Author Topic: Virus o cosa?  (Read 4490 times)

0 Members and 1 Guest are viewing this topic.

Offline Danilo114

  • Newbie
  • *
  • Posts: 9
Virus o cosa?
« on: September 30, 2020, 08:33:29 AM »
Buongiorno, da qualche tempo a questa parte mi compare una pop-up che Vi allego.

https://www.dropbox.com/s/grojujuti7bcias/Virus.jpg?dl=0

Sul mio PC ho istallato tutte le protezioni Avast,

Cosa devo fare per eliminare definitivamente questa minaccia?

Grazie

Offline Danilo114

  • Newbie
  • *
  • Posts: 9
Re: Virus o cosa?
« Reply #1 on: September 30, 2020, 08:52:58 AM »

Offline I.C

  • Jr. Member
  • **
  • Posts: 48
    • FutureTime
Re: Virus o cosa?
« Reply #2 on: September 30, 2020, 09:50:23 AM »
https://www.dropbox.com/s/ae8p0hizhlewv7u/Screenshot%202020-09-30%2008.50.16.png?dl=0 - indica che il dispositivo e' vulnerabile in quanto vi sono porte aperte su internet sfruttabili per compiere attacchi

https://www.dropbox.com/s/kluzm7dgw2k8jq4/Screenshot%202020-09-30%2008.50.05.png?dl=0 - mostra le porte aperte:

445, 139 sono utilizzate dal protocollo SMB, cioe' la condivisione dei file
3389 e' utilizzata dal protocollo RDP, cioe' Microsoft Remote Desktop

Queste porte non dovrebbero essere aperte su internet

https://www.dropbox.com/s/grojujuti7bcias/Virus.jpg?dl=0 - Indica che Avast ha bloccato una connessione che sembrerebbe sfruttare la vulnerabilita' CVE-2020–0796, relativa al protocollo SMB. Microsoft ha rilasciato un aggiornamento di sicurezza per mitigare questa vulnerabilita' lo scorso marzo:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

L'indirizzo IP mostrato sembrerebbe appartenere al dominio ackng.com, di recente visto in relazione ad attivita' legate al mining della criptovaluta Monero:

https://www.trendmicro.com/en_us/research/19/f/monero-mining-malware-pcastle-zeroes-back-in-on-china-now-uses-multilayered-fileless-arrival-techniques.html 

In sintesi occorre:

1 - accedere al router per controllare ed eventualmente bloccare l'accesso alle porte 139, 445 e 3389
2 - controllare su Windows se ci sono aggiornamenti di sicurezza pendenti e, eventualmente, applicarli. In particolar modo l'aggiornamento indicato sopra
3 - controllare il computer per cercare attivita' malevola
« Last Edit: September 30, 2020, 09:56:46 AM by I.C »

Offline Danilo114

  • Newbie
  • *
  • Posts: 9
Re: Virus o cosa?
« Reply #3 on: October 03, 2020, 05:39:39 PM »
Buonasera I.C
Grazie per la consulenza ma ho la necessità d'avere ulteriori info al riguardo dei suoi consigli

Andiamo per ordine:
Indica che Avast ha bloccato una connessione che sembrerebbe sfruttare la vulnerabilita' CVE-2020–0796, relativa al protocollo SMB. Microsoft ha rilasciato un aggiornamento di sicurezza per mitigare questa vulnerabilita' lo scorso marzo:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796


Ho provato a lanciare gli aggiornamenti ma nessuno di quelli in elenco si riesce ad istallarli... :(

L'indirizzo IP mostrato sembrerebbe appartenere al dominio ackng.com, di recente visto in relazione ad attivita' legate al mining della criptovaluta Monero:

Mai fatto nulla in criptovalute, quindi non so di cosa si tratti.


1 - accedere al router per controllare ed eventualmente bloccare l'accesso alle porte 139, 445 e 3389

445, 139 sono utilizzate dal protocollo SMB, cioe' la condivisione dei file

Mi fa capire meglio cosa significa e dove posso intervenire?

3389 e' utilizzata dal protocollo RDP, cioe' Microsoft Remote Desktop

Può essere l'app di "assistenza rapida" di Windows per fare assistenza remota su altri pc? a volte la uso ma in questi giorni no....


Non so come si effettua la chiusura di queste porte... :-\

Grazie e resto in attesa di Sue notizie

danilo




Offline I.C

  • Jr. Member
  • **
  • Posts: 48
    • FutureTime
Re: Virus o cosa?
« Reply #4 on: October 03, 2020, 09:34:47 PM »

Ho provato a lanciare gli aggiornamenti ma nessuno di quelli in elenco si riesce ad istallarli... :(

Si potrebbe controllare la cronologia degli aggiornamenti di Windows:

https://www.memexcomputer.it/cronologia-aggiornamenti-di-windows/

ma l'aggiornamento in questione potrebbe anche essere all'interno di un aggiornamento cumulativo.
In caso di problemi con l'installazione degli aggiornamenti si dovrebbe provare ad eseguire lo strumento di risoluzione dei problemi di Windows.

Al seguente link e' presente uno scanner per controllare la presenza della vulnerabilita' ma richiede Python installato:

https://github.com/ollypwn/SMBGhost/blob/master/README.md

Quote
L'indirizzo IP mostrato sembrerebbe appartenere al dominio ackng.com, di recente visto in relazione ad attivita' legate al mining della criptovaluta Monero:

Mai fatto nulla in criptovalute, quindi non so di cosa si tratti.

il punto e' che sul computer potrebbe essere stato installato surrettiziamente un miner, cioe' un programma che utilizza risorse del computer per ricavare criptovalute. In tal caso la connessione bloccata da Avast potrebbe essere la comunicazione con il pool, cioe' il server che gestisce l'attivita' di mining.

Quote
Non so come si effettua la chiusura di queste porte... :-\

occorre accedere all'interfaccia del router via browser. La cosa strana e' che per aprire queste porte occorre fare lo stesso lavoro e, da quello che scrive, non mi sembra il suo caso. Avrei eventualmente bisogno di informazioni aggiuntive, le mando un messaggio privato.

Offline Danilo114

  • Newbie
  • *
  • Posts: 9
Re: Virus o cosa?
« Reply #5 on: October 11, 2020, 09:05:21 AM »
Buongiorno Igor, nonostante e a seguito della nostra telefonata, così come Le ho già scritto via mail, il pop-up con avviso di attacco continua a manifestarsi.
Ho visto la Sua ultima mail e ho controllato aggiornamenti, e tra questi non vi è nulla a parte:
  • aggiornamento di una funzionalità di Windows 2004
    aggiornamento cumulativo di Framework 3.5 4.8  Version 1909 per X64 (KB4576947)
e nulla più.

Per quanto riguarda questo "l seguente link e' presente uno scanner per controllare la presenza della vulnerabilita' ma richiede Python installato:", ho istallato Python, ma ora non sarei che fare... ho anche lanciato il link ma non succede nulla... che si fa?

Mi auguro si possa trovare una soluzione.

Grazie

Danilo


Offline I.C

  • Jr. Member
  • **
  • Posts: 48
    • FutureTime
Re: Virus o cosa?
« Reply #6 on: October 11, 2020, 01:02:09 PM »

Per quanto riguarda questo "l seguente link e' presente uno scanner per controllare la presenza della vulnerabilita' ma richiede Python installato:", ho istallato Python, ma ora non sarei che fare... ho anche lanciato il link ma non succede nulla... che si fa?


per eseguire il tool occore scaricarlo e scompattarlo. Poi da riga di comando spostarsi nella cartella SMBGhost-master e lanciare il comando "python3 scanner.py 127.0.0.1"
questo e' il link per il download: https://github.com/ollypwn/SMBGhost/archive/master.zip

Suggerisco pero' di procedere in un altro modo:

Ci sono diversi siti su cui effettuare una scansione delle porte aperte. Questo ad esempio: https://hidemy.name/en/port-scanner/
Premere "Insert my IP address" e quindi "Scan", impiegera' qualche secondo per effettuare la scansione. Vengono trovate porte aperte?

PS: purtroppo non ho trovato ne' PM ne' email
« Last Edit: October 11, 2020, 01:08:37 PM by I.C »

Offline Danilo114

  • Newbie
  • *
  • Posts: 9
Re: Virus o cosa?
« Reply #7 on: October 19, 2020, 12:51:59 PM »
Buongiorno IGOR  Ho fatto come consigliato (seppur ancora ogni giorno il solito messaggio in pop-up mi perviene inquietante)


E il risultato della scansione delle porte sia negativo (veda sotto)

https://www.dropbox.com/s/5t6liaziofsfb2c/Immagine.jpg?dl=0

Attendo fiducioso sue notizie



Offline Danilo114

  • Newbie
  • *
  • Posts: 9
Re: Virus o cosa?
« Reply #8 on: October 19, 2020, 12:57:34 PM »

Offline I.C

  • Jr. Member
  • **
  • Posts: 48
    • FutureTime
Re: Virus o cosa?
« Reply #9 on: October 19, 2020, 11:06:53 PM »
non va bene. Occorre chiudere quelle porte

edit: intendo tramite l'interfaccia del router
« Last Edit: October 20, 2020, 12:53:02 PM by I.C »

Offline Danilo114

  • Newbie
  • *
  • Posts: 9
Re: Virus o cosa?
« Reply #10 on: October 20, 2020, 06:18:07 PM »
Ma le ho chiuse, nessuna porta è aperta e il firewall del router è attivo.

Offline I.C

  • Jr. Member
  • **
  • Posts: 48
    • FutureTime
Re: Virus o cosa?
« Reply #11 on: October 22, 2020, 11:14:48 AM »
Ma le ho chiuse, nessuna porta è aperta e il firewall del router è attivo.

purtroppo, dal risultato della scansione, non sembrerebbe cosi'. Consiglio di verificare le regole del firewall sul router.