ho cambiato lavoro da poco. l'altro ieri arrivo in ufficio e trovo l'IBM Netvista che mi hanno rifilato, con installazione standard di windows 98 second edition. la rete locale dell'ufficio conta una decina di PC, tutti connessi fra loro e con l'unità principale condivisa in lettura e scrittura. fra una cosa e l'altra aggiorno l'aggiornabile, e tutto sembra a posto.
qualche ora dopo, si presenta l'amministratore di sistema con un papiro lungo una quaresima: il log del Sonicwall (un firewall hardware di fascia SOHO, che isola la LAN da Internet). la scatoletta di plastica segnala che la mia macchina trasmette pacchetti UDP sulla porta 1600 in direzione dell'esterno, andandosi ovviamente a schiantare contro il firewall. cosa sarà, cosa non sarà, alla fine l'admin propende per una non meglio identificata infezione da trojan e decide di fare tabula rasa. il rarissimo Shivka Burka usa proprio la 1600 e non è rilevato dai più comuni antivirus, ma una scansione con TauScan da' esito negativo, e questo antitrojan è in grado di rilevare Shivka...
dopo la reinstallazione, tengo scrupolosamente conto di cosa installo, compreso l'orario, e procedo al riaggiornamento della macchina. a metà giornata di oggi, si ripresenta l'admin con un altro papiro che non finisce più: altri pacchetti UDP, stavolta in uscita verso la porta 1027. la cosa si fa imbarazzante, ma stavolta ho la scaletta esatta di cosa ho installato e procedo a ritroso, pezzo per pezzo. nessun risultato, finchè restano da ranzare via solo le DirectX 8.1, installate da WindowsUpdate e notoriamente irremovibili senza usare qualche trucco poco ortodosso. mi procuro DxBuster e le rimuovo... ebbene, la trasmissione di pacchetti si interrompe
reinstallo tutto il resto da capo, escluse le DX 8.1, e il problema non si ripete. adesso ho messo su una versione 7.x, che viaggia tranquilla senza tentare di uscire dalla finestra.
dove diavolo vogliono andare le DirectX 8.1?
perchè in rete non c'è traccia di una cosa del genere?
è possibile che i normali firewall lascino passare insieme ai classici componenti di rete di windows anche tentativi occulti di connessione originati dalle DirectX? e in caso affermativo, possibile che nessuno se ne sia mai accorto?
in realtà non mi aspetto che qualcuno ne sappia qualcosa... mi limito a buttare giù questo breve report perchè resti documentato, e lo ripeterò anche su un paio di altri forum. se avete notato la stessa cosa, battete un colpo. le ipotesi sono benvenute.
Segnalibri