Domanda Malware Estraneo si collega durante una prova di un exploit su metasploit

[zDanix]

Ciao ragazzi,
circa 4 ore fa io ed un mio amico stavamo cercando di infettare un altro nostro amico con una backdoor per fargli uno scherzo. Ho usato windows/meterpreter/reverse_tcp . Ad un certo punto ci dice che non può collegarsi al momento e che aveva impegni. Rassegnato, quindi, termino i vari processi che avevo attivi dimenticando msfconsole che è rimasto in esecuzione dopo il comando "exploit". Passano 15 minuti e noto sulla console che mi sono collegato a qualcuno. Inizialmente credevo fosse la mia "vittima" che senza dirmelo aveva scaricato e aperto il file. Faccio un sys info e capisco che non era lui quando catturo uno screen del suo desktop. La lingua del sistema era inglese, l'ora impostata sulle 6.59 AM se non erro. I file sul desktop sono abbastanza strani da quanto si può vedere nella foto. Ho provato a localizzare l'unico ip pubblico in quello sreenshot ed è risultato che fosse a Mosca. Sfortunatamente non ho potuto registrare da webcam o microfono perchè non me ne dava la possibiltà. Visto che sono un utente alle prime armi, la prima cosa che ho pensato è stata quella di spegnere il pc e riavviare il router per cambiare ip. Chi credete che possa essere stato? Un tizio qualunque che in qualche modo si è connesso per sbaglio o un hacker?

 

[xWasd]

Dove avevi uploadato la backdoor?

 

[zDanix]

Dove avevi uploadato la backdoor?

Mediafire

 

[xWasd]

La backdoor si collegava alla tua connessione?

 

[zDanix]

La backdoor si collegava alla tua connessione?

Si, ho utilizzato il mio ip pubblico. Ho fatto anche delle prove con altre persone che sono andate a buon fine.

 

[xWasd]

ho utilizzato il mio ip pubblico

Posso sapere come ti è venuta in mente l'idea ti utilizzare la tua connessione casalinga per infettare dei pc? Maledizione un minimo di inteliigenza!
Forse non sai che tu stai usando internet grazie ad un contratto firmato da te o i tuoi genitori (non so quanti anni tu abbia) fatto con un provider: l'isp, ogni volta che accendi il router, ti assegna un indirizzo ip che viene registrato insieme alla data e l'ora.
Non serve a niente spegnere e riaccendere il router perchè si, l'ip attuale cambia, ma l'isp ha registrato che tu, 5 minuti prima, stavi usando un determinato ip.
Spera che quella macchina che hai infettato non sia una sandbox di qualcuno perchè basta guardare le connessioni in entrata/uscita e il tuo ip compare in tutto il suo splendore

 

[zDanix]

Come ti ho detto, sono un principiante e comunque non è normale ciò che è successo perchè il mio ip pubblico l'avrei usato solo con la mia vittima a cui non sarebbe fregato nulla delle mie informazioni.

 

[xWasd]

Si ma hai tu hai caricato su mediafire una backdoor con il tuo ip, questo lo capisci?

 

[zDanix]

Si ma hai tu hai caricato su mediafire una backdoor con il tuo ip, questo lo capisci?

A chi frega di un file che si chiama bwduhybdwauyb.rar che neanche a cercarlo su google si trova?

 

[xWasd]

Frega a mediafire, che controlla tutti i file

 

[zDanix]

Grazie maestro xD

 

[xWasd]

E frega anche a chi ha aperto la tua backdoor, o "l'estraneo" come lo chiami tu

 

[zDanix]

Più che altro vorrei capire come e il perchè ha scaricato il mio file

 

[xWasd]

più che altro dovresti capire che potenzialmente lui ci mette 2 secondi e mezzo a denunciarti

 

[zDanix]

Più che altro penso che neanche lui sappia cosa sia successo ahaha. La prima volta che ho visto lo screenshot ho pensato: cosa sta facendo?

 

[wupper9800]

Roba da pazzi! In fondo sono famosi gli hacker russi....
Almeno hai rimosso il file malevolo da Mediafire?

 

[rolandoz]

Vista cosi mi sa tanto di Sandbox..

 

[xup]

Tramite che mezzo hai passato il link all'eseguibile al tuo amico?

 

[MyBB Engine]

http://www.cronyx.ru/about/ Ripperino, Malware Researchers adios baby.

 

[MyBB Engine]

Guarda i due lati positivi: La dove vai non ti servono bagagli hanno tutto loro: sbarre, saponette, tanto freddo neve ed altre sbarre. E poi la seconda cosa positiva: Un biglietto di sola andata per la russia 86.62.96.20 hanno delle belle prigioni a mosca.

 

[zDanix]

Tramite che mezzo hai passato il link all'eseguibile al tuo amico?

Tramite il server teamspeak privato del nostro clan.

 

[xup]

Quasi sicuramente siamo davanti ad una virtual machine, è possibile che il tuo amico abbia scaricato l'eseguibile e l'abbia uppato su qualche sito di analisi e cosi facendo il file sia finito su questa vm per analizzarlo (vedi ad esempio malwr)

 

[MyBB Engine]

Sono degli scammer, ho comprato dei convertitori

da loro ma ma non ti fanno convertire all'islam..
Potevano scriverlo...
ora che ci faccio con tutte ste bombe?
vendo bombe in pm rega' non me posso fa saltare in aria da cristiano che poi mi odiano..

 

[zDanix]

Ah.. se avessi qualcosa da fare per sistemare qualcosa ditemelo. ( Se si pu

Quasi sicuramente siamo davanti ad una virtual machine, è possibile che il tuo amico abbia scaricato l'eseguibile e l'abbia uppato su qualche sito di analisi e cosi facendo il file sia finito su questa vm per analizzarlo (vedi ad esempio malwr)

In quel caso dovrei lo stesso preoccuparmi?

 

[xup]

Ah.. se avessi qualcosa da fare per sistemare qualcosa ditemelo. ( Se si pu

In quel caso dovrei lo stesso preoccuparmi?

Sicuramente hai fatto una tro*ata a uppare il file su mediafire, ma se ne tu ne il tuo amico lo spreaddate non penso ci siano troppi problemi