[MASOCH-L] Vírus enviando spam

Durval Menezes durval at tmp.com.br
Fri Aug 29 18:27:14 -03 2008 

Prezado Welliton,

Provavelmente este malware esta' se ocultando usando tecnicas de 
rootkit. Vai ser dificil "fragra-lo" se ele ja' estiver rodando,
pois ele potencialmente pode falsificar todas as informacoes que
os demais programas veem.

Recomendo voce dar boot na maquina a partir de uma midia "limpa"
(ex: um CDROM com o UBCD: http://www.ubcd4win.com/) e entao usar
um bom antivirus (como os que veem no UBCD) para verificar o HD.

Uma alternativa e' voce retirar o HD desta maquina e coloca-lo 
como HD secundario (nao boot) em outra maquina, e entao usar 
um antivirus instalado no HD desta maquina para verifica-lo.

Boa sorte...

-- 
   Durval Menezes (durval AT tmp DOT com DOT br, http://www.tmp.com.br/)

On Fri, Aug 29, 2008 at 05:09:17PM -0300, Welliton Sá wrote:
> Prezados,
> 
> administro um servidor de e-mails e recentemente comecei a ter  
> problemas com muitos spams. Após análise das mensagens, identifiquei  
> que as mensagens estavam sendo enviadas pela máquina de um cliente  
> meu, provavelmente contaminada com vírus, que despejava milhares de  
> e-mails em poucos minutos no meu servidor, e-mails com conteúdo  
> variável e sem nenhum padrão. Dessa forma, não consigo criar filtros  
> no spamassassin. A primeira vez que o problema ocorreu, após várias  
> tentativas de remoção de vírus e spywares da máquina do cliente, tive  
> que mandar formatá-la. A questão é que o problema voltou a ocorrer,  
> dessa vez solicitei ao cliente que trouxesse o PC ao nosso laboratório  
> para tentarmos identificar e remover esse vírus. Fiz algumas análises  
> durante o momento em que o PC estava enviando as mensagens e não  
> consegui identificar nenhum processo ou conexão TCP suspeita. Pelo  
> netstat, não é exibida nenhuma conexão ativa, utilizei o curport e ele  
> não conseguiu identificar nenhum processo usando smtp, não exibiu  
> sequer uma conexão em uso.
> Estou recorrendo aos amigos da lista pois já estou sem opção, não  
> posso simplismente manda formatar a máquina de todos os clientes que  
> pegarem esse vírus. Alguém na lista já passou ou está passando por  
> problema semelhante?
> -- 
> Atenciosamente,
> 
> 
> Welliton Sá
> Suporte Técnico
> --------------------------------------------------------------------------------
> ----------
> www.infonet.com.br |  79 21068000 | Aracaju - Sergipe - Brasil
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list