[ml] svchost.exe sospetto

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2006 ml@sikurezza.org
Soggetto: [ml] svchost.exe sospetto
Mittente: Marco
Data: Thu,  7 Sep 2006 13:20:19 +0200 (CEST)

ciao a tutti, ho per le mani una macchina che e' stata compromessa sicuramente. adesso e' fuori rete e verra' spianata. ma, per interesse mio, ci stavo dando un'occhiata. tra le varie cose (adunanza, emule, cain&abel e amici vari) c'e' un eseguibile che e' chiamato svchost.exe -ovviamente NON quello di sistema - che spesso (ogni 20/30 minuti direi) lancia due shell che in un attimo scompaiono. Fa riferimento a C:/WINDOWS/Web/tool/svchost.exe che, ovviamente, fa parte delle cose caricate sul server dal tipo che l'ha bucato.

Domanda. Come posso fare a capire COSA fa quell'eseguibile?
Non ho idee al riguardo, siccome eseguendolo mi chiede solo:

cmd line:

e rimane in attesa, mentre immagino che da qualche parte sia chiamato con dei parametri. purtroppo non conosco affatto bene windows e sono un po' in crisi =)

grazie & mille per ogni aiuto e suggerimento

marco

Messaggi successivi:
- Re: [ml] svchost.exe sospetto, Micky
- Re: [ml] svchost.exe sospetto, Claudio Broglia
- Re: [ml] svchost.exe sospetto, Andrea Purificato - bunker

Data:
- precedente: Re: [ml] Re: Attacco alla rete Tor, Marco A. Calamari
- successivo: [ml] Porte in acolto, Marco A. Calamari
- indice

Argomento:
- precedente: Re: [ml] Re: Attacco alla rete Tor, Marco A. Calamari
- successivo: Re: [ml] svchost.exe sospetto, Andrea Purificato - bunker
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005