Virus o cosa?

Non-English Boards Italiano
1

Buongiorno, da qualche tempo a questa parte mi compare una pop-up che Vi allego.

https://www.dropbox.com/s/grojujuti7bcias/Virus.jpg?dl=0

Sul mio PC ho istallato tutte le protezioni Avast,

Cosa devo fare per eliminare definitivamente questa minaccia?

Grazie

2

Aggiungo che scansionata la rete il risultato mi indica quanto segue negli allegati

https://www.dropbox.com/s/kluzm7dgw2k8jq4/Screenshot%202020-09-30%2008.50.05.png?dl=0

https://www.dropbox.com/s/ae8p0hizhlewv7u/Screenshot%202020-09-30%2008.50.16.png?dl=0

3

https://www.dropbox.com/s/ae8p0hizhlewv7u/Screenshot%202020-09-30%2008.50.16.png?dl=0 - indica che il dispositivo e’ vulnerabile in quanto vi sono porte aperte su internet sfruttabili per compiere attacchi

https://www.dropbox.com/s/kluzm7dgw2k8jq4/Screenshot%202020-09-30%2008.50.05.png?dl=0 - mostra le porte aperte:

445, 139 sono utilizzate dal protocollo SMB, cioe’ la condivisione dei file
3389 e’ utilizzata dal protocollo RDP, cioe’ Microsoft Remote Desktop

Queste porte non dovrebbero essere aperte su internet

https://www.dropbox.com/s/grojujuti7bcias/Virus.jpg?dl=0 - Indica che Avast ha bloccato una connessione che sembrerebbe sfruttare la vulnerabilita’ CVE-2020–0796, relativa al protocollo SMB. Microsoft ha rilasciato un aggiornamento di sicurezza per mitigare questa vulnerabilita’ lo scorso marzo:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796

L’indirizzo IP mostrato sembrerebbe appartenere al dominio ackng.com, di recente visto in relazione ad attivita’ legate al mining della criptovaluta Monero:

https://www.trendmicro.com/en_us/research/19/f/monero-mining-malware-pcastle-zeroes-back-in-on-china-now-uses-multilayered-fileless-arrival-techniques.html

In sintesi occorre:

1 - accedere al router per controllare ed eventualmente bloccare l’accesso alle porte 139, 445 e 3389
2 - controllare su Windows se ci sono aggiornamenti di sicurezza pendenti e, eventualmente, applicarli. In particolar modo l’aggiornamento indicato sopra
3 - controllare il computer per cercare attivita’ malevola

4

Buonasera I.C
Grazie per la consulenza ma ho la necessità d’avere ulteriori info al riguardo dei suoi consigli

Andiamo per ordine:
[i]Indica che Avast ha bloccato una connessione che sembrerebbe sfruttare la vulnerabilita’ CVE-2020–0796, relativa al protocollo SMB. Microsoft ha rilasciato un aggiornamento di sicurezza per mitigare questa vulnerabilita’ lo scorso marzo:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0796[/i]

Ho provato a lanciare gli aggiornamenti ma nessuno di quelli in elenco si riesce ad istallarli… :frowning:

L’indirizzo IP mostrato sembrerebbe appartenere al dominio ackng.com, di recente visto in relazione ad attivita’ legate al mining della criptovaluta Monero:

Mai fatto nulla in criptovalute, quindi non so di cosa si tratti.

1 - accedere al router per controllare ed eventualmente bloccare l’accesso alle porte 139, 445 e 3389

445, 139 sono utilizzate dal protocollo SMB, cioe’ la condivisione dei file

Mi fa capire meglio cosa significa e dove posso intervenire?

3389 e’ utilizzata dal protocollo RDP, cioe’ Microsoft Remote Desktop

Può essere l’app di “assistenza rapida” di Windows per fare assistenza remota su altri pc? a volte la uso ma in questi giorni no…

Non so come si effettua la chiusura di queste porte… :-\

Grazie e resto in attesa di Sue notizie

danilo

5

Si potrebbe controllare la cronologia degli aggiornamenti di Windows:

https://www.memexcomputer.it/cronologia-aggiornamenti-di-windows/

ma l’aggiornamento in questione potrebbe anche essere all’interno di un aggiornamento cumulativo.
In caso di problemi con l’installazione degli aggiornamenti si dovrebbe provare ad eseguire lo strumento di risoluzione dei problemi di Windows.

Al seguente link e’ presente uno scanner per controllare la presenza della vulnerabilita’ ma richiede Python installato:

https://github.com/ollypwn/SMBGhost/blob/master/README.md

[b]L'indirizzo IP mostrato sembrerebbe appartenere al dominio ackng.com, di recente visto in relazione ad attivita' legate al mining della criptovaluta Monero:[/b]

Mai fatto nulla in criptovalute, quindi non so di cosa si tratti.

il punto e’ che sul computer potrebbe essere stato installato surrettiziamente un miner, cioe’ un programma che utilizza risorse del computer per ricavare criptovalute. In tal caso la connessione bloccata da Avast potrebbe essere la comunicazione con il pool, cioe’ il server che gestisce l’attivita’ di mining.

Non so come si effettua la chiusura di queste porte... :-\

occorre accedere all’interfaccia del router via browser. La cosa strana e’ che per aprire queste porte occorre fare lo stesso lavoro e, da quello che scrive, non mi sembra il suo caso. Avrei eventualmente bisogno di informazioni aggiuntive, le mando un messaggio privato.

6

Buongiorno Igor, nonostante e a seguito della nostra telefonata, così come Le ho già scritto via mail, il pop-up con avviso di attacco continua a manifestarsi.
Ho visto la Sua ultima mail e ho controllato aggiornamenti, e tra questi non vi è nulla a parte:

[ol]-
aggiornamento di una funzionalità di Windows 2004
aggiornamento cumulativo di Framework 3.5 4.8 Version 1909 per X64 (KB4576947)

  • [/ol]

e nulla più.

Per quanto riguarda questo “l seguente link e’ presente uno scanner per controllare la presenza della vulnerabilita’ ma richiede Python installato:”, ho istallato Python, ma ora non sarei che fare… ho anche lanciato il link ma non succede nulla… che si fa?

Mi auguro si possa trovare una soluzione.

Grazie

Danilo

7

per eseguire il tool occore scaricarlo e scompattarlo. Poi da riga di comando spostarsi nella cartella SMBGhost-master e lanciare il comando “python3 scanner.py 127.0.0.1
questo e’ il link per il download: https://github.com/ollypwn/SMBGhost/archive/master.zip

Suggerisco pero’ di procedere in un altro modo:

Ci sono diversi siti su cui effettuare una scansione delle porte aperte. Questo ad esempio: https://hidemy.name/en/port-scanner/
Premere “Insert my IP address” e quindi “Scan”, impiegera’ qualche secondo per effettuare la scansione. Vengono trovate porte aperte?

PS: purtroppo non ho trovato ne’ PM ne’ email

8

Buongiorno IGOR Ho fatto come consigliato (seppur ancora ogni giorno il solito messaggio in pop-up mi perviene inquietante)

E il risultato della scansione delle porte sia negativo (veda sotto)

https://www.dropbox.com/s/5t6liaziofsfb2c/Immagine.jpg?dl=0

Attendo fiducioso sue notizie

9

Sorry come non detto è comparso questo risultato… Vedi due foto)

https://www.dropbox.com/s/34uau2m31f54c8u/Immagine_1.png?dl=0

https://www.dropbox.com/s/g9984nzges9f4xo/Immagine_2.jpg?dl=0

Grazie ancora

10

non va bene. Occorre chiudere quelle porte

edit: intendo tramite l’interfaccia del router

11

Ma le ho chiuse, nessuna porta è aperta e il firewall del router è attivo.

12

purtroppo, dal risultato della scansione, non sembrerebbe cosi’. Consiglio di verificare le regole del firewall sul router.