Estou Sendo Atacado!

[brunohjoia]

Aew galera... Acontece que de uns dias para cá (desde 25/10/2004) o meu pc tem sofrido diversos ataques de cavalo de Tróia NetBus e TransScout. Eu uso o Norton Internet Security 2003, e eu estava dando uma olhada nos registros de ataque que recebí percebí que esses ataques vêm de várias partes do mundo. Eu queria saber se os crackers mantém contatos do tipo "Pcs que podemos atacar..."?, porque de repente todos eles resolveram me atacar de uma vez.

Outra coisa que eu percebí é que sempre que eu recebo um ataque de cavalo de tróia, na parte de firewall do visualizador de registros do NIS aparecem 3 mensagens referentes ao ataque. A primeira diz assim:

1-Ataque de Cavalo de Tróia detectado no endereço 211.108.120.233 pela regra "Bloqueio padrão do cavalo de Tróia NetBus".

Acesso bloqueado por 30 minutos.

A segunda:

2- Regra "Bloqueio padrão do cavalo de Tróia NetBus" bloqueada (211.108.120.233,NetBus(12345))

Conexão TCP de entrada

Endereço, serviço local é (CASA(200.158.15.143),NetBus(12345))

Endereço, serviço remoto é (211.108.120.233,3670)

O nome do processo é "N/A"

e a terceira:

3- Regra Bloqueio padrão do cavalo de Tróia NetBus correspondente

Endereço remoto (211.108.120.233,3670)

Eu queria saber exatamente o que significam estas duas ultimas mensagens... Por acaso significa que o invasor conseguiu invadir??? E quais a providencias que devo tomar para evitar novos ataques?

Obrigado!

[xcel3nt]

1º: vá em http://www.sygate.com e instale o sygate personal firewall

2º: após instalado reinicie o computador e conecte na internet....

3º: irá aparecer pedidos de aceitação ou negação de execução de programas, no caso será alguns padrões como kernell, explorer etc... mas terá também algum dos erver do trojan, algo como "server.exe", "netbus.exe", aí depende do trojan....

Note que aparecerá o caminho do arquivo que ta tentando se comunicar, grave o(s) caminho(s), caso tenha mais de um trojan, anote num txt...

Vá até o Regedit, pasta: hKey_local_machine, software, microsoft, windows, currentversion.. dentro dessa pasta tera subpastas como RUN, RUN-, RUNONCE, RUNSERVISES... verifica cada registro clicando com o botão direito nele e escolhendo a opção "modificar" irá abrir uma caixa de dialogo com o caminho do registro, se for o mesmo que você anotou.. APAGUE-O !!! faça isso em todas as subpastas citada acima do diretório currentversion..... e após verificar aperte F5 para atualizar....

Reinicie a maquina, e ao reiniciar, vá na pasta em qeu se encontra os arquivos "servers do trojan" e exclua-os....

Bem, essa é uma forma manual de eliminar esse tipo de praga!

[Guest Guest]

www.eset.com

baixe e elimine!

[Maxx]

Realmente, para remover qualquer virus é melhor usar um antivirus, mas caso queira remover manualmente segue a instrução:

http://www.geocities.com/siliconvalley/net.../bo/bc00003.htm

o netbus é um trojan que conecta-se remotamente ao micro, portanto uma forma de impedi-lo (acredito eu) é desabilitar serviços de acesso remoto do windows.

**************************

Desabilite a Assistência Remota.

Este recurso permite que outras pessoas controlem seu micro remotamente

Para desabilitá-lo, vá em Painel de Controle > Sistema > Remoto e desabilite as opções “Permitir que este computador envie convites de Assistência Remota” e “Permitir que usuários se conectem remotamente a este computador”.

Depois vá em Iniciar > Executar, digite gpedit.msc e pressione OK. Vá em Configuração do Computador > Modelos Administrativos > Sistema > Assistência Remota. Configure ambos os serviços para Desabilitado.

*******************

Desabilite Serviços de rede

A menos que você realmente o use, o Telnet abre as portas para uma invasão para o netbus e outras pragas. Para desabilitá-lo, vá em Painel de Controle > Ferramentas Administrativas > Serviços. Altere o serviço Telnet de “manual” para “desabilitado”. Desative também os serviços “Compartilhamento remoto da área de trabalho do NetMeeting” e “Registro Remoto”

[iSoron]

Eu queria saber se os crackers mantém contatos do tipo "Pcs que podemos atacar..."?, porque de repente todos eles resolveram me atacar de uma vez.

Quando você é contaminado por algum backdoor, ele abre uma porta em seu sistema que fica visível a todos os usuários da internet. Claro que os usuários comuns nem ligam, ou nem sabem verificar se essas portas estão abertas, mas os crackers têm os chamados "Scanners" que verificam rapidamente dezenas de milhares de ips, procurando quem está com essa porta aberta. No seu caso, deve ser a 12345 ou 20034.

o netbus é um trojan que conecta-se remotamente ao micro, portanto uma forma de impedi-lo (acredito eu) é desabilitar serviços de acesso remoto do windows.

O Netbus usa um servidor próprio, que é um arquivo chamado Server.exe, ou Patch.exe. Desabilitar os serviços padrão Windows não adianta.

O melhor a fazer é instalar um bom firewall e um bom antivirus. Eu, pessoalmente, não gosto nem pouco dos produtos da Norton. Se quiser uma solução rápida, use o The Cleaner.

falou!

[brunohjoia]

Ok!!! Obrigado pela ajuda pessoal... mas eu queria saber se esses avisos do meu Norton Internet Security significam que meu PC foi invadido ou não... estou em dúvida!!!! Além disso, o q é engraçado é que eu não encontro nenhuma porta 12345 ou 20034 aberta ao usar o comando netstat no prompt de comando... Eu já executei um antispyware e o stinger da mcafee e nada de encontrar o trojan...

obs: Vale lembrar que, por coincidencia ou não, esses ataques começaram após eu ter instalado o SP2 do Windows XP Home. Pode ser que esse não seja o motivo, já que eu tb entri em um site de cracks e serial numbers.... talvez o problema seja este também....

Alguém aí sabe me dizer se eu realmente fui invadido? Ah, e se eu instalar esses softwares que me recomendaram não vai dar conflito com meu NIS?