come da oggetto - mi trovavo in una chat russa, mi si apre una finestra con un link ad un file che riguardava la chat.. o almeno pensavo che cosi' fosse.. la avvio e... niente piu' hard disk C, niente piu' accesso al pannello di controllo, pagina iniziale di explorer sostituita con un macabro sito di amputazioni, icone sparite dal desktop ecc ecc...
cerco subito di porre rimedio:
avvio lo scan di norton 2005
avvio Pest patrol ed esamino il boot e i processi nonchè il file-virus
avvio Spybot s&d
avvio Hjiack e controllo tutti i files e le chiavi, uno per uno con google, cancellando quelli sospetti
il norton alla fine aveva trovato i solity spyware e anche Spybot oltre a qualche chiave manomessa.

riavvio il pc, fiducioso nell'esito dell'operazione e.. una bella mascherina si apre prima del desktop di windows con il titolo DANGER , una ventina di righe scritte in russo da cui si legge solo "25" e un indirizzo email [email protected] (ho cercato su google ma niente) -
premo Ok sulla finestra, si avvia il desktop.. e.. tutto sconclusionato, sfondo spostato, nessun accesso da amministratore, neanche per spegnere il pc, nessun accesso al disco rigido con il SO, nulla neanche la connessione...
vuoi vedere che quei "25" sono qualche cifra di denaro o i giorni rimasti prima della distruzione del pc (danger?) e l'email serve per le trattative per liberare il PC?
ma vaffa...!!!! :doh:
spengo tutto, prendo il notebook, connetto il modem adsl e cerco altre info..
provo a ripristinare una configurazione precedente, ma l'opzione l'avevo disabitata per motivi di spazio.. :doh: e l'unico ripristino è quello di oggi.. :doh:
riesco a rientrare dei potere di amministratore riavviando in modalità provvisioria (anche cosi' pero' mi compare il messaggio ricattatorio) ma in compenso riesco ad entrare nella cartella documenti e metto tutto a copiare sul 2° disco rigido..

e ora non mi resta che aspettare che la copiatura abbia termine per fare l'inevitabile...FORMATTONE!!
:muro: :muro: :cry: :cry: :cry: :cry: :cry: :cry: :cry: :cry:

ma che figli di....mai fidarsi dei russi :O

Ciao,

per il messaggio ricattatorio in russo, probabilmente ti hanno piazzato una pagina web sul desktop (proprietà schermo -> personalizza desktop -> web) puoi sempre controllare se riesci ad andarci da mod. provvisoria.

Per curiosità, se non hai già fatto il formattone, mi piacerebbe vedere un log di Hijackthis di quella macchina ;)

ma che figli di....mai fidarsi dei russi :O

Ogni riferimento a Kaspersky è puramente casuale :D :sofico: :oink:

Ogni riferimento a Kaspersky è puramente casuale :D :sofico: :oink:
:eek: :ops:

Sarebbe stato interessante riuscire a leggere il contenuto di quella email. Chissa' cos'era quel ''25''. :what:

Ogni riferimento a Kaspersky è puramente casuale :D :sofico: :oink:
Povero Kaspersky, non ti sta molto simpatico? :p

il solito internet explorer e quegli stramaledetti activeX :rolleyes:

cmq credo che con un windows SP2 sempre aggiornato attraverso Windows Update ed un firewall non sarebbe stato così facile...

il solito internet explorer e quegli stramaledetti activeX :rolleyes:

cmq credo che con un windows SP2 sempre aggiornato attraverso Windows Update ed un firewall non sarebbe stato così facile...

XP SP2 aggiornato allo stato dell'arte con windows update (proprio l'altro giorno ho fatto la verifica...)

firewall di xp attivato

quello che c'era scritto sulla finestra ricattatoria l'ho copiato e incollato su un documento, sono curioso anche io di leggere cosa c'era scritto. Quando ripristino la connessione sul pc la traduco online

Scusami la domanda...ma se non conosci il russo,(visto che devi tradurre il contenuto di quel messaggio... :D ) che ci facevi su una chat russa?? :D :D :confused: :confused: :D :D

il solito internet explorer e quegli stramaledetti activeX :rolleyes:

cmq credo che con un windows SP2 sempre aggiornato attraverso Windows Update ed un firewall non sarebbe stato così facile...
la colpa i nquesto caso non può che essere dell'utente,altro che microsoft e le solite sparate sulla croce rossa,non è certo da persone caute cliccare anche solo per curiosità su qualsiasi link che ti passano in queste diavolo di chat...quel 25 penso sia una sorta di countdown alla rovescia che l'utente ha a disposizione,dietro pagamento ovviamente,di farsi sistemare il pc d aquesti malati di vodka

firewall di xp attivato"
disattivalo e metti un vero firewall ce ne sono molti gratuiti e che funzionano

spero tu abbia partizionato l'hd cosi se formatti non devi sbatterti per copiare tutto..

che sfiga pero'.....

Scusami la domanda...ma se non conosci il russo,(visto che devi tradurre il contenuto di quel messaggio... :D ) che ci facevi su una chat russa?? :D :D :confused: :confused: :D :D

In effetti me lo sono chiesto anche io :D
Comunque ha ragione juninho85 :)
Ciao

Scusami la domanda...ma se non conosci il russo,(visto che devi tradurre il contenuto di quel messaggio... :D ) che ci facevi su una chat russa?? :D :D :confused: :confused: :D :D
ci sono quelle che parlono inglese o anche italiano :D
poi ci sono i pez. di mer. che ti inviano sti link che io -mea culpa- con mossa infatile e bambinesca ho avviato.. :cry: e non c'e' stato norton antivirus-sp2-firewall che l'abbia fermato. anche perchè non credo che il virus si sia interfacciato sulla rete, quindi anche un buon firewall non avrebbe fatto gran chè.
ho già copiato la cartella documenti prima di formattare tutto. ora ho perso solo un po' di tempo per trovare sul sito sis il driver per il sata, ma adesso l'installazione è finalmente partita.

la colpa i nquesto caso non può che essere dell'utente,altro che microsoft e le solite sparate sulla croce rossa,non è certo da persone caute cliccare anche solo per curiosità su qualsiasi link che ti passano in queste diavolo di chat...quel 25 penso sia una sorta di countdown alla rovescia che l'utente ha a disposizione,dietro pagamento ovviamente,di farsi sistemare il pc d aquesti malati di vodka

scusa ma se è vero quello che dice l'utente, ovvero che ha sempre usato windows update e ha un firewall + anche un antivirus, secondo me la colpa è totalmente del sistema microsoft.

Un sistema così non può permettere un intromissione così madornale nel sistema!
E' compito di microsoft garantire la sicurezza del PC... e sarebbe ora anche di disabilitare in toto gli activeX in IExplorer.

Passare a Firefox che è più sicuro è sempre un MUST.

Povero Kaspersky, non ti sta molto simpatico? :p

Ciao,

:D bè... si tratta di una piccola e amichevole provocazione nei confronti di coloro che considerano il KAV la "panacea" contro tutti i virus e le schifezze del mondo.
Personalmente lo trovo un ottimo prodotto ma piuttosto "pesante" e non esente da difettucci :p
Sicuramente è meglio di molti altri AV anche blasonati ma non accetto l'equazione che il Kasper è "l'assoluto" e tutto il resto è "pattume" :Prrr:

Augh! Ho detto! :sofico:

scusa ma se è vero quello che dice l'utente, ovvero che ha sempre usato windows update e ha un firewall + anche un antivirus, secondo me la colpa è totalmente del sistema microsoft.

Un sistema così non può permettere un intromissione così madornale nel sistema!
E' compito di microsoft garantire la sicurezza del PC... e sarebbe ora anche di disabilitare in toto gli activeX in IExplorer.

Passare a Firefox che è più sicuro è sempre un MUST.
assolutamente non sono d'accordo;)
non esiste software che non sia soggetto a bachi di sistema,ancor di più essendo consapevoli che microsoft per quanto possa essere un sistema operativo semplice e snello da utilizzare ha i suoi difetti,in particolare riguardo la sicurezza...per cui prima meglio andare cauti sui contenuti web,in particolare le chat.
gli activex se è per quello avrebbe potuto disattivarli l'utente,non è dobbiamo pretendere sempre e comunque di avere la pappa pronta,anche perchè gli activex in questo caso facevano riferimento a malware,ma non sempre è così.
passando a firefox non risolverà nulla se non starà attendo ai luoghi in cui naviga

Ciao,

:D bè... si tratta di una piccola e amichevole provocazione nei confronti di coloro che considerano il KAV la "panacea" contro tutti i virus e le schifezze del mondo.
Personalmente lo trovo un ottimo prodotto ma piuttosto "pesante" e non esente da difettucci :p
Sicuramente è meglio di molti altri AV anche blasonati ma non accetto l'equazione che il Kasper è "l'assoluto" e tutto il resto è "pattume" :Prrr:

Augh! Ho detto! :sofico:
:O

Ciao,

:D bè... si tratta di una piccola e amichevole provocazione nei confronti di coloro che considerano il KAV la "panacea" contro tutti i virus e le schifezze del mondo.
Personalmente lo trovo un ottimo prodotto ma piuttosto "pesante" e non esente da difettucci :p
Sicuramente è meglio di molti altri AV anche blasonati ma non accetto l'equazione che il Kasper è "l'assoluto" e tutto il resto è "pattume" :Prrr:

Augh! Ho detto! :sofico:

:cincin:

assolutamente non sono d'accordo;)
non esiste software che non sia soggetto a bachi di sistema,ancor di più essendo consapevoli che microsoft per quanto possa essere un sistema operativo semplice e snello da utilizzare ha i suoi difetti,in particolare riguardo la sicurezza...per cui prima meglio andare cauti sui contenuti web,in particolare le chat.
gli activex se è per quello avrebbe potuto disattivarli l'utente,non è dobbiamo pretendere sempre e comunque di avere la pappa pronta,anche perchè gli activex in questo caso facevano riferimento a malware,ma non sempre è così.
passando a firefox non risolverà nulla se non starà attendo ai luoghi in cui naviga

ti sbagli... passando a firefox o disabilitando gli activeX credo che non si sarebbe verificato nulla.
A meno che non abbia scaricato un EXE e poi eseguito in locale (non credo siamo a questi livelli...)

ti sbagli... passando a firefox o disabilitando gli activeX credo che non si sarebbe verificato nulla.
A meno che non abbia scaricato un EXE e poi eseguito in locale (non credo siamo a questi livelli...)
ma dai.... :muro: :muro: :muro:

Ciao,

:D bè... si tratta di una piccola e amichevole provocazione nei confronti di coloro che considerano il KAV la "panacea" contro tutti i virus e le schifezze del mondo.
Personalmente lo trovo un ottimo prodotto ma piuttosto "pesante" e non esente da difettucci :p
Sicuramente è meglio di molti altri AV anche blasonati ma non accetto l'equazione che il Kasper è "l'assoluto" e tutto il resto è "pattume" :Prrr:

Augh! Ho detto! :sofico:
Come non condividere le tue parole. Non bisogna essere degli integralisti e asserire che un certo prodotto e' perfetto e gli altri no. Il prodotto perfetto non esiste. Il kaspersky e' un ottimo antivirus, mica e' la lampada di Aladino. ;)

ecco il messaggio ricattatorio con la richiesta di riscatto :ncomment: :
il messaggio compariva nella schermata celeste di windows prima dell'avvio del desktop (quella dove si scelgono gli utenti).

"If you want to restore the normal operation of your computer without having lost ENTIRE information! And from economizing the money, they arrived to me on e-mail [email protected] the code of the completion of the calculation of kiyevstar to 25 griven'. In response to your e-mail you will obtain fail for the removal of this program."

parzialmente tradotto con traduttore online dal messaggio originale:
Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail [email protected] код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления этой программы.

se qualcuno conosce il russo puo' far chiarezza sui punti oscuri (calculation of kiyevstar to 25 griven??)...

http://www.google.it/search?q=kiyevstar&start=0&start=0&ie=utf-8&hl=it&oe=utf-8&client=firefox-a&rls=org.mozilla:it-IT:official
http://www.google.it/search?lr=&ie=UTF-8&oe=UTF-8&q=25%20griven
kiyevstar sembra un operatore telefonico ucraino.,25 griven è il prezzo.

http://www.google.it/search?q=kiyevstar&start=0&start=0&ie=utf-8&hl=it&oe=utf-8&client=firefox-a&rls=org.mozilla:it-IT:official
http://www.google.it/search?lr=&ie=UTF-8&oe=UTF-8&q=25%20griven
kiyevstar sembra un operatore telefonico ucraino.,25 griven è il prezzo.
che voleva una ricarica telefonica?? :doh:

scusa ma ora sono curioso

dovevi farli una ricarica telefonica????

se qualcuno è interessato e fa collezione di virus e spore ho ritrovato il link all'eseguibile nel log della chat..

mandamelo pure via Pm se puoi,ho un vecchio hdd da formattare e voglio vedere se con kav e firefox me lo becco pure io :D

mandamelo pure via Pm se puoi,ho un vecchio hdd da formattare e voglio vedere se con kav e firefox me lo becco pure io :D
ti ho inviato il link via pm. adesso ti arrivano i sequestratori russi :D

tempo di ritrovare il vecchio hdd,poi vi farò sapere. :D

ti ho inviato il link via pm. adesso ti arrivano i sequestratori russi :D

lol
me lo mandi anche a me tramite pvt
grazie!!!!
pure io ho un hd che posso formattare e voglio vedere che mi sucede :D

cmq una cosa che nn o capito che cosa ci facevi in una chat russa?

lol
me lo mandi anche a me tramite pvt
grazie!!!!
pure io ho un hd che posso formattare e voglio vedere che mi sucede :D

fatto!

cmq una cosa che nn o capito che cosa ci facevi in una chat russa?
mi pare ovvio!
o no? :D

ho letto l'intera discussione...
se mi postassi questo link in pvt te ne sarei grato :)

ho letto l'intera discussione...
se mi postassi questo link in pvt te ne sarei grato :)
mandato. buon divertimento!

..scusa se mi intrometto. potrei averlo pure io? magari in pvt e grazie comunque

Puoi mandarmelo anche a me in PM quel link che son curioso?

Ciao!

link all'.exe mandato a tutti

se puoi mandami il file in email o il link in pvt con anche la chat....è meglio fermare immediatamente questa gente ;)

Scusate non vorrei fare il rompiballe ma da stessa ammissione dell'utente il link era collegato a .exe
A sto punto mi chiedo cosa cavolo c'entri Microsoft o l'antivirus, qui la cazzata è fatta dall'utente e basta.
Con questo non voglio minimamente dare dell'idiota a lui, anzi son cose che capitano spesso magari si è distratti dopo 8 ore di lavoro o simile, quindi puo' succedere a tutti :)
Volevo solo dire pero' che sempre piu' spesso si spara su Microsoft inutilmente :)

']Scusate non vorrei fare il rompiballe ma da stessa ammissione dell'utente il link era collegato a .exe
A sto punto mi chiedo cosa cavolo c'entri Microsoft o l'antivirus, qui la cazzata è fatta dall'utente e basta.
Con questo non voglio minimamente dare dell'idiota a lui, anzi son cose che capitano spesso magari si è distratti dopo 8 ore di lavoro o simile, quindi puo' succedere a tutti :)
Volevo solo dire pero' che sempre piu' spesso si spara su Microsoft inutilmente :)

ah bhè certo che se è EXE cambia tutto... (come avevo già detto anche precedentemente...).

Sugli exe solo l'antivirus può fare qualcosa (se il virus/malware è conosciuto).
Anch'io sono perfettamente daccordo che molte persone sparano inutilmente su microsoft... Ad esempio IE lo critico spesso e consiglio a tutti Firefox. Ma ad esempio Outlook Exprees lo trovo un ottimo programma e non lo cambierei mai. Anche con i fan sfegatati di linux sono molto critico...

se prima ti riferivi ai miei interventi... beh se non fosse stato un EXE credo che avrei avuto ragione a criticare MS, perchè la cosa sarebbe stata possibile solo grazie un buco di protezione, ma uno di quelli giganteschi...

Il problema è che non credo che abbiano usato un virus, ma piuttosto una sorta di programma sviluppato da loro e molto probabilmente sconosciuto non riconosciuto come virus. Cmq già qualche tempo fa circolava la notizia in rete di questo tipo di truffa.

ah bhè certo che se è EXE cambia tutto... (come avevo già detto anche precedentemente...).

Sugli exe solo l'antivirus può fare qualcosa (se il virus/malware è conosciuto).
Anch'io sono perfettamente daccordo che molte persone sparano inutilmente su microsoft... Ad esempio IE lo critico spesso e consiglio a tutti Firefox. Ma ad esempio Outlook Exprees lo trovo un ottimo programma e non lo cambierei mai. Anche con i fan sfegatati di linux sono molto critico...

se prima ti riferivi ai miei interventi... beh se non fosse stato un EXE credo che avrei avuto ragione a criticare MS, perchè la cosa sarebbe stata possibile solo grazie un buco di protezione, ma uno di quelli giganteschi...
ora ti lancio una provocazione,però controbatti a dovere,non come hai fatto prima ;):D
se al corrente dell'utilità dell'utilizzo combinato del centro di sicurezza pc con msn messenger?sai che se l'utente non ci mette mano sui servizi di windows msn di default non ti fa cliccare su nessun link redirizzante verso un file exe?;)
non so se sono stato chiaro....

Grazie mille del link Onesky, ancora pero' non ci ho cliccato :p
Qualche altro impavido che si e' fatto dare il link ha provato? :D

me lo mandate per favore?

occhio che un programma così invasivo potrebbe anche aver raccattato info varie sparse sull HD.... indirizzi mail, password varie....cambia il cambiabile e se di recente hai usato la carta di credito per fare acquisti potresti averne ancora avuto traccia nell HD, lo stesso vale se per qualche malsana ragione ne tenevi il numero da qualche parte....

scusate ma possibile che nessuno che abbia il link non si sia connesso da ieri sera e non abbia avuto un attimo di tempo per mandarmelo? ;)

ho il file;si chiama
ChatAdmin2.8.exe
che ho scaricato rinominandolo
ChatAdmin2.8.vexe.
Sansione con Kaspersky negativa,scansione con nod32 negativa.
Chi lo vuole?

ve lo sto chiedendo da ieri ;)

Passatemi il link grazie :)

se vuoi metto il file su rapidshare in formato .zip con password.

Intanto questa è la lettura del file:
WINDOWS EXECUTABLE
32bit for Windows 95 and Windows NT

Technical File Information:

Image File Header

Signature: 00004550
Machine: Intel 386
Number of Sections: 0004
Time Date Stamp: 40715c58
Symbols Pointer: 00000000
Number of Symbols: 00000000
Size of Optional Header 00e0
Characteristics: Relocation info stripped from file.
File is executable (i.e. no unresolved external references).
Line numbers stripped from file.
Local symbols stripped from file.
32 bit word machine.



Image Optional Header

Magic: 010b
Linker Version: 5.12
Size of Code: 00004c00
Size of Initialized Data: 00018c00
Size of Uninitialized Data: 00000000
Address of Entry Point: 000037c7
Base of Code: 00001000
Base of Data: 00006000
Image Base: 00400000
Section Alignment: 00001000
File Alignment: 00000200
Operating System Version: 4.00
Image Version: 0.00
Subsystem Version: 4.00
Reserved1: 00000000
Size of Image: 00020000
Size of Headers: 00000400
Checksum: 00013aae
Subsystem: Image runs in the Windows GUI subsystem.
DLL Characteristics: 0000
Size of Stack Reserve: 00100000
Size of Stack Commit: 00001000
Size of Heap Reserve: 00100000
Size of Heap Commit: 00001000
Loader Flags: 00000000
Size of Data Directory: 00000010
Import Directory Virtual Address: 00006264
Import Directory Size: 0000008c
Resource Directory
Virtual Address: 0001b000
Resource Directory Size: 00004770




Import Table

user32.dll
Ordinal Function Name

0242 TranslateMessage
022d ShowWindow
0222 SetWindowTextA
0220 SetWindowPos
0217 SetTimer
01fc SetForegroundWindow
01f4 SetCursorPos
01f1 SetClipboardData
01e8 SendNotifyMessageA
01e5 SendMessageTimeoutA
01e2 SendMessageA
01d0 RegisterWindowMessageA
01c8 RegisterClassExA
01bf PostQuitMessage
01b2 OpenClipboard
01a8 MoveWindow
01a3 ModifyMenuA
019d MessageBoxA
019a MapWindowPoints
0184 LoadIconA
0180 LoadCursorA
017e LoadBitmapA
024e UpdateWindow
017a IsZoomed
0179 IsWindowVisible
0177 IsWindowEnabled
0176 IsWindow
0173 IsIconic
015f InsertMenuItemA
014e GetWindowThreadProcessId
014b GetWindowTextLengthA
014a GetWindowTextA
0148 GetWindowRect
013f GetWindow
0133 GetSystemMenu
0130 GetSubMenu
0124 GetParent
0119 GetMessageA
0117 GetMenuStringA
0112 GetMenuItemID
0111 GetMenuItemCount
010b GetMenu
00f8 GetForegroundWindow
00ef GetDesktopWindow
00ec GetCursorPos
0260 keybd_event
0261 mouse_event
017b KillTimer
00e3 GetClipboardData
00e1 GetClientRect
00de GetClassNameA
00d4 GetAsyncKeyState
00c3 EnumWindows
00b0 EnumChildWindows
00ab EnableWindow
00a9 EnableMenuItem
00a8 EmptyClipboard
00a0 DrawMenuBar
008c DispatchMessageA
007e DefWindowProcA
0054 CreateWindowExA
0038 CloseClipboard
0262 wsprintfA


kernel32.dll
Ordinal Function Name

02bf lstrlenA
02bd lstrcpynA
02bb lstrcpyA
02b7 lstrcmpA
02b5 lstrcatA
02a7 WriteProcessMemory
029e WriteFile
028f WaitForSingleObject
0287 VirtualProtectEx
0283 VirtualFree
0281 VirtualAlloc
0269 TerminateThread
0268 TerminateProcess
0265 SystemTimeToFileTime
0260 Sleep
0243 SetPriorityClass
023d SetLocalTime
0238 SetFileTime
0236 SetFilePointer
0234 SetFileAttributesA
022d SetEndOfFile
0229 SetCurrentDirectoryA
0209 RtlMoveMemory
0207 ResumeThread
01ff RemoveDirectoryA
01fa ReadProcessMemory
01f7 ReadFile
01d1 OpenProcess
01c0 MoveFileA
01ac LocalFileTimeToFileTime
01a4 LoadLibraryA
0191 InterlockedIncrement
0179 GlobalUnlock
0172 GlobalLock
0167 GlobalAlloc
0162 GetWindowsDirectoryA
015a GetVersionExA
013c GetSystemDirectoryA
011f GetProcAddress
0109 GetModuleHandleA
0107 GetModuleFileNameA
00fe GetLocalTime
00fd GetLastError
00f7 GetFileTime
00f5 GetFileSize
00f0 GetFileAttributesA
00ee GetExitCodeProcess
00db GetCurrentProcess
001a CloseHandle
0024 CopyFileA
0029 CreateDirectoryA
0030 CreateFileA
003b CreateMutexA
0040 CreateProcessA
0046 CreateThread
0053 DeleteFileA
0080 ExitProcess
0081 ExitThread
0082 ExpandEnvironmentStringsA
0088 FileTimeToLocalFileTime
00d9 GetCurrentDirectoryA
008f FindClose
0093 FindFirstFileA
009c FindNextFileA
00c8 GetCommandLineA
0089 FileTimeToSystemTime


shell32.dll
Ordinal Function Name

0068 ShellExecuteExA
0007 DragQueryFileA
0006 DragFinish


gdi32.dll
Ordinal Function Name

004b DeleteObject


advapi32.dll
Ordinal Function Name

01ae RegSetValueExA
01a3 RegQueryValueExA
019e RegQueryInfoKeyA
0199 RegOpenKeyExA
0198 RegOpenKeyA
0189 RegDeleteValueA
0187 RegDeleteKeyA
0184 RegCreateKeyExA
0180 RegCloseKey
0163 OpenProcessToken
0114 LookupPrivilegeValueA
0019 AdjustTokenPrivileges


winmm.dll
Ordinal Function Name

009a timeSetEvent
0099 timeKillEvent


Section Table

Section name: .text
Virtual Size: 00004b28
Virtual Address: 00001000
Size of raw data: 00004c00
Pointer to Raw Data: 00000400
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains code
Section is executable
Section is readable



Section name: .rdata
Virtual Size: 00000f7c
Virtual Address: 00006000
Size of raw data: 00001000
Pointer to Raw Data: 00005000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section is readable



Section name: .data
Virtual Size: 000133c4
Virtual Address: 00007000
Size of raw data: 00000e00
Pointer to Raw Data: 00006000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section is readable
Section is writeable



Section name: .rsrc
Virtual Size: 00004770
Virtual Address: 0001b000
Size of raw data: 00004800
Pointer to Raw Data: 00006e00
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section is readable
Section is writeable


Header Information

Signature: 5a4d
Last Page Size: 0090
Total Pages in File: 0003
Relocation Items: 0000
Paragraphs in Header: 0004
Minimum Extra Paragraphs: 0000
Maximum Extra Paragraphs: ffff
Initial Stack Segment: 0000
Initial Stack Pointer: 00b8
Complemented Checksum: 0000
Initial Instruction Pointer: 0000
Initial Code Segment: 0000
Relocation Table Offset: 0040
Overlay Number: 0000
Reserved: 0000 0000 0000 0000
0000 0000 0000 0000
0000 0000 0000 0000
0000 0000 0000 0000
Offset to New Header: 000000d0
Memory Needed: 2K

Il file,zippato e con passowrd è stato messo su rapidshare e lo terrò fino a stasera,poi lo eliminerò.Il link è stato mandato a eraser.

Artificieri al lavoro.... :D


Passavo di qui e mi sono divertito a leggere... :P Tengo d'occhio il thread per sapere come finisce 'sta storia!

GL a tutti (in primis a chi c'ha rimesso) ;)

ok sto analizzando...quanto prima vi saprò dire qualcosa

però...simpatico il tool :D :D :D

si il tool è proprietario....sviluppato da CyberManiac. Si tratta di una pre-release, infatti non è neanche compresso o comunque il codice non è codificato

ragazzi purtroppo devo uscire....cmq da una prima analisi è abbastanza elementare come "trojan"

Appena torno scrivo tutto ;)

ho il file;si chiama
ChatAdmin2.8.exe
che ho scaricato rinominandolo
ChatAdmin2.8.vexe.
Sansione con Kaspersky negativa,scansione con nod32 negativa.
Chi lo vuole?

Prova a farlo analizzare qui
http://virusscan.jotti.org/
e qui
http://www.virustotal.com/flash/index_en.html
così, per curiosità, vediamo se qualche antivirus lo riconosce.

Ciao

Import Table

user32.dll
Ordinal Function Name

0260 keybd_event
0261 mouse_event
00c3 EnumWindows
00b0 EnumChildWindows


kernel32.dll
Ordinal Function Name

02a7 WriteProcessMemory
0287 VirtualProtectEx
01ff RemoveDirectoryA
01fa ReadProcessMemory
01d1 OpenProcess
0162 GetWindowsDirectoryA
015a GetVersionExA
013c GetSystemDirectoryA
0053 DeleteFileA


advapi32.dll
Ordinal Function Name

0163 OpenProcessToken
0114 LookupPrivilegeValueA
0019 AdjustTokenPrivileges

:asd::asd::asd::asd:

vi faccio anche notare che usa tutte le belle funzioni di User32.dll senza mai chiamare CreateWindowExA/W... :asd:

lolloso come trojan, però certo che sti programmatori sono delle seghe: bastano 2 min a debellarlo... :asd:

lolloso come trojan, però certo che sti programmatori sono delle seghe: bastano 2 min a debellarlo... :asd:

Perchè allora non ci delucidi, visto che qualcun altro potrebbe incorrere nello stesso problema?

Perchè allora non ci delucidi, visto che qualcun altro potrebbe incorrere nello stesso problema?
ha per caso inviato informazioni riservate tramite internet? subito dopo il casino ho spento il modem, pero' poi mi sono riconnesso alla ricerca di informazioni per debellarlo..

dunque, eccomi


Ad una prima analisi no, non invia niente tramite internet.

É un trojan basilare, scritto da qualcuno (CyberManiac) che conosce bene le configurazioni del registro di sistema.

Infatti il trojan non fa altro che aggiungere numerose chiavi nel registro andando a toccare opzioni sicuramente fuori dalla conoscenza di molti utenti.

Il trojan aggiunge numerosi valori all'interno della chiave

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Per esempio aggiunge "NoLogOff" con la quale l'utente non può piu uscire dal sistema, oppure "NoViewOnDrive" non mostra piu determinati drives, "NoControlPanel" non fa piu accedere al pannello di controllo ecc...ecc....

Inoltre aggiunge quel messaggio in russo che appare al nuovo riavvio di sistema sotto questa key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

sotto la voce "LegalNoticeText"

Il trojan parte all'avvio e si copia all'interno di C:\WINDOWS\VMADD\VMUSrvc.exe e sulla key di registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run sulla voce "VPCUserServices"

Nella directory VMADD sono aggiunti anche altri files, che devo ancora analizzare.

Cambia inoltre la home page di Internet Explorer con una pagina riferita al noto sito Rotten (per carità di Dio :doh: )

In generale cmq è un semplicissimo trojan che in effetti però può causare un pò di disagi ;)

A breve semmai scrivo un tool per la rimozione se necessario

dunque, eccomi


Ad una prima analisi no, non invia niente tramite internet.
buono a sapersi.. :)

ammazza che zuccone eraser :sofico:

ammazza che zuccone eraser :sofico:


nooo, mi hai preceduto, pensavo la stessa cosa :D

Ad una prima analisi no, non invia niente tramite internet. però usa LoadLibrary e GetProcAddress... è meglio se controlli bene che non abbia ws2_32 tra i moduli in fase di runtime...
magari cerca in .rdata se ci sono delle stringhe leggibili: cerca "ws2_32.dll".

guarda, domani tanto lo devo rianalizzare piu approfonditamente, tuttavia da quel poco che ho visto non fa nessun accenno a collegamenti internet.

Probabilmente le funzioni da te accennate sono utilizzate per interfacciare il trojan con delle librerie esterne che ho visto sono presenti all'interno della directory VMADD.

Ad occhio e croce potrei dire qualche altro stupido giochetto, cmq non do per certo niente ;)

A domani per altre informazioni :) ora nanna :Prrr: :D

guarda, domani tanto lo devo rianalizzare piu approfonditamente, tuttavia da quel poco che ho visto non fa nessun accenno a collegamenti internet.

Probabilmente le funzioni da te accennate sono utilizzate per interfacciare il trojan con delle librerie esterne che ho visto sono presenti all'interno della directory VMADD.

Ad occhio e croce potrei dire qualche altro stupido giochetto, cmq non do per certo niente ;)

A domani per altre informazioni :) ora nanna :Prrr: :D

se c'è quella libreria allora è molto probabile che abbia inviato dati dato che serve per la rete ;)

~§~ Sempre E Solo Lei ~§~

Come volevasi dimostrare ;)

Alcuni ricercatori mi hanno confermato la mia analisi e, in aggiunta, questa è quella di Sophos http://www.sophos.com/virusinfo/analyses/trojsiserya.html , praticamente identica alla mia :)

Definitivamente il trojan non necessita di Internet ;)

PS: ah, il sito da dove l'exe è stato scaricato è casualmente chiuso :Prrr: :nonio: :D

certo però che schifo... un sito di amputazioni... :Puke:
com'è che si chiamava? "Rotten"? vuol dire "marcio"... :Puke:
questi qua della mafia russa e roba simile sono delle vere me**e umane... :nono:
non fa molto onore a quel paese, che già di suo non mi piace granché... :nono:

almeno i nostri mafiosi una qualche sorta di codice d'onore ce l'hanno (be', dai, un tempo almeno era così!!! :D)

Come volevasi dimostrare ;)

Alcuni ricercatori mi hanno confermato la mia analisi e, in aggiunta, questa è quella di Sophos http://www.sophos.com/virusinfo/analyses/trojsiserya.html , praticamente identica alla mia :)

Definitivamente il trojan non necessita di Internet ;)

ma l'antivirus sophos l'avrebbe rimosso?
http://www.sophos.com/support/disinfection/trojan.html

perchè il norton 2005 non l'ha fatto..

perchè il norton 2005 non l'ha fatto..

Mi sembra abbastanza scontato... :Prrr:

ma l'antivirus sophos l'avrebbe rimosso?
http://www.sophos.com/support/disinfection/trojan.html

perchè il norton 2005 non l'ha fatto..

certo, sophos l'ho contatata direttamente io, symantec ancora no :)

certo, sophos l'ho contatata direttamente io, symantec ancora no :)
che lavoro fai?:D

certo, sophos l'ho contatata direttamente io, symantec ancora no :)
allora devo rivedere la sicurezza antivirus del mio pc... mi trasferisco nell'altro thread :D

per caso il Kaspersky lo avrebbe riconosciuto e/o rimosso e/o bloccato in partenza?

si ora kaspersky lo vede....ora ;)

che lavoro fai?:D

studio :D :D :D

studio :D :D :D
..come cancellare il maggior numero di utenti nel minor tempo ;)

Cmq complimenti per la competenza..impressionevole!!! :eekk:

PS su PC al Sicuro non va il link al forum...error 404 :(

si lo so....sto sistemando il sito :) ho avuto pochissimo tempo questa estate :) Ora con un pò di pazienza rimetto tutto su :)

Grazie infinite per i complimenti :mano: :)

come hanno scelto il nome "Sisery-A"?

io ne avevo proposto un altro :D

io ne avevo proposto un altro :D
dicci dicci :D

Trojan.Mos.A, perché tra le stringhe presenti all'internodel trojan (probabilmente spazzatura) c'è la stringa "Can't load s0m script"

Mos = s0m al contrario

Trojan.Mos.A, perché tra le stringhe presenti all'internodel trojan (probabilmente spazzatura) c'è la stringa "Can't load s0m script"

Mos = s0m al contrario

è un po' come dare il nome ad una nuova stella scoperta.. :D

:D :D

Trojan.Mos.A, perché tra le stringhe presenti all'internodel trojan (probabilmente spazzatura) c'è la stringa "Can't load s0m script"

Mos = s0m al contrario
ma ti hanno dato qualche ricompensa?:)

no assolutamente :) lo faccio quasi quotidianamente :)

no assolutamente :) lo faccio quasi quotidianamente :)
che pizza però farlo per la gloria :D

beh, piccole offerte ci sono state ma sono giovane ancora per prendere e partire :)

Intanto questa è la lettura del file:
WINDOWS EXECUTABLE

Come hai fatto a vedere tutte quelle cose sul file?

Si apre con un software l'eseguibile? :confused:

Eraser...perchè clikkando sul tuo PC al Sicuro viene fuori "chiuso per protesta"?

Ciao,

:D bè... si tratta di una piccola e amichevole provocazione nei confronti di coloro che considerano il KAV la "panacea" contro tutti i virus e le schifezze del mondo.
Personalmente lo trovo un ottimo prodotto ma piuttosto "pesante" e non esente da difettucci :p
Sicuramente è meglio di molti altri AV anche blasonati ma non accetto l'equazione che il Kasper è "l'assoluto" e tutto il resto è "pattume" :Prrr:

Augh! Ho detto! :sofico:


Edit letto adesso che anche il Kasp ha ciccato...vero nessun av è infallibile.

Eraser...perchè clikkando sul tuo PC al Sicuro viene fuori "chiuso per protesta"?

non posso dire altro...diciamo che non mi piacciono le cose che non siano trasparenti ;)

Come hai fatto a vedere tutte quelle cose sul file?

Si apre con un software l'eseguibile? :confused:
Ho usato questo:
http://www.avantstar.com/intradoc-cgi/idc_cgi_isapi.dll?IdcService=SS_GET_PAGE&ssDocName=QuickViewPlusOverview

Ho usato questo:
http://www.avantstar.com/intradoc-cgi/idc_cgi_isapi.dll?IdcService=SS_GET_PAGE&ssDocName=QuickViewPlusOverview

Grazie mille molto gentile :D

riesumo questa discussione,perchè oggi ho ritrovato il file in questione e ho dato una passata con kaspersky e bitdefender aggiornati,questo il responso:
http://img193.imageshack.us/img193/844/kaspersky8zc.jpg (http://imageshack.us)

http://img261.imageshack.us/img261/9229/bitdefender85jx.jpg (http://imageshack.us)

ciao, matteo1.

Se il file non lo hai ancora eliminato, lo provi a passare su Virustotal e Jotti e mi dici come reagiscono i diversi motori postando un'immagine dei risultati?
grazie :)

http://www.virustotal.com/flash/index_en.html
http://virusscan.jotti.org/

alla fine ho disattivato momentaneamente kaspersky e lho inviato;attendo risposta.

Ecc0 il risultato(stranamente bitdefender 7.2 l'ha riconosciuto :eek: :

http://img34.imageshack.us/img34/6580/total9hl.jpg (http://imageshack.us)

grazie infinite...sono proprio curioso...mi spaventa la cannata di Bit, xò... :mbe:

e-trust e mcafee hanno cannato :eek:

e-trust e mcafee hanno cannato :eek:

E' strano che dopo le segnalazione che mi sembra siano state fatte da eraser ci siano ancora AV che non lo rilevino, ancora più strano che venga rilevato da Bit 7.2 e non da Bit 9.0 :mbe:
Se non ti scoccia me lo mandi a
EDIT

Ciao

il bitdefender che non l'ha rilevato è la versione 8 free aggiornata ad oggi.
Il file però l'ho eliminato,mi spiace :(

Per un puro caso ho ritrovato il file e con spirito di bastardo dentro ho rieseguito la prova,ma con l'imprevisto(oltra all'exe ho fatto uno scan con l'exe dentro archivio):
http://img517.imageshack.us/img517/9197/virustotal0oj.jpg (http://imageshack.us)


http://img517.imageshack.us/img517/2382/totalace1mh.jpg (http://imageshack.us)

ok, quindi? :)

molti antivirus non lo riconoscono dentro l'archivio.Non so se sia solo lo scan online che non è abilitato,ma credo che scovare un virus dentro un archivio sia una forma di protezione irrinunciabile,a mio avviso,perchè alcuni virus già dopo estrazione riescono a creare problemi.

quindi visto che l'ACE è un file compresso che devi decomprimere, appena viene decompresso l'antivirus individua il file exe all'interno :)

Ogni riferimento a Kaspersky è puramente casuale :D :sofico: :oink:

....o puramente voluto?
beh dai c'è di peggio, norton in primis