i fatti magari mi smentiranno
, ma prendendo spunto da questa news di eraser
[LINK ],
ho come la sensazione che il PDM sarebbe riuscito a bloccare il
Warezov.AT senza bisogno di firme o altro.
Condizioni necessarie perchè sia valido quanto detto:
Registry guard + AAA attivi (tutte le voci...) e che NON SI SCAZZI ai pop-up (se su prompt for action)
Dalla descrizione del malware
(qui! ), si vede che:
Sotto system start-up, infatti, si trovano queste 2 chiavi (che sono proprio quelle incriminate...)
indicatori del fatto che, di nuovo, se non si scazza ai pop-up, di sicuro al reboot il warezov.at non parte.
Sulla 1° parte, l'impianto del virus vero e proprio nel sistema, cioè
anche qui ho i miei dubbi (devo cercare meglio, cmq....)
EDIT:
ho cercato meglio, e il t2serv.exe sarebbe "beccato in flagrante" (
anche perchè, fino ad ora si è visto solo il registry guard in azione, ma non il modulo AAA).
Prove:
Net-Worm.Win32.Mytob.t (dettagli )
Non appena lanciato, infatti, il worm si copia nella Windows system directory come "taskgmr32.exe"
%System%\taskgmr32.exe
Ta-dà:
L'es. è tratto da qui:
PDM_KIS 6.pdf
...........................................................
Il tutto, cosi' a pelle e SENZA alcun valore ufficiale dato che trattasi (
) di semplici deduzioni.
E ANDIAMO DI PDM E IN CUL@ ( 
) LE SIGNATURE!!!
