> Esegui e digitate "msconfig" (senza virgolette). Nella finestra che vi si apre, andate nell'ultima colonna a destra (Avvio) e, deselezionate la casellina con il nome del programma scovato prima (winini.exe nel nostro caso). In questo modo, l'rxbot non si avvier? pi? all'avvio della macchina.
Siamo alla conclusione, questo ? tutto. Spero che la guida sia stata di facile comprensione e che vi abbia aiutato nell'eliminare una volta per tutte questi fastidiosissimi e pericolosi trojan.
Alla prossima guida!
zena[o]
|
|
|
|
Tiziano
Down