Malwarebytes avisando sobre site/IP malicioso

gabriel43 · 11 de agosto de 2010

O programa malwarebytes bloqueou varias invasões ao meu pc e indica o ip do site malicioso. Pergunto como saber que site é, sabendo o ip?

Qual o perigo se eu colocar o ip malicioso na barra de endereços do browser para tentar entrar no site? Tem como enviar um recado pra esse site?

marcmira · 11 de agosto de 2010

O programa malwarebytes bloqueou varias invasões ao meu pc e indica o ip do site malicioso. Pergunto como saber que site é, sabendo o ip?
Qual o perigo se eu colocar o ip malicioso na barra de endereços do browser para tentar entrar no site? Tem como enviar um recado pra esse site?

geralmente os sites costumam ter um nome amigavel , raros casos de sites legitimos que se acessam inicialmente pelo seu ip .

Dependendo da configuração do seu antivirus ele nao vai deixar você nem abrir ele , e qual o objetivo de mandar um recado pro site?

O firefox por exemplo tem um recurso chamado web of trust , ou WOT , que pega as classificacoes de quem acessou aquele site e se ele e mal visto , bloqueia , e se voce confia no site e acessa-lo , e por sua conta .

espero ter ajudado.

Phin3as Phr3ak · 12 de agosto de 2010

O programa malwarebytes bloqueou varias invasões ao meu pc e indica o ip do site malicioso. Pergunto como saber que site é, sabendo o ip?
Qual o perigo se eu colocar o ip malicioso na barra de endereços do browser para tentar entrar no site? Tem como enviar um recado pra esse site?

olha so amigao pode ser que voce esteja infectado e algum arquivo malicio esta tentando fazer a conexao com o site em questao para fazer down de mais arquivos ou enviar suas informaçoes. entrar no site deve ser extremamente perigoso. eu nao faria isso e ainda digo que seria melhor voce ir na ala de remoçao e pedir uma verificaçao para o pessoal por la.

gabriel43 · 12 de agosto de 2010

olha so amigao pode ser que voce esteja infectado e algum arquivo malicio esta tentando fazer a conexao com o site em questao para fazer down de mais arquivos ou enviar suas informaçoes. entrar no site deve ser extremamente perigoso. eu nao faria isso e ainda digo que seria melhor voce ir na ala de remoçao e pedir uma verificaçao para o pessoal por la.

O ip do site é: 84.16.228.202, da pra descobrir o que é? Mas tenha cuidado!

Henrique - RJ · 13 de agosto de 2010

O ip do site é: 84.16.228.202, da pra descobrir o que é? Mas tenha cuidado!

Parece que está fora do ar (21:05)

Esse alerta do Malwarebytes não é o ping ?

gabriel43 · 13 de agosto de 2010

Parece que está fora do ar (21:05)
Esse alerta do Malwarebytes não é o ping ?

Fui a ala de remoção e apliquei o bankerfix conforme sujeriram lá. Havia 3 arquivos infectados e removidos pelo bankerfix, AV.exe, SERVICES.exe e SIDEBAR. Mas ainda persiste a informação do malwaresbytes."site malicioso, ip=84.16.228.202, bloqueado com sucesso. O que você quer dizer com relação ao ping? Não sou perito no assunto.

Linio Alan · 13 de agosto de 2010

O IP 84.16.228.202 pertence ao país da Alemanha, pertencente à um servidor também Alemão, na verdade uma empresa de hosting (hospedagem): a NETDirect.

Informações:

inetnum: 84.16.228.0 - 84.16.229.255
netname: NETDIRECT-NET
descr: netdirekt e.K.
remarks: INFRA-AW
country: DE
admin-c: WW200-RIPE
tech-c: SR614-RIPE
status: ASSIGNED PA
mnt-by: NETDIRECT-MNT
mnt-lower: NETDIRECT-MNT
mnt-routes: NETDIRECT-MNT
source: RIPE # Filtered

person: Wiethold Wagner
address: netdirekt e. K.
address: Kleyer Strasse 79 / Tor 14
address: 60326 Frankfurt
address: DE
phone: +49 69 90556880
fax-no: +49 69 905568822
abuse-mailbox: [email protected]
nic-hdl: WW200-RIPE
mnt-by: NETDIRECT-MNT
source: RIPE # Filtered

person: Simon Roehl
address: netdirekt e. K.
address: Kleyer Strasse 79 /Tor 14
address: 60326 Frankfurt
address: DE
phone: +49 69 90556880
fax-no: +49 69 905568822
abuse-mailbox: [email protected]
nic-hdl: SR614-RIPE
mnt-by: NETDIRECT-MNT
source: RIPE # Filtered

% Information related to '84.16.224.0/19AS28753'

route: 84.16.224.0/19
descr: netdirect Frankfurt, DE
origin: AS28753
org: ORG-nA8-RIPE
mnt-lower: NETDIRECT-MNT
mnt-routes: NETDIRECT-MNT
mnt-by: NETDIRECT-MNT
source: RIPE # Filtered

organisation: ORG-nA8-RIPE
org-name: netdirect
org-type: LIR
address: netdirekt e. K.
Kleyer Strasse 79 / Tor 14
60326 Frankfurt
Germany
phone: +49 69 90556880
fax-no: +49 69 905568822
admin-c: SR614-RIPE
admin-c: WW200-RIPE
mnt-ref: NETDIRECT-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered
% Information related to '84.16.228.0 - 84.16.229.255'

Como trata-se de um servidor de hosting, provavelmente este IP caiu em uma black-list (lista negra) de SPAM internacional, algo altamente provável de ocorrer com um IP de um hosting server, que facilmente pode ser usado (pelo contratante) para inúmeros atos ilícitos, desde criação e controle de botnets (rede de PCs zumbis) até o simples ato de SPAM ou mesmo phishing.

O que você pode fazer? Permitir ao MBAM ou qualquer outro software de proteção instalado no seu sistema -- principalmente o Firewall -- bloqueando este IP, que no seu caso obviamente esta escutando (ou "sniffando") as portas, procurando brechas para acesso não autorizado. Permanecendo com suas configurações em dia, não há nada com o que preocupar-se.

Phin3as Phr3ak · 13 de agosto de 2010

sniffar e capturar pacotes para posterior interpretação do conteudo. ocorre na obscuridade e nao em tentativas de conexao remota.

Mas ainda persiste a informação do malwaresbytes."site malicioso, ip=84.16.228.202, bloqueado com sucesso.

se ainda persiste existe algum bicho ai tentando comunicaçao com o site em questao. ja que postou na ala de remoçao aguaarde os analistas, eles irao resolver o problema.

Linio Alan · 13 de agosto de 2010

Caro Phin3as Phr3ak,

A captura de pacotes esta sim muitas vezes relacionadas à tentativa de acesso remoto por parte do intruso (craker), que pode capturar os pacotes e, após leitura dos mesmos fazer a captura de senhas diversas, entre elas as senhas do sistema e muitas outras. Sim ocorrem na obscuridade, mas não necessariamente significa que programas como o Malwarebytes Antimalware não possa defender: você estaria duvidando da capacidade do aplicativo se estiver excluindo esta possibilidade.

Você leu, mas não interpretou minha mensagem #7.

Edit.: gabriel43 como já recomendado, abra seu tópico na área de Remoção de Malware de acordo com as Regras daquela mesma área SE você ainda estiver inseguro depois da minha explicação. E, se mesmo após o tratamento do Analista você tiver dúvidas, entre em contato pedindo a reabertura do seu tópico.

Att,

Spider -Moderador

Equipe Clube do Hardware

_____________________