Svchost.exe e Invio non voluto di email

[piercing]

Ebbene si... è successo... e non so come...

sparo email in giro per il mondo...

tralascio il come me ne sia casualmente accorto... comunque ho verificato con uno sniffer... e purtroppo è vero...

il processo responsabile sembrerebbe essere l'istanza di svchost.exe che gestisce i servizi terminal e il distributed com... che si collega a diversi ip pubblici sulla porta 25... e con lo sniffer ho verificato che effettivamente quelle che partono sono email.

questo processo e le 64 librerie collegate sono tutte regolarissimi file di microsoft, o comunque li ho controllati uno per uno...

aggiungo che su questo pc non ho alcun client di posta elettronica configurata, ne lo uso per scaricare alcunchè...

ho effettuato tutte le scansioni possibili (NOD32, HJT, GMER) tutte con esito negativo...

Per concludere, in maniera abbastanza randomica, quando il pc è connesso alla LAN, mi compare la mascherina dello spegnimento del PC dopo un minuto, causato dal DCOM (per intenderci quella del vecchio Sasser).

Se avete qualche idea un pò più evoluta di dove andare a cercare, o avete sentito qualche informazione su problematiche del genere, mi farebbe molto piacere avere qualche riscontro...

Non seguo da un pò il mondo della security, e quindi non so se è uscito il "supervirus" dell'anno... ma non mi sembra di aver trovato in rete alcuna informazione utile...

grazie...

[Luke57]

Ciao, vai qui:
http://www.suspectfile.com/forum/viewtopic.php?t=466
e scarica systemscan per un controllo approfndito. Lo utilizzi come descritto nel link e poi potrai verificare il report che trovi in una cartella .zip in C:\suspectfile.
Se vuoi metterlo a disposizione per una doppia verifica, siccome è molto lungo, inserisci il file .zip in un sito di hosting (tipo easyshare et similia) indicando il link per poterlo vedere

[piercing]

http://www.webconcept.it/public/pcf/26_ ... report.zip

non mi sembra di riscontrare anomalie particolari...

PS: il problema si verifica solo quando il pc è connesso alla rete, mentre la scansione è stata realizzata senza cavo di rete collegato, altrimenti il pc si spegne dopo poco con il solito alert di NT Authority System.

[kadosh]

Quando è connesso alla rete la CPU del thread svchost schizza al 100%?
Lo fa anche quando il cavo è staccato?

[piercing]

no.. non schizza al 100%... rimane abbastanza quieta...

quando il cavo è staccato il pc non da problemi...

[Dylan666]

Il contenuto delle mail in uscita? Hanno allegati virulenti?

[piercing]

grazie agli amici di suspectfile il problema è risolto...

la soluzione è stata piuttosto complessa... ed ha coinvolto anche la decompilazione di 2 dll...

riteniamo sia qualche malware per il quale ad oggi la maggioranza degli antivirus non ha ancora le firme...

come l'abbia preso... non si sà...

se ho aggiornamenti sulla faccenda... vi farò sapere... e non posso invitarvi come sempre alla massima attenzione...

[Dylan666]

si possono sapere quali erano le dll incriminate?
Si è capito le mail cosa contenessero?
Avete inviato i file a qualche laboratorio di analisi di antivirus?

[piercing]

il nome della dll pare sia casuale... nel mio caso wmpvis32.dll

la particolarità è che nelle proprietà del file sembra un normale file di microsoft...

solo dalla verifica del sistema di compattazione della dll che non è quella tipicamente microsoft... abbiamo capito qualcosa...

qui i dettagli della soluzione...