echo icmp - udp

[Stupido_ma_non_recidivo]

E' da un paio di giorni, che ho a che fare con un burlone telematico, con il quale ci si scambia piacevoli ed intense conversazioni via UDP. Ora, sfruttando io una connessione umts, mi trovo in netto svantaggio, avente lui (da quel che sono riuscito a capire) come provider, ADSL Telecom. Tutto ciò con la ovvia conclusione, che io non riesco a reggere ciò che lui invia, e di conseguenza crasho.

Il vero problema di tutto ciò, è che lui è riuscito ad installare qualcosa sulla mia macchina, per il semplice motivo che mi ritrovo sempre facilmente rintracciabile.

Ora la base della mia domanda è : come ha fatto ad ovviare il firewall, avendo io settato porta per porta, (credevo in modo accurato) e quindi ovviato ad ogni possibile echo request, o intrusione ?

Spulciando a mano il sistema, l'unico archivio che continua a ricrearsi è il seguente: rasautou.exe.


Consigli ?

Il log di hijack è pulito. Come connessioni attive, trovo solo una porta che comunica con Microsoft, nonostante io abbia disattivato aggiornamenti, ed altra fuffa che gira in background.

Credo quindi che il nostro simpaticone abbia sfruttato quella.

p.s: il tizio si trova dietro un Net, impossibile risalirvi.

[Stupido_ma_non_recidivo]

Connettendomi ed aprendo semplicemente l'home page di navigazione, questo è quello che ho attivo:


Microsoft Windows XP [Versione 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\netstat -na

Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1152 127.0.0.1:1153 ESTABLISHED
TCP 127.0.0.1:1153 127.0.0.1:1152 ESTABLISHED
TCP 127.0.0.1:1154 127.0.0.1:1155 ESTABLISHED
TCP 127.0.0.1:1155 127.0.0.1:1154 ESTABLISHED
TCP 217.202.68.28:1157 209.85.135.99:80 ESTABLISHED
TCP 217.202.68.28:1161 213.254.17.17:80 TIME_WAIT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1041 *:*
UDP 0.0.0.0:1042 *:*
UDP 0.0.0.0:1058 *:*
UDP 0.0.0.0:4500 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1900 *:*
UDP 217.202.68.28:123 *:*
UDP 217.202.68.28:1900 *:*

C:\netstat -o
Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato PID
TCP xp:1152 localhost:1153 ESTABLISHED 3868
TCP xp:1153 localhost:1152 ESTABLISHED 3868
TCP xp:1154 localhost:1155 ESTABLISHED 3868
TCP xp:1155 localhost:1154 ESTABLISHED 3868
TCP xp:1157 mu-in-f99.google.com:http ESTABLISHED 3868
TCP xp:1161 213.254.17.17:http TIME_WAIT 0

[Alberto]

E' un Remote Access Dialer

Su come ti sia entrato in casa ... non lo so ... probabilmente ce lo hai portato con la navigazione internet, il firewall c'entra poco.

[Stupido_ma_non_recidivo]

Assomigli proprio ad uno che conosco io.. gh

cmq, si so cos'è, il discorso che il firewall è settato per bloccarlo... ma non lo fa, o meglio, compare l'avviso che lo blocca, ma evidentemente passa, o cmq qualcosa fa.

Il problema è che lui invia pacchetti , che pur non essendo parecchio pesanti, per il tipo di connessione che sfrutto, bastano e avanzano.

Conosci qualche software di diagnostica particolare per questo genere di problema?

[giancarlo31]

Si tratta di una funzione di Windows XP solitamente impostata di default che consente di utilizzare la connessione automatica se richiesta da determinati siti o IP.
Per ulteriori info guarda questa pagina

http://www.kellys-korner-xp.com/xp_modem.htm

si dovrebbe disabilitare vedi immagine e ripulire il registro puoi anche seguire questo editoriale:

http://www.microsoft.com/italy/techn...i/spyware.mspx

[Stupido_ma_non_recidivo]

Per la comodità di tutti, o dei più.. che dir si voglia..

il worm che si appiccica a quel pacchetto di winzoz, di nome rasautou.exe.
è win32.hijack