PrevX 2.0. rilevazione SWREG.EXE

[Riverside]

Leggendo sul Forum (l'ultima segnalazione in ordine di tempo, se non erro, riguardava Deneb) nei giorni passati avevo notato il fatto che, durante le scasioni che di norma facciamo eseguire agli utenti indetti, PrevX CSI rileva SWREG.EXE come infetto.
Questa sera, all'improvviso mi è accaduta la stessa cosa, con PrevX 2.0



Ho segnalato la questione a Marco (inviandogli, anche, l'exe in questione).
In attesa di ricevere, da Marco, maggiori info maggiori rispetto a quelle ricavate facendo analizzare l'exe su VirusTotal, per ora, ho bloccato, in Jail, il file in questione.
Qualche idea in proposito, nel frattempo?.

[GOLDRAKES]

Quote:

Originariamente inviato da Riverside

Leggendo sul Forum (l'ultima segnalazione in ordine di tempo, se non erro, riguardava Deneb) nei giorni passati avevo notato il fatto che, durante le scasioni che di norma facciamo eseguire agli utenti indetti, PrevX CSI rileva SWREG.EXE come infetto.
Questa sera, all'improvviso mi è accaduta la stessa cosa, con PrevX 2.0



Ho segnalato la questione a Marco (inviandogli, anche, l'exe in questione).
In attesa di ricevere, da Marco, maggiori info maggiori rispetto a quelle ricavate facendo analizzare l'exe su VirusTotal, per ora, ho bloccato, in Jail, il file in questione.
Qualche idea in proposito, nel frattempo?.

strano sto' dando una controllata ti faro' sapere

[IG0R]

rieccomi,
combofix o sistemscan nella migliore delle ipotesi
vundo nella peggiore
brutta la posizione del file

[Nuz]

Anch'io ho notato oggi che prevxcsi lo segnalava infetto ad un utente. Però dovrebbe essere il tool integrato in combofix o fixwareout o altri tool che ne fanno uso.

http://www.xs4all.nl/~fstaal01/swreg-us.html

[GOLDRAKES]

sembrerebbe proprio un trojan

[murack83pa]

Quote:

Originariamente inviato da Nuz

Anch'io ho notato oggi che prevxcsi lo segnalava infetto ad un utente. Però dovrebbe essere il tool integrato in combofix o fixwareout o altri tool che ne fanno uso.

http://www.xs4all.nl/~fstaal01/swreg-us.html

confermo e confermo quanto detto da riverside:

nn è la prima volta che capita, è già da un bel po di tempo che l'ho notato, e tutte le volte veniva individuato dopo l'utilizzo di combofix...

quelle volte che l'abbiamo fatto analizzare su virus total, ha dato risultati simili al tuo

x la precisione, fino all'ultima volta che è capitato (a mio ricordo) panda ancora nn lo rilevava....

aspettiamo news da Marco

[deneb87]

ho appena controllato, e la cosa è veramente strana, ha il sapore di un falso

a meno di una nuova supermega infezione che non fa nulla ai pc

(intanto ho appena controllato e me lo rileva sui pc dove mi pare di aver usato combofix su tutti).

inoltre, rimandando al mio thread, dopo averlo provato ad eliminare con avenger (con successo) ad un sucessivo (terzo o piu) riavvio è nuovamente comparso. ricordo infatti benissimo che dopo averlo cancellato con avenger prevxcsi non lo rivelava. ad un sucessivo riavvio si.

edit: ora che ci penso dopo averlo eliminato avevo fatto un altro giro con combofix ed è ritornato. ho trovato anche il file gmer.exe nella cartella system32 o.O

[Riverside]

Quote:

Originariamente inviato da IG0R

…… vundo nella peggiore

Puoi continuare, in eterno, ad esercitare le tue ridicole speranze che, il mio P.C., chissà per quale misteriosa ragione, possa essere infetto: la percentuale di possibilità, credimi, è meno di zero.

Quote:

Originariamente inviato da Nuz

Anch'io ho notato oggi che prevxcsi lo segnalava infetto ad un utente. Però dovrebbe essere il tool integrato in combofix .....

Infatti Nuz: ora, in considerazione del fatto che il tool in questione lo ho rimosso (ma ammettiamo, pure, che non fosse stato rimosso), nei due casi specifici, ovvero:
1) il mio, che ComboFix, lo ho rimosso (eppure PrevX mi rileva quel file come infetto);
2) quello dell'utente a cui facciamo installare il tool e da una scansione successiva eseguita con PrevX CSI.
Quindi, una volta che viene rilevato swreg.exe come infetto, come ci comportiamo?

[Nuz]

Io per ora tenderei a considerarlo un falso positivo. Ho visto che dalla scansione su virustotal solo 3/32 lo rilevano come sospetto, mi sembra poco.

Intanto faccio qualche prova sulla VM.

Edit: forse il problema sta nel fatto che il 28/01/2008 è stata rilasciata l'ultima versione:

Quote:

Updates:
28 january 2008 v 3.0.0.0:

* New: LINK and NULL functionality
* Changed the Administrator check on Vista to include SYSTEM in case this program is run in the SYSTEM context
* Changed a crash with username retrieval when the program runs as the user SYSTEM

[Riverside]

Quote:

Originariamente inviato da deneb87

....... ho trovato anche il file gmer.exe nella cartella system32

Il fatto è che, da quel che sto vedendo, questi tool lasciano tracce ovunque: prendiamo ad esempio, GMER:



E non è ancora finita: ne ho trovato un altro davvero carino (prima controllo e poi, nel caso allego).

[murack83pa]

ho fatto girare combofix, e puntualmente csi me l'ha rilevato......

[GOLDRAKES]

[edit]

[murack83pa]

x favore GOLDRAKES : nn c'è bisogno che quoti l'intervento precedente

allunghi solo il topic

[deneb87]

Quote:

Originariamente inviato da Riverside

Il fatto è che, da quel che sto vedendo, questi tool lasciano tracce ovunque: prendiamo ad esempio, GMER:

E non è ancora finita: ne ho trovato un altro davvero carino (prima controllo e poi, nel caso allego).

stesso risultato, ma credo che questi file di gmer li lasci sempre combofix.
ora prova a lanciare gmer su un pc pulito. e faccio una ricerca

[GOLDRAKES]

@ murack si me ne sono accorto

[Riverside]

Quote:

Originariamente inviato da GOLDRAKES

sono tools gratuiti è normale che lasciano tracce

Per favore togli almeno il link alle immagini, all'interno del quote.
Poi non vedo a cosa serva quotare interventi che mi sembrano già esaustivi di loro.

Quote:

Io per ora tenderei a considerarlo un falso positivo. Ho visto che dalla scansione su virustotal solo 3/32 lo rilevano come sospetto, mi sembra poco.

Per ora continuo a tenerlo bloccato in jail (anche se il continuo lampeggiare dell'avviso rosso, è davvero fastidisioso).

[murack83pa]

Quote:

Originariamente inviato da deneb87

stesso risultato, ma credo che questi file di gmer li lasci sempre combofix.
ora prova a lanciare gmer su un pc pulito. e faccio una ricerca

i file indicati da riverside sono quelli d gmer

infatti x disisntallare gmer, devi avviare gmer_uninstall

x la precisione, in realtà, anche dopo la procedura di disinstallazione di gmer, rimane una dll in windows e nn so perchè....

quelle volte che ho disinstallato gmer, ho poi eliminato manulmente la dll orfana in c:\windows se mi ricordo bene

[deneb87]

Quote:

Originariamente inviato da murack83pa

i file indicati da riverside sono quelli d gmer

infatti x disisntallare gmer, devi avviare gmer_uninstall

x la precisione, in realtà, anche dopo la procedura di disinstallazione di gmer, rimane una dll in windows e nn so perchè....

quelle volte che ho disinstallato gmer, ho poi eliminato manulmente la dll orfana in c:\windows se mi ricordo bene

allora ok
avevo letto nel report di combofix che fa una scansione rootkit usando il motore di gmer, quindi pensavo fosse sempre lui a mettere quei file

[Nuz]

Quote:

Originariamente inviato da Riverside

Per ora continuo a tenerlo bloccato in jail (anche se il continuo lampeggiare dell'avviso rosso, è davvero fastidisioso).

Ho fatto delle prove sulla VM e solo la versione contenuta in combofix da problemi. Mentre quella "originale" no.
Puoi provare tu stesso sostituendo il file sospetto con quello contenuto sul sito dell'autore:

http://www.xs4all.nl/~fstaal01/downloads/swreg.exe

[Riverside]

Domandina semplice semplice: qualcuno di voi si ritrova con una cartella chiamata QooBox, in C: ?

Edit: come non detto: Qoobox è la quarantena di Combofix.