Salve,
vi informo che sul p2p sta girando un piccolo eseguibile che alla scansione con tutti gli antivirus aggiornati (kaspersky, antivir, bitdefender, pure ewido) risulta essere pulito ma e' invece un trojan.
Esso installa un paio di eseguibili tra cui un certo smss.exe nella cartella c:\windows\system (tra l'altro al prossimo avvio riesce anche a bloccare il Kaspersky se ce l'avete installato).
Per il momento e' possibile individuarlo solo con hijackthis esaminando il log (comparirà tra l'altro la voce
"O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w")


p.s. a chi fosse interessato, gliene mando una copia :-)...

Saluti

basta non scaricare warez ;)

è già capitato almeno 4 volte quella voce
sfuggirà alle scansioni perchè agisce in modo un po' particolare ma non sfugge al log di hijack :cool:

Ciao,

la cosa si ricollega a Questo Post (http://www.hwupgrade.it/forum/showpost.php?p=12051054&postcount=23) dove hanno fatto analizzare quel file a vari scanners on line

non so e era la stessa cosa ma
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
si è già visto numerose volte di recente nei log

beh per chi volesse fare qualche test sul file..lo allego in formato zip..

non allegare file del genere sul forum! Oltretutto si tratta anche di materiale non riconosciuto dalla maggioranza degli antivirus.
Io l'ho scaricato e ora lo controllo ma l'ho rimosso dal forum.

avevo anche trovato un post del forum p2pforum.it in cui si parlava sempre di quella voce e di un modo per rimuovere il tutto

x wgator : Ok scusa...ma infondo è stato detto chiaramente che e' un virus ed era pure zippato....
Cmq l'hai esaminato ?...Novità ?

Ciao,

al momento è riconosciuto solo da NOD32:
NOD32 Found probably a variant of Win32/TrojanDownloader.Agent.AHT (probable variant)

x wgator : Ok scusa...ma infondo è stato detto chiaramente che e' un virus ed era pure zippato....
Cmq l'hai esaminato ?...Novità ?

Si ma è molto pericoloso, qualcuno potrebbe infettarsi :(

Ciao,

al momento è riconosciuto solo da NOD32:
NOD32 Found probably a variant of Win32/TrojanDownloader.Agent.AHT (probable variant)


Nod32 rulez! :D E meno male che è poco efficace con i trojan! :D

PS: post n. 3000! :winner: E qui si festeggia! :D

mi è arrivato or ora il sample

chiudo la pratica con un altro sample che mi è arrivato oggi e mi metto a lavoro su questo :)

Qualche minuto di pazienza :)

uhm....penso proprio che è il sample del quale sto terminando l'analisi di oggi :D

Uploado ora l'analisi

ANALISI (http://www.pcalsicuro.com/malware/analisi/Trojan.Win32.Agent.gen.pdf)

sei un mito !

bene allora erano stati rimossi tutti nelle precedenti infezioni :)

Segnalato qualche ora fa ai ricercatori Kaspersky.

individuato ora da Kaspersky con il nome di:

Trojan-Proxy.Win32.Horst.af

uhm....penso proprio che è il sample del quale sto terminando l'analisi di oggi :D

Uploado ora l'analisi

quello che ti ho inviato io?

Interessante come cosa.. Il NOD lo trovava prima di Kaspersky?... Bisognerebbe provare se la versione 2006 lo avrebbe rilevato prima, l'ultima build è molto stabile e attivando tutto è piu veloce di NOD... Unica cosa... Kaspersky in 2 ore lo ha aggiunto, NOD sarebbero passate almeno 48 ore, non sono ultra veloci ad aggiungere le definizioni...

p.s. vi confermo che il trojan non fa partire il kaspersky, io ho la versione pro 5.0.527

Io attualmente monto la 2006... con settato tutto al max o quasi... da dove lo hai preso questo trojan? qualcuno lo puo testare sulla 2006 per vedere se lo blocca o meno?

Salve,
vi informo che sul p2p sta girando un piccolo eseguibile che alla scansione con tutti gli antivirus aggiornati (kaspersky, antivir, bitdefender, pure ewido) risulta essere pulito ma e' invece un trojan.
Esso installa un paio di eseguibili tra cui un certo smss.exe nella cartella c:\windows\system (tra l'altro al prossimo avvio riesce anche a bloccare il Kaspersky se ce l'avete installato).
Per il momento e' possibile individuarlo solo con hijackthis esaminando il log (comparirà tra l'altro la voce
"O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w")


p.s. a chi fosse interessato, gliene mando una copia :-)...

Saluti
già notato circa una settimana fa nei logs di HJT....in qualche modo siamo riusciti a risolvere,basta eliminare queste righe in modalità provvisoria:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown - C:\WINDOWS\system32\nvsvcd.exe

Vorrei sapere il nome con cui NOD ha battezzato questo trojan.
Ciao

Ciao a tutti e un grande di nuovo ad eraser.

Sarei curioso anch'io di vedere come si comporta la parte proattiva del KAV6 contro questo Trojan.Proxy.....

Faccio solo 2 considerazioni:
1) Ho controllato le chiavi di registro osservate dal KAV6 e non vi è traccia della HKLM\SOFTWARE\MICROSOFT\WINDOWS\CurrentVersion\RUN :muro: ( ho cercato in registry Guard->gruppo System Startup )...

PS: meno male ho cmq RegDefend:
http://img161.imageshack.us/img161/5479/rd18zi.jpg

La cosa grave (imo) è che cmq Eugene non abbia pensato a questa chiave di registro come critica.... :rolleyes: ...anche se l'utente ha sempre la possibilità di crearsela da solo....ma tant'è... :muro: :

1-0 per il trojan.proxy

2) Leggo poi dalla ECCELLENTE analisi di eraser che il file smss.exe "si inietta" nel processo svchost.exe:
ecco, forse questa fase dell' "iniezione" è quella che il KAV6 avrebbe intercettato con il meccanismo INTRUSION INTO PROCESS....e se uno avesse abilitato l'Application Integrity Control settando su "prompt for action" voci come svchost.exe, ad es.., e l' "iniezione" di cui parla il mod fosse stata la modifica del processo in questione, l'allarme sarebbe scattato.

Mi sentirei di dire allora:
1-0 per il KAV6

PS: fortuna anche qui c'è Process.Guard:

http://img161.imageshack.us/img161/7029/b6qo.jpg
http://img129.imageshack.us/img129/1973/a0re1.jpg

Peraltro, come si vede anche dall'ultimo screen, PG protegge anche contro nvsvcd.exe..... (global protection option -> block rootkit/driver/service installation...) :D


Il tutto da prendere con le molle, ovviamente.

:)

Segnalato qualche ora fa ai ricercatori Kaspersky.

individuato ora da Kaspersky con il nome di:

Trojan-Proxy.Win32.Horst.af

E come mai in questo momento il KAV 5.0.527 con firme aggiornate alle ore 10:01 di oggi non rileva ancora nulla ?...Scansionando il file mi dice NO DANGEROUS OBJECT DETECTED...

Tuttora il risultato (su virustotal) e' questo :

AntiVir 6.34.0.24 04.19.2006 no virus found
Avast 4.6.695.0 04.18.2006 no virus found
AVG 386 04.18.2006 no virus found
Avira 6.34.0.56 04.19.2006 no virus found
BitDefender 7.2 04.19.2006 no virus found
CAT-QuickHeal 8.00 04.18.2006 no virus found
ClamAV devel-20060202 04.18.2006 no virus found
DrWeb 4.33 04.19.2006 no virus found
eTrust-InoculateIT 23.71.133 04.19.2006 no virus found
eTrust-Vet 12.4.2167 04.19.2006 no virus found
Ewido 3.5 04.19.2006 no virus found
Fortinet 2.71.0.0 04.19.2006 suspicious
F-Prot 3.16c 04.19.2006 no virus found
Ikarus 0.2.59.0 04.19.2006 no virus found
Kaspersky 4.0.2.24 04.19.2006 no virus found
McAfee 4743 04.18.2006 no virus found
NOD32v2 1.1495 04.18.2006 probably a variant of Win32/TrojanDownloader.Agent.AHT
Norman 5.90.15 04.18.2006 no virus found
Panda 9.0.0.4 04.18.2006 Suspicious file
Sophos 4.04.0 04.19.2006 no virus found
Symantec 8.0 04.19.2006 no virus found
TheHacker 5.9.7.131 04.19.2006 no virus found
UNA 1.83 04.17.2006 no virus found
VBA32 3.10.5 04.19.2006 no virus found

Il pargolo mi incuriosisce.
C'è qualcuno che me lo manda?
Gli darò un occhio.
Ciao e grazie

X Tutmosi: Nod ha battezzato :p

Grande euristica!

X Tutmosi: Nod ha battezzato :p

Grande euristica!

:D

E come mai in questo momento il KAV 5.0.527 con firme aggiornate alle ore 10:01 di oggi non rileva ancora nulla ?...Scansionando il file mi dice NO DANGEROUS OBJECT DETECTED...

Si me ne sono accorto anche io

ieri sera avevo semplicemente spedito il trojan all'email

oggi parlo direttamente con i ricercatori :D :D

nod32 ancora non l'ha aggiunto (uno dei due, l'altro lo vede con l'euristica)

Ciao,

Questa è la situazione al 21 Aprile ore 9.00. Ci sono ancora parecchi antivirus molto diffusi che non lo riconoscono :(

AntiVir 6.34.0.24 04.20.2006 TR/Dldr.Agent.aht.1
Avast 4.6.695.0 04.20.2006 no virus found
AVG 386 04.20.2006 no virus found
Avira 6.34.0.56 04.21.2006 TR/Dldr.Agent.aht.1
BitDefender 7.2 04.21.2006 Trojan.Downloader.MO
CAT-QuickHeal 8.00 04.19.2006 no virus found
ClamAV devel-20060202 04.21.2006 no virus found
DrWeb 4.33 04.21.2006 Trojan.Spambot
eTrust-InoculateIT 23.71.135 04.21.2006 Win32/Boxed.5is!Trojan
eTrust-Vet 12.4.2169 04.20.2006 Win32/Boxed.BT
Ewido 3.5 04.20.2006 Downloader.Small.csc
Fortinet 2.71.0.0 04.21.2006 W32/Dloadr.TV!tr
F-Prot 3.16c 04.19.2006 no virus found
Ikarus 0.2.59.0 04.20.2006 Trojan-Downloader.Win32.Small.csc
Kaspersky 4.0.2.24 04.21.2006 Trojan-Downloader.Win32.Small.csc
McAfee 4745 04.20.2006 Generic Downloader.ab
NOD32v2 1.1498 04.20.2006 probably a variant of Win32/TrojanDownloader.Agent.AHT
Norman 5.90.16 04.20.2006 W32/DLoader.VYL
Panda 9.0.0.4 04.20.2006 Trj/Rizalof.BB
Sophos 4.04.0 04.21.2006 Troj/Dloadr-TV
Symantec 8.0 04.21.2006 no virus found
TheHacker 5.9.7.132 04.21.2006 Trojan/Downloader.Small.csc
UNA 1.83 04.20.2006 TrojanDownloader.Win32.Small
VBA32 3.10.5 04.19.2006 no virus found

Io ho NOD32, me lo rileva, però dopo qualche riavvio, mi torna fuori di nuovo

Questo file:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Ho notato che è presente nel mio PC.

L'unico rimedio è toglierlo manualmente????


Ciao e grazieeeeeeeee

Io ho NOD32, me lo rileva, però dopo qualche riavvio, mi torna fuori di nuovo

Questo file:
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Ho notato che è presente nel mio PC.

L'unico rimedio è toglierlo manualmente????


Ciao e grazieeeeeeeee
se lo elimini in modalità provvisoria non si rigenera ;)

disabilita il ripristino

Chiunque abbia a disposizione il pargoletto me lo potrebbe passare.
Conttatatemi please, vi mando in PVT la mail.
Grazie

Chiunque abbia a disposizione il pargoletto me lo potrebbe passare.
Conttatatemi please, vi mando in PVT la mail.
Grazie

Ciao,

dato che il transito di queste bestioline tramite e-mail ne provoca spesso l'intercettazione e il danneggiamento da parte dei sistemi di protezione dell'ISP, l'ho messo nel mio FTP, sottocartella Trojan-Downloader.Win32.Small.csc
La cartella è protetta da password che comunque dovresti conoscere ;)
In caso contrario fammi in fischio che ti mando User e PW via e-mail.

P.S.

Per tutti coloro che leggono: le cartelle sono protette da password per evitare che qualcuno si infetti per sbaglio. Se qualcuno conosce già la password perchè gliel'ho fornita precedentemente per scaricare altri sample, entri solo se sa esattamente ciò che sta facendo ;)

Ciao, io mi ritrovo un file smss.exe nella cartella c:\windows\system32 datato 19/08/2004 di 50.688 byte identificato come Windows NT Session Manager Ver. 5.1.2600.2180 si tratta del famigerato virus?
Antivira AntivirPE aggiornato con le ultime definizioni non lo riconosce come virus.

Ciao e grazie

Ciao, io mi ritrovo un file smss.exe nella cartella c:\windows\system32 datato 19/08/2004 di 50.688 byte identificato come Windows NT Session Manager Ver. 5.1.2600.2180 si tratta del famigerato virus?
Antivira AntivirPE aggiornato con le ultime definizioni non lo riconosce come virus.

Ciao e grazie
nessun virus ;)

Ciao, io mi ritrovo un file smss.exe nella cartella c:\windows\system32 datato 19/08/2004 di 50.688 byte identificato come Windows NT Session Manager Ver. 5.1.2600.2180 si tratta del famigerato virus?
Antivira AntivirPE aggiornato con le ultime definizioni non lo riconosce come virus.

Ciao e grazie

no...il file infetto sta nella cartella SYSTEM....(e non SYSTEM32)

se lo elimini in modalità provvisoria non si rigenera ;)

ho disabilitato il ripristino ..e vorrei eliminare delle voci che hjackthis mi da nn belle..ma quando riavvio in modalità provvisoria per cancellare faccio la scansione e quelle voci nncisono..riavvio normale e ci sono ..come è? :muro:

Grazie mille per la pronta risposta, mi ero già preoccupato.

Andando in modalità provvisorio, nei processo del taskmanager vedo tale file smss che è in esecuzione, quindi non me lo da togliere


Come faccio????

Ciao e grazieeeee

guarda che quello in system32 è legittimo

Andando in modalità provvisorio, nei processo del taskmanager vedo tale file smss che è in esecuzione, quindi non me lo da togliere


Come faccio????

Ciao e grazieeeee
ti è stato già detto ;)

Ok...quindi l'altro si trova nella cartella system e basta????

forse ho beccato questo visur come faccio ad essere sicuro che sia lui ?
con quali programmi lo becco e come lo tolgo ?
ho letto il post ma mi sembra di non aver capito come toglierlo
in modalità provvisoria manulamente con 1 canc ?
come blocco il ripristino configurazione
:help:
ps: mi ristrovo la freccia del mouse impazzita

forse ho beccato questo visur come faccio ad essere sicuro che sia lui ?
con quali programmi lo becco e come lo tolgo ?


Ormai gran parte degli antivirus riesce a rilevarlo, ti basta fare una scansione con Ewido.

Ormai gran parte degli antivirus riesce a rilevarlo, ti basta fare una scansione con Ewido.

ieri sera ewido non ha trovato niente, vorrei solo sapere se c' è ancora e come ?
oppure se è qualcosa d' altro ?
grazie

se era quel virus ewido te lo rilevava...

Salve a tutti, sono nuovo del forum (questo è il mio 1° post qui). Mi sono letto tutto il tread su Tenga e il tread su questo worm. Ho deciso di riaprire la discussione perchè mi ritrovo nelle cartelle condivise in rete due files (autorun.inf e setup.exe). Qualche rara volta avg free trova un virus ma molto raramente.. Qualche giorno fa mi ha trovato Gaelicum in dei files... Adesso più nulla, tranne questo setup.exe che continua a riformarsi. Il problema è uno: ho fatto la scansione con Hijackthis e cercato i vari file del worm di cui si parla in questo tread solo che... non si sono!!! :muro:

Cosa devo fare?!? :muro:

Grazie 1000

Con una scansione online di kaspersky ho scoperto che si tratta di questa schifezza:
Trojan-Proxy.Win32.Horst.av

Rimosso con ewido, evidentemente rileva anche le varianti...
Se però non fosse stato segnalato qui, non credo che l'avrei provato... grazie 1000!!!

risalveeeee
ecco direttamente dall' altro theread sul Tenga

( http://www.hwupgrade.it/forum/showthread.php?p=17065235#post17065235 )

aprendo il task manager di windows, trovo questi processi:

ctfmon.exe VALE
Keyhook.exe VALE
lsass.exe SYSTEM
csrss.exe SYSTEM
smss.exe SYSTEM

Sono puliti o maligni????????? :eek:

risalveeeee
ecco direttamente dall' altro theread sul Tenga

( http://www.hwupgrade.it/forum/showthread.php?p=17065235#post17065235 )

aprendo il task manager di windows, trovo questi processi:

ctfmon.exe VALE
Keyhook.exe VALE
lsass.exe SYSTEM
csrss.exe SYSTEM
smss.exe SYSTEM

Sono puliti o maligni????????? :eek:
non possiamo saperlo,devi prima indicare in quali cartelle sono situati questi file.
il file "lsass.exe SYSTEM",nel caso in cui per "l"intendi la L minuscola,è legittimo,nel caso sia una "i" maiuscola è da eliminare

si, sembra una normale lettera l minuscola, grazie.
Degli altri, come faccio a vedere i percorsi e le cartelle in cui sono allocati gli altri?

p.s nel frattempo sto facendo fare una scansione alla trial di Ewido, e mi ha già trovato una minaccia:

Heuristic.Win32.Host File

cos'è? un backdoor, un dialer? se fosse un dialer potrei stare tranquilla, ho adsl :mbe: