[Risolto] Virus sulla cartella condivisa con windows

[pfp72]

Non so se sono off-topic, spero di no....
espongo comunque il mio problema.

Ho due pc collegati tra loro col cavo incrociato. Il principale è dual-boot con ubuntu 9.10, una scheda di rete collegata a un modem adsl e un'altra scheda di rete collegata al secondo pc che è un portatile con windows xp. Nel pc principale c'è un disco fisso con una partizione Ntfs che utilizzo anche quando (raramente) dal grub faccio partire windows xp. In questo disco ho creato una cartella che ho condiviso tramite shares-admin. Le connessioni funzionano, condivido stampante, connessione ad internet e la cartella di cui sopra.
Il problema è che in questa cartella condivisa, compaiono molto frequentemente dei file (hxpsdd.exe o altri .exe con nomi strani) riconosciuti come virus da clamav. Visti dal pc con windows questi eseguibili hanno un icona in cui figura il pinguino di linux. Se li cancello ricompaiono e comunque si creano anche se il pc con windows è spento.

La mia domanda è: posso evitare tutto ciò? Per stabilire la connessione tra i due pc ho seguito questa guida http://ubuntrucchi.wordpress.com/2008/0 ... -internet/
è forse un sistema che può creare problemi di sicurezza? Devo creare la cartella condivisa in un'altra posizione?

grazie a chi mi sa dare un aiuto

ciao, pierfabio

[Mdfalcubo]

Clamav genera spesso "falsi positivi", cioè rileva come virus file che non sono affatto virus. Tienilo presente. Fermo restando che ti conviene fare una scansione anche da Windows, se quei file sono .exe non possono essere file di Linux.

[pfp72]

...forse virus non lo sono, resta il fatto che non dovrebbero comparire dei file senza alcun motivo, o almeno non piace a me.
Sotto windows i due pc hanno l'antivirus....

[Mdfalcubo]

E quei file vengono rilevati dagli antivirus come virus?

[pfp72]

le scansioni vengono fatte ogni giorno alla stessa ora, ma ho sempre cancellato i file subito per cui non fanno a tempo a individuarli

[Mdfalcubo]

Beh, togliti lo sfizio, così verifichiamo se sono davvero malevoli o no: prima di cancellarli scansionali con l'antivirus.

[pfp72]

proverò...

p.s. se vuoi te li mando così provi a eseguirli con Wine!!!

[Mdfalcubo]

troppo gentile

[pfp72]

allora:

i file creati nella cartella in questione non vengono riconosciuti come virus dall'antivirus del Pc portatile .
Per l'esattezza sono i seguenti file:

hxpsdd.exe
lsfuuf.exe
khq
khw

allego inoltre le icone estratte dai sue eseguibili.

Ripeto: perché si ricreano ogni volta che li cancello????
Qualcuno sa cosa sono?

[pfp72]

...ulteriore aggiornamento

avg su windows rileva i file .exe come trojan.....

Please HELP!!!!

[mircobru]

Ho lo stesso problema solo nella mia rete non ho pc windows ma uno con wine. Nelle cartelle condivise di tutti e due i pc trovo dei stani files:
khw 8 byte
yfgxch.exe 865202 byte

Ho provato a scandirli con avast aggiornato su ubuntu ma non rileva nulla.
spero qualcuno riesca a capire cosa sia che così non sono molto tranquillo...

[kiroken_]

probabilmente è windows a generarli. Chi ha concretamente la directory contenente i file condivisi? windows o ubuntu?

[il_muflone]

ciao, sono l'autore di quella guida.
visto che hai dovuto attivare la condivisione della connessione internet suppongo tu utilizzi la connessione via modem non via router altrimenti non sarebbe stato necessario condividerla.

inoltre pare evidente che utilizzi le condivisioni cartelle con windows

l'errore in tutto cio` quindi e` che hai attivato samba aperto a tutto il mondo, quindi chiunque dall'esterno e` libero di depositarti virus nella cartella condivisa.

cio` che devi fare quindi e`:
a) configurare samba per essere in ascolto soltanto sulla rete locale e non su internet modificando la riga interfaces a 127.0.0.0/8 eth0
b) installare un firewall che impedisca l'accesso da internet alle porte di samba

scegli quella che preferisci

[pfp72]

... sono d'accordo che in qualche modo samba (o chi per esso) apre la cartella in questione a tutto il mondo, resta però il fatto che non so come fare.
Soluzione "a" : la riga interfaces a 127.0.0.0/8 eth0 è gia presente nel file configurazione di samba

per quanto riguarda la soluzione "b" vorrei chiedere una cosa. Firestarter prevede la possibilità di condividere la connessione internet ma in passato a me ha dato qualche problema, motivo per il quale ho seguito la guida per condividere la connessione internet. Se adesso installo firestarter e non abilito la condivisione della connessione, può creare qualche problema?

p.s. la directory risiede in un secondo disco fisso ntfs che non credo appartenga a nessuno in particolare; è nel pc principale che è dual boot ubuntu - windows.
Ad ogni buon conto però, la cartella in questione l'avevo cancellata e spostata nella partizione EXT4 di ubuntu.... i virus compaiono lo stesso... o meglio, comparivano perché l'ho cancellata del tutto. Attualmente "condivido" i file tramite copia/incolla da chiavetta usb

[il_muflone]

posta qui il contenuto di /etc/samba/smb.conf
per impostazione predefinita la riga interfaces del punto a) e` disattivata

[pfp72]

....mi sa che hai ragione, c'è il punto e virgola in testa alla riga

;  interfaces = 127.0.0.0/8 eth0

[il_muflone]

assicurati che la tua rete utilizzi eth0, se non dovesse essere indica il nome della tua scheda di rete.
quindi togli il punto e virgola e riavvia samba

[pfp72]

ieri sera poi ho provato a levare il punto e virgola ma come per magia, dopo un pò sono comparsi dei file "strani"...
Me è così automatico che in una cartella condivisa, anche se non protetta, compaiano dei file indesiderati? Può essere un virus sotto windows?
Questa sera proverò ad installare firestarter... sperando di non levare la condivisione della connessione a internet.

[il_muflone]

hai riavviato samba dopo la modifica del file smb.conf?
se l'hai fatto posta il risultato di

Codice: Seleziona tutto

netstat -nat | grep -i LISTEN

una condivisione non protetta è sempre esposta alla proliferazione di virus, perché credi che da XP SP2 abbiano introdotto il firewall di serie?

comunque se configuri samba a dovere non ti serve un firewall.

[WillyLord]

Salve,
anch'io sono vittima dello stesso cavallo di troia. Vi confermo che quando appare il file "khw" nelle cartelle condivise si tratta di un virus di rete.

Non ho ancora capito come risolverlo.

Scrivo con la speranza che ci siano novità.