Resultados 1 al 13 de 13

ACK storm

  1. #1 ACK storm 
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.773
    Descargas
    31
    Uploads
    8
    No entendi lo que significaba este concepto hasta antes de ayer.
    He tenido desagradables experiencias con los troyanos estos dias, y hoy me ha llegao un correo de [email protected] dicciendo que el antivirus nosecuantos (creo que kaspery) habia detectado un troyano en un e-mail mandado desde mi direccion de correo.
    Yo no he mandao esto, pero he tenido el firewall a toda caña porque trataba de conectarse a la ip 216.74.57.203:HTTP.
    Creo que ha sido una tormenta ACK. ¿Puede ser?
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Mar 2004
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    A mi con el whois de ripe para esa IP me sale esto:

    inetnum: 216.74.0.0 - 216.74.63.255
    netname: XOXO-BLK-21
    descr: XO Communications
    country: US

    Vamos que el nombre del net tiene guasa....

    El tracert no me saca de dudas.

    ge1-2.CDR2.DC-Irvine-CA.us.xo.net

    yo no suelo abrir los correos que indican anomalias etc.. puede que por allí te entrara el gusarapo.

    Me ha picado la curiosidad, investigaré un poco
    Citar  
     

  3. #3  
    Emeritus HH-team Avatar de TseTse
    Fecha de ingreso
    Apr 2002
    Ubicación
    Metaverso
    Mensajes
    3.284
    Descargas
    1
    Uploads
    0
    A ver si te puedo explicar brevemente en que consite un 'ACK Storm', puesto que está relacionado directamente con el 'Hijacking' (http://mtechit.com/concepts/session_hijacking.html) debrias informate sobre él.

    Volviendo al tema, se envia un paquete con una dirección de un cliente y el servidor responde con un ACK (acknowledgement) a dicho cliente, el cliente al no estar esperando dicha respuesta, responde con otro ACK al servidor, y así sucesivamente, los dos hosts se envian ACK.

    Revisa tu sistema con un antivirus actualizado, en mi opinión Kaspersky, y busca virus, i-worms, troyanos, etc....

    TseTse
    ͎T͎͎s͎͎e͎͎T͎͎s͎͎e͎
    Citar  
     

  4. #4  
    Iniciado
    Fecha de ingreso
    Mar 2004
    Mensajes
    6
    Descargas
    0
    Uploads
    0
    A lomejor alguien se ha hecho pasar por ti (al mandar el troyano) poniendo tu email en vez del suyo, esto se llama Email Forging y es relativamente facil una vez que encunetras un servidor que te deje (normalmente con que no te pida contraseña es suficiente)
    Citar  
     

  5. #5  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.773
    Descargas
    31
    Uploads
    8
    Bien, vamos por partes. Me he cargao el troyano, pero los mensajes del tipo: "Here is your file" o "This is for you", con remitentes desconocidos siguen llegando.
    No puedo bloquearlos, ya que me llegan con direcciones falsas de @able.com, @hotmail.co, @terra.es......
    Tengo el AVG Antivir como antivirus, teno el ZOneAlarm de cortafuegos, y el AD-ware, y entre los tres me han hecho un buen papel hasta ahora.
    No se, quiza deberia meter a todos mis conactos y rechazar a todos lo demas correos.


    PD: SIgo sin saber hacer que me lleguen los correos como txt y no como html en el Explorer 5.5.

    PD2: Gracias a todos
    Citar  
     

  6. #6  
    Emeritus HH-team Avatar de TseTse
    Fecha de ingreso
    Apr 2002
    Ubicación
    Metaverso
    Mensajes
    3.284
    Descargas
    1
    Uploads
    0
    ¿Que programa usas para recibir el correo? Para decirte como ver los mensajes en texto plano.
    Y decirte como crear reglas para que no te sigan llegando.
    Yo cambiaria el Ad-Aware por el Spybot - Search & Destroy.

    TseTse
    ͎T͎͎s͎͎e͎͎T͎͎s͎͎e͎
    Citar  
     

  7. #7  
    Medio
    Fecha de ingreso
    Nov 2001
    Ubicación
    Madrid
    Mensajes
    98
    Descargas
    0
    Uploads
    0
    buenas, no debes preocuparte por los mensajes que te lleguen diciendo que estas enviando virus, los virus de ahora se inventan tanto las direcciones de origen como las de destino, si tienes algún colega que tenga tu dirección y que este infectado con cierto virus, ese virus se enviara con las direcciones que encuentre en la maquina infectada colocando aleatoriamente direcciones de origen y destino o incluso cogiendo el dominio de la maquina infectada y creando aleatoriamente direcciones de correo pero con tu dominio. Para evitar muchas infecciones procura no usar outlook.... o bien configuralo bien y actualiza tanto el outlook como el explorer
    Citar  
     

  8. #8  
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.773
    Descargas
    31
    Uploads
    8
    Bien uso el outlook express 5.5.
    Mirare de cambiar el ad-aware, gracias Tse Tse.
    Citar  
     

  9. #9  
    Administrador Foros HH
    Fecha de ingreso
    Nov 2001
    Ubicación
    Spain
    Mensajes
    2.235
    Descargas
    0
    Uploads
    0
    Perdona TseTse, si lo he entendido bien dices que el equipo A envia al B un ack con la direccion del C, por lo que B, al no estar esperando ningun ACK envia un ACK al ordenador C y asi uno al otro? Seguro que estoy equivocado pero creo que el ordenador B envia al C un RST/ACK.
    Saludos
    Todos desean saber, pero pocos pagar el trabajo que vale.

    [[NORMAS DEL FORO]]
    Citar  
     

  10. #10  
    Emeritus HH-team Avatar de TseTse
    Fecha de ingreso
    Apr 2002
    Ubicación
    Metaverso
    Mensajes
    3.284
    Descargas
    1
    Uploads
    0
    No lo has entendido o no me he explicado, me refiero a que A envia a través de B un ACK con la dirección de B para C y C responde a B. Ya que se comenta de troyanos en el equipo. ¿RST/ACK es la respuesta normal prevista a un SYN no?

    Creo que dices lo mismo que yo, aunque con tanto A B C parece esto un periodico xD

    TseTse
    Última edición por TseTse; 29-03-2004 a las 22:24
    ͎T͎͎s͎͎e͎͎T͎͎s͎͎e͎
    Citar  
     

  11. #11 Infeccion? No creo 
    Iniciado
    Fecha de ingreso
    Feb 2004
    Ubicación
    ESPAÑA
    Mensajes
    48
    Descargas
    0
    Uploads
    0
    Hola yo tambien estoy como Clarinetista. Recibo un monton de correos con asuntos en ingles. No creo que yo este infectado ya que no he abierto ninguno y ademas todos esos correos el antivirus me los detecta.

    Tengo tambien un cortafuegos y no dejo enviar nada sin mi permiso, ademas en mi libreta de direcciones tengo cuentas de correo falsas para que me entere si se autoenvia algo.

    El problema no creo que sea que Clarinetista tenga virus. Tambien comenta que ha eliminado un troyano pero no creo que tenga que ver con el tema de los correos.

    Tse Tse, comentas que se use Spybot - Search & Destroy, yo lo tengo pero me parece que es demasiado bestia. No lo he usado amenudo (no lo conozco mucho) pero una vez me detecto algunos elementos que consideraba peligrosos pero a mi corto entender eran elemntos importantes y otros que no creo que tengan ningun troyano. Quiza este equivocado. ¿Me podrias aclarar esto?

    Muchas gracias y un saludo a todos. A cuidarse todos
    0===[]::::::Nau:::::>
    Citar  
     

  12. #12  
    Emeritus HH-team Avatar de TseTse
    Fecha de ingreso
    Apr 2002
    Ubicación
    Metaverso
    Mensajes
    3.284
    Descargas
    1
    Uploads
    0
    El Spybot se usa para detectar spyware (software espia), adware (software publicitario) y esas cosas. Es un programa orientado a la privacidad del usuario. El unico problema que te puede ocurrir, es que al eliminar algun spyware la aplicación asociada a este no te funcione, esto es debido a que muchos programadores se afilian a dichas aplicaciones (gator, etc...) y estas se instalan con su aplicación.
    No sé si era esto lo que preguntabas, de no ser así... un, dos tres, pregunte otra vez

    TseTse
    ͎T͎͎s͎͎e͎͎T͎͎s͎͎e͎
    Citar  
     

  13. #13  
    Iniciado
    Fecha de ingreso
    Mar 2004
    Mensajes
    5
    Descargas
    0
    Uploads
    0
    Algo parecido ocurre con el dichoso Adcreative.tribuneinteractive. Abre el 110 y el Spaybot no indica nada. La unica defensa que hay es cambiar a localhost el registro del archivo host y ponerle, una vez salvado, como de solo lectura. O si sabes que clave tiene en el registro, pues eso, matarla.
    Si entras como un usuario normal, todo va bien, pero si entras como admin, puede que el dichoso archivo host vuelva a cambiar.
    Rebuscando por la red encontré ADSGone que si me detectó y solucionó el problema.

    Saludos a todos.
    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 14-10-2008, 14:54
  2. Virus "Storm"
    Por victor_2010 en el foro OFF-TOPIC
    Respuestas: 1
    Último mensaje: 25-09-2008, 22:32

Marcadores

Marcadores