No entendi lo que significaba este concepto hasta antes de ayer.
He tenido desagradables experiencias con los troyanos estos dias, y hoy me ha llegao un correo de [email protected] dicciendo que el antivirus nosecuantos (creo que kaspery) habia detectado un troyano en un e-mail mandado desde mi direccion de correo.
Yo no he mandao esto, pero he tenido el firewall a toda caña porque trataba de conectarse a la ip 216.74.57.203:HTTP.
Creo que ha sido una tormenta ACK. ¿Puede ser?

A mi con el whois de ripe para esa IP me sale esto:

inetnum: 216.74.0.0 - 216.74.63.255
netname: XOXO-BLK-21
descr: XO Communications
country: US

Vamos que el nombre del net tiene guasa....

El tracert no me saca de dudas.

ge1-2.CDR2.DC-Irvine-CA.us.xo.net

yo no suelo abrir los correos que indican anomalias etc.. puede que por allí te entrara el gusarapo.

Me ha picado la curiosidad, investigaré un poco

A ver si te puedo explicar brevemente en que consite un 'ACK Storm', puesto que está relacionado directamente con el 'Hijacking' (http://mtechit.com/concepts/session_hijacking.html) debrias informate sobre él.

Volviendo al tema, se envia un paquete con una dirección de un cliente y el servidor responde con un ACK (acknowledgement) a dicho cliente, el cliente al no estar esperando dicha respuesta, responde con otro ACK al servidor, y así sucesivamente, los dos hosts se envian ACK.

Revisa tu sistema con un antivirus actualizado, en mi opinión Kaspersky, y busca virus, i-worms, troyanos, etc....

TseTse

A lomejor alguien se ha hecho pasar por ti (al mandar el troyano) poniendo tu email en vez del suyo, esto se llama Email Forging y es relativamente facil una vez que encunetras un servidor que te deje (normalmente con que no te pida contraseña es suficiente)

Bien, vamos por partes. Me he cargao el troyano, pero los mensajes del tipo: "Here is your file" o "This is for you", con remitentes desconocidos siguen llegando.
No puedo bloquearlos, ya que me llegan con direcciones falsas de @able.com, @hotmail.co, @terra.es......
Tengo el AVG Antivir como antivirus, teno el ZOneAlarm de cortafuegos, y el AD-ware, y entre los tres me han hecho un buen papel hasta ahora.
No se, quiza deberia meter a todos mis conactos y rechazar a todos lo demas correos.


PD: SIgo sin saber hacer que me lleguen los correos como txt y no como html en el Explorer 5.5.

PD2: Gracias a todos

¿Que programa usas para recibir el correo? Para decirte como ver los mensajes en texto plano.
Y decirte como crear reglas para que no te sigan llegando.
Yo cambiaria el Ad-Aware por el Spybot - Search & Destroy.

TseTse

buenas, no debes preocuparte por los mensajes que te lleguen diciendo que estas enviando virus, los virus de ahora se inventan tanto las direcciones de origen como las de destino, si tienes algún colega que tenga tu dirección y que este infectado con cierto virus, ese virus se enviara con las direcciones que encuentre en la maquina infectada colocando aleatoriamente direcciones de origen y destino o incluso cogiendo el dominio de la maquina infectada y creando aleatoriamente direcciones de correo pero con tu dominio. Para evitar muchas infecciones procura no usar outlook.... o bien configuralo bien y actualiza tanto el outlook como el explorer

Bien uso el outlook express 5.5.
Mirare de cambiar el ad-aware, gracias Tse Tse.

Perdona TseTse, si lo he entendido bien dices que el equipo A envia al B un ack con la direccion del C, por lo que B, al no estar esperando ningun ACK envia un ACK al ordenador C y asi uno al otro? Seguro que estoy equivocado pero creo que el ordenador B envia al C un RST/ACK.
Saludos

No lo has entendido o no me he explicado, me refiero a que A envia a través de B un ACK con la dirección de B para C y C responde a B. Ya que se comenta de troyanos en el equipo. ¿RST/ACK es la respuesta normal prevista a un SYN no?

Creo que dices lo mismo que yo, aunque con tanto A B C parece esto un periodico xD

TseTse

Hola yo tambien estoy como Clarinetista. Recibo un monton de correos con asuntos en ingles. No creo que yo este infectado ya que no he abierto ninguno y ademas todos esos correos el antivirus me los detecta.

Tengo tambien un cortafuegos y no dejo enviar nada sin mi permiso, ademas en mi libreta de direcciones tengo cuentas de correo falsas para que me entere si se autoenvia algo.

El problema no creo que sea que Clarinetista tenga virus. Tambien comenta que ha eliminado un troyano pero no creo que tenga que ver con el tema de los correos.

Tse Tse, comentas que se use Spybot - Search & Destroy, yo lo tengo pero me parece que es demasiado bestia. No lo he usado amenudo (no lo conozco mucho) pero una vez me detecto algunos elementos que consideraba peligrosos pero a mi corto entender eran elemntos importantes y otros que no creo que tengan ningun troyano. Quiza este equivocado. ¿Me podrias aclarar esto?

Muchas gracias y un saludo a todos. A cuidarse todos

El Spybot se usa para detectar spyware (software espia), adware (software publicitario) y esas cosas. Es un programa orientado a la privacidad del usuario. El unico problema que te puede ocurrir, es que al eliminar algun spyware la aplicación asociada a este no te funcione, esto es debido a que muchos programadores se afilian a dichas aplicaciones (gator, etc...) y estas se instalan con su aplicación.
No sé si era esto lo que preguntabas, de no ser así... un, dos tres, pregunte otra vez :D

TseTse

Algo parecido ocurre con el dichoso Adcreative.tribuneinteractive. Abre el 110 y el Spaybot no indica nada. La unica defensa que hay es cambiar a localhost el registro del archivo host y ponerle, una vez salvado, como de solo lectura. O si sabes que clave tiene en el registro, pues eso, matarla.
Si entras como un usuario normal, todo va bien, pero si entras como admin, puede que el dichoso archivo host vuelva a cambiar.
Rebuscando por la red encontré ADSGone que si me detectó y solucionó el problema.

Saludos a todos.