Ciao,

ieri è stata una giornata un po' campale: ho trovato in due pc appartenenti a persone diverse (miei colleghi) un trojan residente in "system32" non ancora riconosciuto da molti antivirus, abbastanza difficile da togliere, presumibilmente beccato navigando in siti non a rischio, semplicemente, pare, facendo una ricerca con google:

- taskdir.exe
- taskdir.dll

Si sono accorti di avere qualcosa che non funzionava a causa di alcune schermate di errore.

Questa l'analisi di Virustotal:

AntiVir 6.34.0.14 03.22.2006 TR/Proxy.Lager.AQ.1
Avast 4.6.695.0 03.22.2006 no virus found
AVG 386 03.21.2006 Proxy.BRR
Avira 6.34.0.53 03.22.2006 TR/Proxy.Lager.AQ.1
BitDefender 7.2 03.22.2006 no virus found
CAT-QuickHeal 8.00 03.20.2006 no virus found
ClamAV devel-20060126 03.21.2006 no virus found
DrWeb 4.33 03.21.2006 Trojan.PWS.Alanchum
eTrust-InoculateIT 23.71.108 03.22.2006 no virus found
eTrust-Vet 12.4.2129 03.22.2006 no virus found
Ewido 3.5 03.21.2006 Proxy.Lager.aq
Fortinet 2.71.0.0 03.22.2006 W32/Lager.AQ!tr
F-Prot 3.16c 03.20.2006 no virus found
Ikarus 0.2.59.0 03.21.2006 Trojan-Proxy.Win32.Lager.AQ
Kaspersky 4.0.2.24 03.22.2006 Trojan-Proxy.Win32.Lager.aq
McAfee 4723 03.21.2006 no virus found
NOD32v2 1.1454 03.21.2006 no virus found
Norman 5.70.10 03.21.2006 no virus found
Panda 9.0.0.4 03.21.2006 Suspicious file
Sophos 4.03.0 03.22.2006 no virus found
Symantec 8.0 03.22.2006 no virus found
TheHacker 5.9.6.117 03.21.2006 no virus found
UNA 1.83 03.21.2006 TrojanProxy.Win32.Lager
VBA32 3.10.5 03.21.2006 Trojan.PWS.Alanchum

Se serve a qualcuno, l'ho messo da parte :D

P.S.

lanciando una ricerca (start -> cerca) e usando come termine taskdir.exe o taskdir.dll non viene trovato. Per trovarlo occorre scrivere solo "taskdir" senza estensione. Se c'è, saltano fuori sia l'eseguibile sia la libreria.
Aprendo "taskmanager" se c'è, risulta tra i processi attivi "taskdir.exe"
L'ho appena installato sul mio pc cavia e sto cercando di capire cosa fa esattamente :D

ottima info.
grazie.
;)

In questo momento, con le ultime firme disponibili il trojan non è riconosciuto neppure da Spybot nè da Spysweeper.

Kaspersky lo vede ma non è in grado di rimuoverlo, così come Ewido: lo segnala ma non lo toglie. Ora provo da modalità provvisoria ;)
Norton 2006 lo ignora completamente :cry:

sul mio Pc non c'è :Prrr: .....

wgator, se puoi spedirmeli oggi pomeriggio ci lavoro su (ora sono all'università)

:eek:

non vedo l'ora di tornare a casa :cool:

...ora sono all'università...
aaaaaahhhhh, è cosi' che si seguono le lezioni, eh? :D

non vedo l'ora di tornare a casa :cool:
prenditela con calma, invece....tanto l'esito positivo è SCRITTO :Prrr:

aaaaaahhhhh, è cosi' che si seguono le lezioni, eh? :D

eeeehmmmmmmm :D :D :D

sul mio Pc non c'è :Prrr: .....

Neppure sul mio c'era... ora però ce l'ho messo :D
Ho visto con "netstat -an" che apre una porta (varia, non è sempre quella) e tenta di contattare un server remoto

Neppure sul mio c'era... ora però ce l'ho messo :D
Ho visto con "netstat -an" che apre una porta (varia, non è sempre quella) e tenta di contattare un server remoto

sarà un bot IRC

se hai msn aggiungimi

facendo una ricerca rapidissima su Viruslist, questo Trojan, che risulta appartenere alla categoria TrojanProxy (http://www.viruslist.com/en/virusesdescribed?chapter=152540521#proxies), è stato aggiunto nel database delle firme del Kav 3 giorni fà, il 19/3/06 (http://www.viruslist.com/en/viruses/encyclopedia?virusid=115493) ...

dalle mie fonti è in giro almeno dal 25 febbraio

e alle "fonti" dei vari Kaspersky Lab sparsi sul pianeta è arrivato dopo cosi' tanto tempo? :mbe: o non è proprio arrivato?? ( leggi Nod32,...) :mbe:
Mi sa che devono rivedere i loro canali di approvvigionamento di sample, allora :Prrr:

Facci sapere qualcosa di +, cmq...

Ciao,

ripercorrendo la cronologia di navigazione di uno dei computer che erano stati infettati ieri, mi sono ritrovato un tale "voblaizdupla.exe" riconosciuto come infetto solo da Kaspersky con il nome di "small.ciw"
Comincio a divertirmi :D

Eraser, ti mando anche quello :p

P.S.

purtroppo non ho MSN :(

Hai anche qualche URL?
Ciao

Hai anche qualche URL?
Ciao

Sto ancora cercando di capire tra i vari siti che hanno visitato ieri quale potrebbe essere il colpevole... Sembrerebbero (apparentemente) tutti siti seri e puliti, cose di lavoro, poi hanno "gironzolato" su libero e hanno fatto qualche ricerca (legittima) con google...

Le prime schifezze le hanno sicuramente beccate ieri intorno alle 15/18.30

Ciao,

ripercorrendo la cronologia di navigazione di uno dei computer che erano stati infettati ieri, mi sono ritrovato un tale "voblaizdupla.exe" riconosciuto come infetto solo da Kaspersky con il nome di "small.ciw"
Comincio a divertirmi :D

Eraser, ti mando anche quello :p

P.S.

purtroppo non ho MSN :(

non usi neanche icq? ;) cmq sono a casa, mi metto a lavoro

il trojan downloader che mi hai mandato per ultimo è carino

In questo momento, con le ultime firme disponibili il trojan non è riconosciuto neppure da Spybot nè da Spysweeper.

Kaspersky lo vede ma non è in grado di rimuoverlo, così come Ewido: lo segnala ma non lo toglie. Ora provo da modalità provvisoria ;)
Norton 2006 lo ignora completamente :cry:

intanto ewido lo vede, alla faccia di spysweeper a pagamento (spybot non lo consideriamo neanche essendo un aranciata annacquata): hijack cosa dice in merito??? :)

intanto ewido lo vede, alla faccia di spysweeper a pagamento
Non mi meraviglia, spysweeper e' blando con i trojans. Chissa' se a-squared lo vede.

già: bisognerebbe beccarlo pero'... :rolleyes:

sarebbe interessante vedere come lo presenta hijakthis

ci sto lavorando su, mi ci vorrà un pò, sono "voluminosi"

il trojan downloader che mi hai mandato per ultimo è carino

una curiosità:

come si svolge materialmente il lavoro quando ti arriva un sample da analizzare?
L'analisi la esegui in un ambiente protetto ( se si, quale )?

insomma, puoi darci qualche elemento per capire che approccio viene generalmente seguito di fronte ad analisi di questa natura?

Grazie infinite.

Ah, dimenticavo: :D
tienici aggiornati.... ;)

continuo l'analisi e te lo dico dopo ok? :)

continuo l'analisi e te lo dico dopo ok? :)
;)

L'importante è avere la risposta....peraltro sono sicuro che questa domanda interessi a più di un utente....

Ciao e buon lavoro

Non mi meraviglia, spysweeper e' blando con i trojans. Chissa' se a-squared lo vede.

Ciao,

no, purtroppo a-squared non vede nè taskdir.exe e taskdir.dll nè woblaizdupla.exe. Quest'ultimo non è visto neppure da Ewido
Tutto questo naturalmente con le ultime firme disponibili

alle 18 saranno sicuramente presenti

e kaspersky??? secondo me è capace di notare qualcosa di "preventivo" almeno :D

si il colpevole di tutto è woblaizdupla.exe

i server da cui attinge sono ancora attivi e gestiti da uno script in php

daniele controlla che su system32 non ci siano anche zlbw.dll e parad.raw.exe su quei pc

alle 18 saranno sicuramente presenti

e kaspersky??? secondo me è capace di notare qualcosa di "preventivo" almeno :D

Ciao,

kaspersky è l'unico al quale non sono sfuggiti, almeno come individuazione. Premetto che l'infezione era su 2 pc con NAV 2006 che non ha notato nulla, e tuttora non nota nulla :p

Kaspersky ha scoperto il file "voblaizdupla.exe" solo con le ultime firme di questa mattina delle 9.00 circa, ieri non lo vedeva neppure lui :p Vedeva solo i "taskdir"
Kaspersky non è tuttavia stato in grado di rimuovere l'infezione in modalità normale, non ho provato in provvisoria perchè ho voluto catturare e mettere da parte i file.
Io per fare questo uso sempre BART PE e metto le schifezze in una drive pen da 512 MB appositamente acquistata e verniciata in rosso con "teschio e tibie" disegnate sopra :D

daniele controlla che su system32 non ci siano anche zlbw.dll e parad.raw.exe su quei pc

Ciao Marco,

ci sono, ci sono :sofico:
O meglio, c'erano... li ho appena catturati. Incredibile, quelli non li riconosce nessuno :(

non avevo alcun dubbio sul fatto che kav arrivasse ben prima di tutti gli altri...
quindi chi ha kav è a posto :)

....
Io per fare questo uso sempre BART PE e metto le schifezze in una drive pen da 512 MB appositamente acquistata e verniciata in rosso con "teschio e tibie" disegnate sopra :D

:p

Vogliamo vedere una bella foto della penna al più presto! :D

Se mi piace, poi, la userò come Avatar :p (sempre che tu mi dia il permesso... :fiufiu: )

Ciao Marco,

ci sono, ci sono :sofico:
O meglio, c'erano... li ho appena catturati. Incredibile, quelli non li riconosce nessuno :(

e se guardi bene, parad.raw.exe è nient'altro che taskdir.exe.

L'originale scaricato è parad.raw.exe - da un server tutt'ora attivo - e poi viene rinominato in taskdir.exe

PS: mi stò divertendo troppo a seguirvi :sofico:

Non vedo l'ora di sapere come va a finire 'sta storia :D :D



PSS: Wgator, a questo punto puoi cambiare il nome al thread:
ci sono + file sospetti sui Pc dei tuoi colleghi che polli morti di aviaria... :asd: :asd:

i files sembrano tutti fatti dalla stessa mano

compressi con upx e checksum errato nell'header per evitarne la decompressione facile

e se guardi bene, parad.raw.exe è nient'altro che taskdir.exe.

L'originale scaricato è parad.raw.exe - da un server tutt'ora attivo - e poi viene rinominato in taskdir.exe

... è strano però... KAV (database esteso) riconosce taskdir.exe ma non parad.raw.exe, ho appena provato :confused:

... è strano però... KAV (database esteso) riconosce taskdir.exe ma non parad.raw.exe, ho appena provato :confused:

probabilmente il server da dove scarica è un repository di bin, come ho potuto vedere di sfuggita in una stringa che mi è passata davanti agli occhi

EDIT: sei sicuro? ho provato ora con le basi estese e kav riconosce solo taskdir.dll non taskdir.exe

indovinate un pò dove si va a mettere taskdir.dll? ;)

viene richiamato da tutti i processi eseguiti, parassita

tra parentesi crea anche una certa instabilità nel sistema, ogni tanto explorer.exe crasha

taskdir.dll è un injector

ps: scusate la descrizione in real time :D :D :D se rompo le scatole fate un fischio :D

EDIT: sei sicuro? ho provato ora con le basi estese e kav riconosce solo taskdir.dll non taskdir.exe

si, scusa... a forza di passare file al setaccio dei vari antivirus mi sono incasinato :(


taskdir.exe e parad.raw.exe non sono risconosciuti dal KAV (solo taskdir.dll è riconosciuto da KAV)

taskdir.exe e parad.raw.exe sono riconosciuti come sospetti solo dal Panda e dal DrWeb:

Panda 9.0.0.4 03.21.2006 Suspicious file
DrWeb 4.33 03.22.2006 Trojan.Spambot

io sono gasato a leggere gli sviluppi in real time... :D :D

daniele hai ancora il pc infetto?

se sì, puoi provare con risorse del computer ad accedere a windows/system32?

pazzi :eek::ave:

tra parentesi crea anche una certa instabilità nel sistema, ogni tanto explorer.exe crasha

taskdir.dll è un injector

Infatti... ieri pomeriggio, quando ho iniziato a guardarci, il padrone di uno dei pc mi ha chiamato per segnalarmi due crash quasi consecutivi di IE, per il resto non c'erano altri sintomi. Il suo vicino di stanza mi ha chiamato quasi contemporaneamente per dirmi che anche il suo computer aveva crashato IE...
Mi sono accorto di qualcosa di anomalo perchè il loro taskmanager evidenziava caricato il "taskdir.exe"

ok, finita la prima passata

ricomincio daccapo

daniele hai ancora il pc infetto?

se sì, puoi provare con risorse del computer ad accedere a windows/system32?

Boh... forse non è più infetto... ora controllo ma credo di aver tolto e messo da parte tutti i virus sulla famosa drive pen... Comunque ho aperto system32 da "risorse del computer"...

Boh... forse non è più infetto... ora controllo ma credo di aver tolto e messo da parte tutti i virus sulla famosa drive pen... Comunque ho aperto system32 da "risorse del computer"...

se hai rimosso i files e non c'è piu niente non è piu infetto :)

non so se l'instabilità è voluta o è un bug del malware, sviluppata male magari la routine di dll injection

BTW: sto con una finestra lavorando sui malware, con una sul forum e con due parlo con un paio di ricercatori di alcune società (intanto che analizzo faccio aggiornare le signature agli antivirus) :D :D oggi mi fate fare gli straordinari :D :D

... oggi mi fate fare gli straordinari :D :D
tanto se dovevi studiare come seguivi stamani le lezioni.... :asd: :asd:

Scherzo, eh! :p

Sei un mito! :ave:

tanto se dovevi studiare come seguivi stamani le lezioni.... :asd: :asd:


in effetti, è vero :asd: :D :D

mi ero scordato di dire che il downloader modifica le impostazioni di sicurezza di Internet Explorer (le zone)

Mumble, mi son letto le tre paginette, e devo dire che la cosa è tosta :D

Non l'ho beccato, per fortuna, ma sarebbe utile sapere bene o male su che genere di siti tranquilli (visto che è stato puntualizzato nel primo post da eraser stesso) lo si becca :)

Comunque se kav (per la cronaca ho l'ultima beta uscita ieri, la h) dai vostri test lo becca son apposto puro io :D :D :D

stacco un paio di minuti :D mi si incrociano gli occhi :D :D

Grazie Eraser,
hai fatto un lavoro fantastico :)
Grazie ai tuoi suggerimenti l'ho rimosso dai PC dei miei amici, stasera lo tolgo anche dal mio PC-cavia dove l'avevo installato questa mattina :D
Spero che non lo becchino in molti perchè al momento si toglie solo a mano :p
Spero anche che le maggiori virus house aggiornino le firme rapidamente. Farò sapere dato che ho conservato tutti i file

Grazie Eraser,
hai fatto un lavoro fantastico :)
Grazie ai tuoi suggerimenti l'ho rimosso dai PC dei miei amici, stasera lo tolgo anche dal mio PC-cavia dove l'avevo installato questa mattina :D
Spero che non lo becchino in molti perchè al momento si toglie solo a mano :p
Spero anche che le maggiori virus house aggiornino le firme rapidamente. Farò sapere dato che ho conservato tutti i file

grazie mille per i complimenti :vicini: anche se non è che abbia fatto poi molto :)

sto provvedendo personalmente a farlo riconoscere agli antivirus :)

riassumendo:

VOBLAIZDUPLA.EXE è un trojan downloader che scarica da un particolare sito un trojan, denominato taskdir.exe e una dll, denominata taskdir.dll.

taskdir.dll attraverso una dll injection viene inserita in tutti i processi del sistema e, con funzioni sembra da "rootkit", nasconde l'esecuzione del trojan taskdir.exe

..

taskdir.dll attraverso una dll injection viene inserita in tutti i processi del sistema e, con funzioni sembra da "rootkit", nasconde l'esecuzione del trojan taskdir.exe
lo attendo al varco di Process Guard:
dinni che venga, vai!! :D

...e se un lo becca lui, provvederà RegDefend :D

PS: quando hai recuperato la vista, dacci poi anche qualche info sui metodi che utilizzate per fare le vs/analisi :)

Wgator usa BartPE, se non ho capito male....

Saluti di cuore :)

l'analisi che abbiamo fatto noi è stata praticamente confermata da F-Secure ;)

complimenti a tutti :)

l'analisi che abbiamo fatto noi è stata praticamente confermata da F-Secure ;)

complimenti a tutti :)
parli di te al PLURALE? :sofico:

PS: ora mi si offende Wgator... :p

tutti quelli che hanno partecipato al thread :)

PS: votatemi http://www.hwupgrade.it/forum/showthread.php?t=1163214&page=1&pp=20 :D :D :D :D :D

Wgator usa BartPE, se non ho capito male....


Ciao,

bè... io uso Bart PE per "catturare" i virus senza fagli male :D nel senso che, prima cerco di individuarli, poi non li rimuovo con l'antivirus, con killbox o con la forza bruta, altrimenti si sciupano :sofico:
Uso Bart per togliere quelli altrimenti inamovibili e trasferirli nella famosa drive pen o su un CD
Li raccolgo e cerco di studiarli ma non ho l'esperienza di Eraser, tento solo di imparare :p

Dunque:

in primis si controlla se il file sospetto è compresso con qualche runtime packer. In caso positivo si tenta di decomprimerlo con routine statiche. In caso negativo si passa comunque al secondo passo.

2) Si può fare un'analisi dinamica per mezzo di una virtual machine, quali vmware o virtualPC per esempio, per analizzarne il comportamento. Ovviamente la VM deve essere attrezzata con gli strumenti per analizzarne i comportamenti. L'esecuzione del codice nocivo è altrettanto utile per poter fare il dump in memoria del file, in caso non si sia riusciti a decomprimerlo staticamente. Non sempre l'esecuzione su VM è possibile, in alcuni casi i malware cercano di controllare se stanno girando su una VM (per esempio funzione IsDebugPresent() ), allora terminano subito la loro esecuzione. Comunque ci sarebbe un papiro di roba da scrivere su questo argomento :D

3) Si può poi passare ad un'analisi statica. Ci si arma di disassembler, quale per esempio IDA, e di santa pazienza :D Si analizzano per esempio anche le chiamate alle dll di sistema e le procedure utilizzate. Per il terzo punto ovviamente il file deve essere decompresso, altrimenti non si analizza un bel niente :D

Poi si rimettono un pò insieme i pezzi del puzzle e si vede cosa se ne ricava :D :D

Sono stato abbastanza esauriente? :)

(tra parentesi mi state mettendo abbastanza in imbarazzo :D)

Ciao a tutti

Marco :)

Il trojan è completamente riconosciuto per ora da:

- Kaspersky (e derivati ovviamente, tipo AVK o F-Secure)
- ViruScape
- Dr.Web (solo taskdir.dll)

Caro Eraser,hai mai pensato di scrivere un antivirus?? :D

:flower: :)

- Symantec
- Dr.Web
- Ewido

Evidenzio che la tecnologia TruPrevent di Panda aveva identificato sin dall'inizio i files come sospetti

antivir ancora nulla?:stordita:

Ragazzi potreste passare i file infetti anche a me, così gli darò uno sguardo.

Contattatemi in privato così vi mando l'indirizzo dove spedire il malloppo.

Ciao e grazie

...

bè... io uso Bart PE per "catturare" i virus senza fagli male :D ...altrimenti si sciupano :sofico:
.....
:asd: :asd:
FANTASTICO! :D *
Dunque:
........

anche se immaginavo ( a grandi linee...) un analisi di questo tipo, permettimi un " ECCEZIONALE" :) *




Assistere peraltro in tempo reale alla lotta è stato qualcosa di emozionante. ;)


* avrei voluto mettere l'emoticons "applausi scroscianti" che xò non esiste qui su Hw...

* avrei voluto mettere l'emoticons "applausi scroscianti" che xò non esiste qui su Hw...

Se vuoi te la passo io.
Ciao

- AVG

Eraser, se ti mando la mia mail in PVT manderesti il file anche a me?
Ciao

Eraser, se ti mando la mia mail in PVT manderesti il file anche a me?
Ciao

io te lo mando pure, stacci attento però

quale file vuoi?

Manda pure entrambi i file.
Stai tranquillo, faccio tutto tramite Debian.
Credo proprio di non essere contagiabile.
Ciao

Evidenzio che la tecnologia TruPrevent di Panda aveva identificato sin dall'inizio i files come sospetti

Sarebbe stato interessante vedere se la Proactive Defense di KIS 6.0 avrebbe ottenuto lo stesso risultato, soprattutto alla luce della DDL Injection che avete rilevato...

ps: siamo famosi :D

http://www.wilderssecurity.com/showthread.php?t=124925

ps: siamo famosi :D

http://www.wilderssecurity.com/showthread.php?t=124925

ps: sorvolate sulle offerte di lavoro :D :D

Eraser, sei un grande ;)
Non è nemmeno ruffianaggine usare per gente come te questo emoticon: :ave: visto che ve lo meritate tutto. :)


Mi piacerebbe peraltro conoscere qualche tuo pensiero ( ma va bene anche quello di Wgator :D , sia chiaro...) in tema di sicurezza PROATTIVA....francamente ho sentito un pò l'assenza di vostri commenti in proposito anche se siamo sempre in tempo per rimediare... :p

Fiero di essere parte del clan Hw,
nV 25 ;)

ho scritto qualche parola relativa ai software HIPS/proactive detection :)

Faccine di applausi?

http://www.faccinebuffe.it/smile/hands/hands13.gif http://www.faccinebuffe.it/smile/hands/hands7.gif http://www.faccinebuffe.it/smile/hands/hands5.gif http://www.faccinebuffe.it/smile/hands/hands4.gif http://www.faccinebuffe.it/smile/hands/hands8.gif http://www.faccinebuffe.it/smile/hands/hands76.gif http://www.faccinebuffe.it/smile/hands/hands80.gif http://www.faccinebuffe.it/smile/hands/hands98.gif http://www.faccinebuffe.it/smile/hands/hands97.gif

Faccine di applausi?
...
utilizzate subito :p ! ( vedi questo Post (http://www.hwupgrade.it/forum/showpost.php?p=11749912&postcount=278)).

Txs

Aggiungohttp://www.defencekarate2000.it/images/clap.gif

complimenti anche da parte mia;l'offerta di lavoro da parte di eset credo sia molto esplicativo.
Ottimo lavoro. :)

eehm http://www.calshop.biz/smiles/timidi10.gif grazie http://www.calshop.biz/smiles/timidi10.gif

complimenti anche da parte mia;l'offerta di lavoro da parte di eset credo sia molto esplicativo.
Ottimo lavoro. :)

eraser: vai e rendi Nod 32 alla pari di KAV :p ...giuro che te lo compro :D

eraser: vai e rendi Nod 32 alla pari di KAV :p ...giuro che te lo compro :D

ROTFL :D

Ciao,

no, purtroppo a-squared non vede nè taskdir.exe e taskdir.dll nè woblaizdupla.exe. Quest'ultimo non è visto neppure da Ewido
Tutto questo naturalmente con le ultime firme disponibili

Solo per dire che Ewido oggi riconosce perfettamente tutte le componenti del malware compreso woblaizdupla.exe

A-squared ignora completamente
Spysweeper ignora completamente

Solo per dire che Ewido oggi riconosce perfettamente tutte le componenti del malware compreso woblaizdupla.exe

A-squared ignora completamente
Spysweeper ignora completamente

per A-Squared provvedo subito, conosco Andreas, lo sviluppatore ;)

Spysweeper provvedo in qualche modo :D

per A-Squared provvedo subito, conosco Andreas, lo sviluppatore ;)

io invece conosco bene il pizzicagnolo vicino a casa mia....credi possa bullarmi anch'io qui sul forum delle mie importanti conoscenze? :asd: :asd:














































PS: Stò scherzando, eh!
La mia stima è incondizionata. ;)


E poi, se mi banni, cambio nick :ciapet: ...e tempo 5'' risono a postare :D

occhio che sono mooolto permaloso e la redazione e alcuni mod possono confermare :D :D :D :D

occhio che sono mooolto permaloso e la redazione e alcuni mod possono confermare :D :D :D :D
ma no......solo perchè ti infeltrisci subito?:asd:

occhio che sono mooolto permaloso e la redazione e alcuni mod possono confermare :D :D :D :D
:O come non quotare :O ed è anche un discreto scassapalle :D :D

:O come non quotare :O ed è anche un discreto scassapalle :D :D
:asd:
ecco che mi si infeltrisce al volo :asd:

:rolleyes: :mbe: :D

:asd: :asd: :asd: :asd:

e il merito di tutta questa buriana è mioooo!!! :yeah:


A proposito:

Serve mica del prEciutto Grudo??:asd:

Ci tenevo a fare i complimenti ad eraser.... fa piacere vedere una persona capace ottenere un successo meritato....

Grande! :)

Veramente tutti in gamba :D :cool: !

veramente, grazie a tutti :)

Ma per ora mi vedo costretto a rifiutare l'offerta (la seconda di quella società in effetti) :(

veramente, grazie a tutti :)

Ma per ora mi vedo costretto a rifiutare l'offerta (la seconda di quella società in effetti) :(

Non per sapere i fatti tuoi (sì in realtà è per quello): perchè rifiuti? :(

ancora sono giovane, voglio finire gli studi (università) prima :)

veramente, grazie a tutti :)

Ma per ora mi vedo costretto a rifiutare l'offerta (la seconda di quella società in effetti) :(
noooo...mo si monta la testa :cry: aiuto :cry:






:D

Mi permetto di farvi i miei complimenti, davvero meritati. Complimenti. ;)

noooo...mo si monta la testa :cry: aiuto :cry:






:D

Che poi a dirla tutta io il sig. Giuliani :D lo vedrei bene pure nei panni del giornalista di settore....

doppio post

Ma se uno si becca questo tipo di trojan non dovrebbe essere protetto dal firewall (almeno parzialmente) che lo avverte che un determinato file sta
tentando di accedere ad internet per collegarsi ad un server remoto?

effettivamente, se sfruttassero meccanismi di questo (http://www.firewallleaktester.com/categories.htm) tipo, il Fw dovrebbe segnalare un comportamento anomalo....
peccato xò che nella realtà i Fw fanno già fatica a tenergli il passo ( vedi i risultati delle prove di laboratorio ).... se a questo poi si aggiunge il fatto che esistono sicuramente miriadi di tecniche diverse...bè, va da se che la probabilità di essere bypassati è tutt'altro che remota.... :(

NB: questo discorso vale specialmente per la direzione Pc>>Net.
Diverso il discorso per i pacchetti in entrata: se il Fw, oltre che ben configurato, è realmente di tipo packet filtering...bè, qualcosa può dire per tagliare connessioni anomale in ingresso.

Sentiamo cmq anche il ben più autorevole pensiero di eraser che in tema di virus ( e dei loro comportamenti ) è difficilmente 2° a qualcuno su questo forum.

PS: sai come si combattono "un pò più ad armi pari" i malwares?
Oltre ad un valido AV/Fw, è necessaria una corretta combinazione di programmi HIPS.
Altre ricette credo attualmente non esistano.

Ah, già, si, dimenticavo:
una ricetta è il :ciapet:
:D

Ciao,

bè... sembra ci sia altro :p Su uno dei PC che avevano beccato le note schifezze è saltato fuori un altro file fortemente sospetto, anche se apparentemente inerte: TBDMRXLX.MGY in questo momento riconosciuto solo da Kasperky come "trojan.win32.agent.qe"
Catturato, zippato e a disposizione di chi desidera radiografarlo e farlo a fettine :p
Ho la sensazione che sia in qualche modo imparentato con gli altri del thread :D

se vuoi mandare sono qui ;)

Ciao,

inviato! Tutto tuo :D

compresso con UPX e criptato con UpolyX 0.5

il file non era attivo comunque, perlomeno non penso....ora inizio a vederlo

EDITED: ......under analysis.....

come immaginavo, il file è corrotto.

Probabilmente il download è venuto male, infatti come me l'hai mandato tu sembrava più un file temporaneo che, una volta terminato il download, sarebbe stato rinominato ed eseguito.

L'header infatti è quello di un file eseguibile, però ci sono incongruenze all'interno.

Ergo, nessun problema ;)

******fine trasmissione :D :D*******

Io ho una domanda: che nome è stato affibiato a queste bestioline?
Ciao

Trojan-Proxy.Win32.Lager.AQ

Trojan-Proxy.Win32.Lager.AQ
Grazie amico.
Ciao

Grazie amico.
Ciao

;)

Ciao, sono nuovo di qui.
Oggi, acceso il pc, Zonealarm mi segnala che il file VOBLAIZDUPLA.EXE voule accedere ad internet. io ho negato l'accesso.
Ho controllato (anche facendo la dir da cmd) nella ...windows\system32\ e il file taskdir.exe non è presente.
Volevo sapere se per evitare l'infezione mi basta eliminare il VOBLAIZDUPLA.EXE o devo fare anche altro. su questo pc ho installato Avast che sfortunatamente non riconosce questo file come un problema.
Grazie

Ciao, sono nuovo di qui.
Oggi, acceso il pc, Zonealarm mi segnala che il file VOBLAIZDUPLA.EXE voule accedere ad internet. io ho negato l'accesso.
Ho controllato (anche facendo la dir da cmd) nella ...windows\system32\ e il file taskdir.exe non è presente.
Volevo sapere se per evitare l'infezione mi basta eliminare il VOBLAIZDUPLA.EXE o devo fare anche altro. su questo pc ho installato Avast che sfortunatamente non riconosce questo file come un problema.
Grazie

http://www.virusinformatici.it/?p=4 :)

in altre parole controlla se ci sono i files che sono elencati nel link che ti ho dato, cmq detto in questo modo teoricamente stai pure tranquillo, hai fatto bene a negare l'accesso

Si, grazie ho controllato facendo la dir in windows\system32 e non ho trovato ne parad.raw.exe ne taskdir.exe ne taskdir.dll. ho rimosso con erase voblaizdupla.exe sia dalla directory windows\system32 sia la copia che windows si era caricato in prefetch. Ho riavviato. Ora sembra tutto normale. Non che prima avessi avuto dei problemi.
Ma come ho fatto a prenderlo?

bleah,

mi hanno copiato l'analisi su internet senza mai citarne l'autore :rolleyes:

MIA (http://www.wilderssecurity.com/showpost.php?p=711225&postcount=5)

http://forums.vnunet.com/thread.jsp?forum=5&thread=81933&message=568921

http://www.bullguard.com/forum/8/TASKDIREXE-Trojan_29164.html

bleah,

mi hanno copiato l'analisi su internet senza mai citarne l'autore :rolleyes:

MIA (http://www.wilderssecurity.com/showpost.php?p=711225&postcount=5)

http://forums.vnunet.com/thread.jsp?forum=5&thread=81933&message=568921

http://www.bullguard.com/forum/8/TASKDIREXE-Trojan_29164.html

Ho visto... e fossi in te ne andrei fiero :)

Ciao, :mad:

Potresti gentilmente dirmi se hai risolto il problema e in quale modo .... te ne sarei grato. Grazie e buona giornata