|
|
|
|
Strumenti |
19-10-2008, 18:20 | #81 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Intanto eccoti il Rustock.B che hai mandato. |
|
19-10-2008, 18:28 | #82 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Trojan.Mailbot (prima parte)
MD5: 60f7ae2098b2d58869d021e441d2c90e Analisi su Virustotal: http://www.virustotal.com/analisis/e...ce93c4a0c98c6d Analisi su threatexpert: http://www.threatexpert.com/report.a...d021e441d2c90e Descrizione: Trojan.Mailbot è un trojan che funziona usando tecniche furtive per nascondersi su un PC infetto. In particolare, include funzionalità di rootkit che gli permettono di rimanere completamente invisibile all'utente. Una volta che è stato installato con successo su un computer, questo Trojan eseguirà spamming di massa, consumando e congestionando la larghezza di banda di rete disponibile. Al momento dell'estrazione del file AntiVir lo riconosce così disabilito il real-time di Avira e dopo aver dato l'Allow per l'avvio di malware.exe a RTD, mi avvisa anche A-Squared Antimalware 4 questo sarà l'unico ed ultimo avviso di A-Squared 4. Continuo dando i vari assensi a RTD e JPF2... possiamo vedere l'installazione del servizio la creazione del file bot.log, la sua scrittura, =====>> ====>> accetto anche le richieste successive e il malware chiede la connessione ===>> ===>> ===>> ===>> ===>> ===>> continua nel post successivo Ultima modifica di @Sirio@ : 19-10-2008 alle 18:42. |
19-10-2008, 18:35 | #83 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Trojan.Mailbot (seconda parte)
poi la cosa si ripete all'infinito... di nuovo la richiesta di accesso alla rete da parte di services.exe, la scrittura di bot.log, ancora la richiesta di accesso alla rete per services.exe ===>> ===>> ===>>
visto che la cosa si ripeteva ho chiuso la connessione e avviato SysInspector, il malware intanto finita l'analisi Come possiamo vedere dal rapporto di analisi di www.threatexpert.com, molto chiaro e dettagliato, mi aspettavo accadesse qualcos'altro, tipo il download e la creazione di ICQLite.log... ma niente da fare forse dovevo continuare, oppure la configurazione di Jetico che ho, lo impediva Parola a voi... che ne pensate? |
19-10-2008, 19:14 | #84 | |
Senior Member
Iscritto dal: May 2001
Messaggi: 12587
|
Quote:
|
|
20-10-2008, 18:06 | #85 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Forse gavel voleva sottolineare l'inefficacia degli antivirus... e, come anche usando lo stesso virus leggermente modificato, questi non riescano a rilevarlo facilmente. Se questo è il suo pensiero io sono d'accordo con lui. Oggi per avere una buona protezione, oltre l'antivirus dovremmo imparare bene ad usare il firewall e magari un HIPS. Proprio per questo "mi diverto" a testare i malware, vorrei rendere più chiaro il funzionamento dei software come l'hips e il firewall... possibile che non avete domande o meglio ancora, risposte () da fare/dare. |
|
20-10-2008, 18:53 | #86 | ||
Senior Member
Iscritto dal: May 2001
Messaggi: 12587
|
Quote:
Quote:
Riguardo alla buona protezione, andando controcorrente, non uso un antivirus. Uso il firewall di vista configurato per bloccare le connessioni in uscita, e finora non ho mai avuto problemi di sorta (ogni tanto faccio scansioni online per stare sicuro e trovano sempre il nulla). |
||
20-10-2008, 19:11 | #87 | ||
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Quote:
Vorrei toglierlo anch'io, almeno il real time... penso che appena scade la licenza proverò |
||
20-10-2008, 21:36 | #88 | |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
Si è vero HIPS e Firewall sono efficienti ma sono pur sempre sw......con i problemi dei sw. E' altresì vero che l'antivirus è trà tutti i componenti di protezione quello che più frequentemente è messo a tacere. Ma chissà magari quella volta che il modulo euristico fermerebbe la minaccia.....non può farlo perchè tu hai disabilitato il real time. Certo occorre anche considerare le risorse occupate dai sw protettivi nel tempo. Che purtroppo non calano mai ma aumentano e così la pesantezza. E costringono l'utente a decisioni sacrificali o ad un potenziamento dell'hardware del pc. |
|
21-10-2008, 07:41 | #89 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
comunque ogni decisione che si prende per la difesa del proprio pc è sempre relazionata a cosa si deve/vuole proteggere, del resto anche per andare in motocicletta non c'è bisogno di avere per forza di cose tute della daynese e protezioni varie, un conto è partire per fare 500km e un conto è fare 5-10km
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
21-10-2008, 09:48 | #90 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Poi come dice il nostro mod... non è che mi metto a fare l'home banking durante il periodo di prova. |
|
26-10-2008, 10:20 | #91 |
Senior Member
Iscritto dal: Oct 2008
Messaggi: 6054
|
forse questi software possono esservi utili per l'analisi di cosa fa un malware quando viene eseguito
http://labs.idefense.com/software/malcode.php http://labs.idefense.com/files/labs/...ws/SysAnalyzer |
26-10-2008, 17:11 | #92 |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Vi inserisco un 3D di Wilders:
http://www.wilderssecurity.com/showthread.php?t=223399 E' possibile notare alcuni sw che da noi sono poco usati. Sarebbe interessante una maggiore attenzione da parte degli utenti che sono soliti fare delle prove non solo verso i malwares ma anche verso i sw. Anzi credo proprio che sarebbe più interessante !! Però sono il primo a dire che potrebbe essere il contrario..... |
26-10-2008, 17:55 | #93 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Grazie Unax, così... dopo un primo sguardo mi attira questo SysAnalyzer, come anche il Malcode Analysis Pack...li proverò. |
|
26-10-2008, 18:13 | #94 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Ci vorrebbero più persone che testano i vari programmi di sicurezza, io per il momento sono interessato a capire bene RTD e JPF2 e finché non avrò acquisito una buona conoscenza non li cambierò, anche perché mi piacciono tanto e soprattutto, il tempo e i mezzi scarseggiano per fare altre prove. Purtroppo dei tester iniziali sembrerebbe sia rimasto solo io. |
|
10-11-2008, 15:07 | #95 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
ci sarebbe ancora da modificare il messaggio numero 3 ma vista la poca attività non è cosa imminente
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 10-11-2008 alle 15:12. |
10-11-2008, 22:15 | #96 |
Senior Member
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
|
Cavolo, mi stavo dimenticando del thread!
Appena ho un pò di tempo, inserisco tutti i nuovi test. Scusate, ma ultimamente c'ho da fare con la scuola. Oggi mi son fatto 6 ore di storia dell'arte, ad esempio.. Da bucarsi in pratica In questo momento mi sento molto a favore riguardo alla legalizzazione! |
11-11-2008, 07:36 | #97 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
21-11-2008, 19:08 | #98 |
Senior Member
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
|
Qualcuno ha un Sinowal/Mebroot stealth rootkit, di cui si parla qui? -> http://windowssecrets.com/2008/11/20...e-super-Trojan
|
21-11-2008, 20:14 | #99 | |
Bannato
Iscritto dal: Apr 2005
Messaggi: 136
|
Quote:
Potrei avere quello che cerchi. Se mi contatti su alessandro.recchia@pianetapc.it ti giro per email quello che ho. ;-) |
|
09-02-2009, 20:32 | #100 | |
Senior Member
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
|
Quote:
Comunque son d'accordo con deg, non ha senso lasciar morire questo thread. Purtroppo non ho molto tempo per modificare il primo post, men che meno in questi giorni, visto che sono occupato col MEP a scuola fino alle 18.30, ma un giorno il tempo di metterlo a posto lo troverò Ultima modifica di leolas : 09-02-2009 alle 20:38. |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 23:44.