etechs.it
Layer 06
etechs.it
Varie

Mail server report…. che brutta cosa!

di |Pubblicato

Worm STRAT
STRAT-2 Ahhhhhhrghhh
Ci son cascato, ho contato troppo sulla bontà dell’antivirus centralizzato dell’azienda per cui lavoro!
Troppo ingenuo, troppo in buona fede. Non va bene così!!!!
Mi son rilassato troppo.
OK facciamo 2 passi indietro. Vi ricordate quel virus albanese che chiedeva gentilmente se si poteva cancellare il file kernel32.dll dal PC??? Mbhè l’idea di fondo è sempre quella. Un utente della rete mi inoltra una mail chiedendo se è spam o un virus, io che sono curioso come una donnola (perchè poi si chiama donnola?), mi son prodigato a cercare su internet qualcosa che somigliasse alla mail, risultato? nulla di nulla.
riporto qui il testo completo della mail che sia chiaro che questa è la mail incriminata:


Oggetto: Mail server report.
Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms).
Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses Please install updates for worm elimination and your computer restoring. Best regards,
Customers support service

Ok, mi son detto, allora ho aperto l’allegato che è un file zip, l’antivirus che mai m’ha abbandonato in queste occasioni taceva, ho preso coraggio ed ho eseguito il file dal nome molto somigliante ad una patch di sicurezza della microsoft.
il file in allegato è

Update-KB593-x86.zip


Oh me miseroooo!
Da quel momento il mio pc ha spedito una cosa come 100 mail ogni 30 secondi, con virus etc etc etc. Prima cosa evidente mi si è disabilitato il taskmanager di windows, poi è stata l’ora di impedire l’accesso al regedit, dopodichè siamo passati al MSConfig. Vediamo come rimuoverlo senza tanti danni
Questo virus va a creare un file nella cartella windows il file è

c:/windows/serv.exe


questo file parte all’esecuzione dell’allegato, e si installa nell’esecuzione automatica assieme ad altri ma vediamo di eliminare le cose + gravi prima di tutto.
Per togliere questo file non avendo a disposizione il task manager, anche se dubito che potesse aiutarmi, ho utilizzato KillBox un tool che serve per uccidere i file attivi e cencellarli.
http://www.killbox.net/downloads/KillBox.exe
fidatevi non è un virus 🙂
maggioi info su http://www.killbox.net/ Questo programmino è abbastanza semplice, basta indicare il nome del file con percorso completo e poi clickando sul pulsantino rosso, viene bloccato e cancellato il file.
Inutile dire che tale operazione va fatta con mooolta attenzione. una volta tolto quel file bisogna andare a cancellare tutti quei file che servivano da server smtp, retriver della rubrica etc etc.
io ne ho individuati 4 e li possiamo rimuovere sempre col nostro amico KillBox
ecco i file in questione:


c:/windows/system32/miglntma.dll
c:/windows/system32/dtcclzex.exe
c:/windows/system32/dtcclzex.dll
c:/windows/system32/hpzcpjlm.exe

]]>

Potrebbe anche interessarti