viernes, 25 de septiembre de 2009

Que peligro con los troyanos !!

Si recordais mi post

http://pofesional.blogspot.com/2009/09/barracuda-y-emailregorg.html

Explicaba un problema que tenía recientemente, en un cliente en el que misteriosamente nos empezaban a rebotar correos las grandes corporaciones. Yo lo achacaba a nuestra ip pública, que de alguna manera entendía que había entrado en lista negra sin motivo. Pues bien, hoy continua el folletín. Este mismo cliente me llama esta semana, quejándose de que un pc iba muy lento al abrir documentos de office, que la ADSL le iba fatal, y alguna cosilla más. Total, reviso ADSL, y los pings son eternos, por lo que deduzco un problema en la ADSL, reviso Service Packs de Office, estos son antiguos, total, que me acerco esta mañana a validar in situ. Algo me pica en la nariz, como a Vickie el Vikingo, y lo primero que hago, es irme a mirar el log del firewall y el monitor de conexiones. QUE MIEDO !! miles de salidas al puerto 25 desde el pc donde estoy sentado, es decir, un troyano en el pc. El netstat, no hace más que verificar el diagnóstico. Total, que al final me toca limpiar el pc, utilizo la maravillosa herramienta de malwarebytes

http://www.malwarebytes.org/mbam.php

Esta detecta un bicho (mirando en el registry, se ve claro también), limpiamos, y como medida de precaución, bloqueo el puerto 25, y solo dejo salida contra la ip de mi proveedor SMTP. Es un poco drástico, porqué si el proveedor cambia la IP del servidor, puedes tardar en caer en el tema (no puedo poner un host, solo una IP en mi firewall Sonicwall), pero me parece que es una medida que voy a hacer extensiva (yo siempre hago relay SMTP, incluso en Exchange).

Lo curioso del caso, es que parece que esta infección data del 31.08.09, y justo los problemas de rechazo de correos empiezan por esta fecha. Buff, parece que los "genios" antispam trabajan mejor de lo que yo pensaba...

No hay comentarios: