intento de acceso desde el exterior

10/08/2005 - 20:43 por takhisis | Informe spam
Hola a todos. Tengo xp profesional. Desde la ultima actualizacion de windows,
cada vez que me conecto a internet, me salta el antivirus para decirme que un
programa del sistema se ha modificado y que se esta intentando acceder a el
desde el exterior. La unica informacion adicional es una direccion ip. Hasta
el momento le he dicho que no lo permita. ¿Puede ser un acceso del propio
microsoft para acabar de actualizar la maquina o se me ha metido algun
indeseable? Gracias por vuestra ayuda.

Preguntas similare

Leer las respuestas

#1 MPrieto
10/08/2005 - 22:27 | Informe spam
Hola

En principio parece ser un bicho tipo backdor pero con esta información
es insuficiente. Para que podamos hacer un análisis más correcto de la
situación conviene disponer de más datos. Por ejemplo:
- Antivirus (marca y versión)
- nombre del programa que parece haber sido modificado
- IP entrante (no la tuya)
- listado de procesos en ejecución (adiministrador de tareas de windows;
Ctrl + Alt + Supr)

Con estos datos se puede empezar a sacar conclusiónes, sinó será dar
palos de ciego.

Saludos
Marcos


takhisis escribió:
Hola a todos. Tengo xp profesional. Desde la ultima actualizacion de windows,
cada vez que me conecto a internet, me salta el antivirus para decirme que un
programa del sistema se ha modificado y que se esta intentando acceder a el
desde el exterior. La unica informacion adicional es una direccion ip. Hasta
el momento le he dicho que no lo permita. ¿Puede ser un acceso del propio
microsoft para acabar de actualizar la maquina o se me ha metido algun
indeseable? Gracias por vuestra ayuda.
Respuesta Responder a este mensaje
#2 takhisis
11/08/2005 - 23:15 | Informe spam
Hola
Los datos son:
- Panda Titanium antivirus 2005 4.02.01 actualizado a dia de hoy incluido el
parche que permite las actualizaciones automaticas de windows
- programa modificado windows\system32toskrnl.exe
- programas en uso en la pantalla aplicaciones, internet explorer, en la de
procesos, iexplore, webproxy, rnathchk, kfn, taskmgr, msmsgs, ctfmon,
e_fati9be, soundman, apvxdwin, alg, pavfires, mdm, spoolsv, svchost, issas,
csrss, smss
- la direccion ip no me la apunte y no ha vuelto a aparecer.
Espero que estos datos sean de ayuda. Gracias

"MPrieto" escribió:

Hola

En principio parece ser un bicho tipo backdor pero con esta información
es insuficiente. Para que podamos hacer un análisis más correcto de la
situación conviene disponer de más datos. Por ejemplo:
- Antivirus (marca y versión)
- nombre del programa que parece haber sido modificado
- IP entrante (no la tuya)
- listado de procesos en ejecución (adiministrador de tareas de windows;
Ctrl + Alt + Supr)

Con estos datos se puede empezar a sacar conclusiónes, sinó será dar
palos de ciego.

Saludos
Marcos


takhisis escribió:
> Hola a todos. Tengo xp profesional. Desde la ultima actualizacion de windows,
> cada vez que me conecto a internet, me salta el antivirus para decirme que un
> programa del sistema se ha modificado y que se esta intentando acceder a el
> desde el exterior. La unica informacion adicional es una direccion ip. Hasta
> el momento le he dicho que no lo permita. ¿Puede ser un acceso del propio
> microsoft para acabar de actualizar la maquina o se me ha metido algun
> indeseable? Gracias por vuestra ayuda.


Respuesta Responder a este mensaje
#3 MPrieto
12/08/2005 - 23:05 | Informe spam
Hola

El intento de modificación del archivo NTOSKRNL.EXE responde al
comportamiento del virus Funlove.4096, sin embargo habría que buscar
entre los servicios que están instalados en el sistema si existe alguno
anormal. Este virus activa un servicio llamado FLC. Se puede ver un
listado de servicios en el panel de las Herramientas Administrativas del
Panel de Control.

No obstante Panda esta actualizado sobre este virus desde marzo de este
año, por lo que no debería tener problema con él salvo que nos
encontremos ante una variante o ante otro fenómeno distinto al virus.
Pero eso si; este programa no necesita conectarse a internet, por lo que
el intento de conexión debe ser bloqueado.

Entre las posibilidades alternativas podría tratarse de una puerta
trasera a través del puerto 445 que se hace para intercambio de
archivos. El programa ntoskrnl.exe (modificado maliciosamente, por
supuesto) se encargaría de abrir el puerto para que de manera remota se
acceda al ordenador para usarlo quizá de máquina zombie en el
intercambio de archivos. Si esto se permite el rendimiento de la CPU
podría caer en picado con lo que notariamos la lentitud anormal de
nuestra máquina.

http://www.sygate.com/alerts/XP_def...5_open.htm

Como el daño no se ha producido (a gran escala) deberías tratar de
sustituir el archivo por el original. Quizá con la herramienta de
reparación del CD de instalación de Windows XP.

Un saludo
Marcos
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida