Estering


Il blog di Ester Memoli


*****************************************************

La mia rubrica su Techeconomy.it Managed Services


*****************************************************

La mia videointervista su MSN Video


*****************************************************

Colored Glances. Io e i miei colori. Il blog di un hobby colorato.


*****************************************************


*****************************************************

***DotNetHell.it TEAM***

*****************************************************

*****************************************************


Sondaggio
Tenere la vita reale separata da quella online?

Si
No

Links
Blogs Amici
Mappa
Home Blogs | Home | Login | Contact | My Profile | RSS | About | Cerca

Nvsvcd.exe - Un trojan e l'AVG mail scanner impazzito

Ieri sera avevo notato che l'AVG Email Checker tentava di connettersi a centinaia di IP in sequenza, e inviava email a indirizzi vari...nella Posta Inviata ovviamente non c'era nulla...E quando questo bot beccava indirizzi mail inesatti (o giù di lì) AVG mi sparava indietro una mail che mi diceva che il server rifiutava l'email perchè...bla bla bla... ogni minuto me ne tornavano indietro decine e decine. Al che:
1) Scansione con AVG...era troppo lento..ma l'ho messo a lavorare. NIENTE
2) Scansione con AdAware ...NIENTE
3) Scansione con Spybot 1.4 ...NIENTE
4) Scansione con HiJACKTHIS...trovo un processo che non mi ispira: NVSVCD.EXE
Lo killo. Svuoto i temp che contenevano degli exe strani. Pulisco la cache internet.
Dopo un paio di minuti si ricrea un exe nella cartella Temp. C'è anche un .ini assieme. Lo esamino, leggo di un install.exe che lancia sta schifezza. Cerco gli install.exe ed elimino il paio sospetti.

Alla fine, leggendo su internet scopro che questo virus (IRCBot.SS) ha creato una backdoor che mi usa come SMTP server...stavo inviando spam su Viagra e Cialis al mondo intero.

5) Faccio una scansione Online con Panda AV che pero' non trova nessun virus..
eppure AVG Email Checker continuava a ributtarmi indietro mail fallite e a connettersi a server ed IP vari in giro per il mondo. Attivo Zone Alarm (e tolgo il FW di Windows) e bloccando l'uscita di avgemc.exe il log del firewall comincia a "scoppiare".

La situazione è insostenibile...in 5 secondi ZA mi blocca 500 tentativi di uscita di avgemc.exe

Al che, discutendo con il mitico David iniziamo dopo varie analisi del Task Manager e con la coscienza che nessun processo strano stesse girando, notiamo il fatto grave...

Un log nella cartella di AVG di oltre 1,7GB

Praticamente io avevo debellato il virus, manualmente, 2 ore prima, che pero' aveva già tentato l'invio di milioni di email...solo che AVG le tiene in cache, le esamina e poi le invia. Ovviamente ciò implica diverse ore..

Alla fine è bastato eliminare i quasi 6.000 file nella cartella QUEUE di AVG e tutto è tornato alla normalità.

Una serataccia....ma tutto è bene quel che finisce bene.
Categoria: Tecnico
sabato, 15 apr 2006 Ore. 22.22
Mosaic
Gallerie

Accedi alle gallerie!
Categorie
Archivio Posts
Anno 2015

Anno 2013

Anno 2012

Anno 2011

Anno 2010

Anno 2009

Anno 2008

Anno 2007

Anno 2006

Anno 2005
Statistiche
  • Views Home Page: 985.372
  • Views Posts: 3.776.753
  • Views Gallerie: 2.374.211
  • n° Posts: 1.246
  • n° Commenti: 4.074
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003