Ebbene si!
Molti antivirus non riconoscono questo tipo di virus che si diffande su msn ...
Una mia compagna me lo invia...
Lo accetto sapendo che è un virus per provarlo. (link al download del virus hxxp://members.lycos.co.uk/menaked/?=indirizzo@hotmail.it)
Ma antivirus silenzioso..
Allora trasferisco il tutto sulla vm...
Lo eseguo..
E faccio il video di tutto quello che è successo :D
Analisi e rimozione del virus

------------------------------------------------------

Download

Video (http://rapidshare.com/files/85176848/virus.7z.html)

Il video è stato compressato in 7z; peso 2,5 mb(da 351 mb :asd:)

----------------------------------------------------------------

Analisi virus total qui (http://www.virustotal.com/it/analisis/de7f1a9aa8585da37aaa271ec70a6e50)

Mi raccomando Attenzione
Invece a voi grandi esperti...
Analizziamolo insieme..
Secondo voi è davvero così semplice rimuoverlo ? :stordita:
Ciao

prova ad analizzarlo anche qui:
http://virusscan.jotti.org/

potresti mandarmi in email copia zippata del file?

e abbandona rapidshare che è un host veramente inutile... usa il nuovo host linkato nelle regole di sezione dell'area "Aiuto sono Infetto" ;)

il link al virus non va tripod dice pagina inesistente

puoi mettere un link taroccato per i niubbi ma funzionante, magari anche un file zippato protetto con password per sicurezza?

poi c'è un indirizzo e-mail in chiaro nel post, se è valido è a rischio spam

il video non è scompattabile... e cmq inutile comprimerlo visto che i video e immagini non possono far guadagnare spazio con i sistemi di compressioni quali zip/tar/rar/7z/..

il video non è scompattabile... e cmq inutile comprimerlo visto che i video e immagini non possono far guadagnare spazio con i sistemi di compressioni quali zip/tar/rar/7z/..


ho appena scaricato il video da due mega si passa a 300 e passa mega

che poi ci siano servizi migliori di rapidshare su questo concordo

megaupload +

http://altagradazione.blogspot.com/2007/12/ottenere-un-link-premium-di-megaupload.html

prova ad analizzarlo anche qui:
http://virusscan.jotti.org/

potresti mandarmi in email copia zippata del file?

e abbandona rapidshare che è un host veramente inutile... usa il nuovo host linkato nelle regole di sezione dell'area "Aiuto sono Infetto" ;)

ok lo riosto e ti invio una copia zippata ;)

Almeno da ciò che si reperisce in rete,debellare
questo virus,per rispondere alla domanda iniziale, sembra piuttosto semplice:

Recarsi in Start — Esegui e scrivere "msconfig" e dare INVIO.
Nella schermata che appare spostarsi nella scheda Avvio. Individuare nell’ elenco "Services.exe" e de-checcarlo (togliere il segno di "visto" dalla relativa casellina)
Clickare su Ok e riavviare il computer
Tornati in Windows, recarsi dove stà services.exe (ad esempio in C:\Documents e Settings\Delfins\Impostazioni Locali\temp\services.exe) ed eliminarlo manualmente, ora si riuscirà a farlo
Svuotare il cestino
Virus debellato!

Fonte Quì (http://www.delfinsblog.it/2008/01/11/rimuovere-il-virus-nakedmodel18com-win32ircbotaal-di-live-messenger/)

Maggiori info Quì (http://www.delfinsblog.it/2008/01/10/emoticon-con-il-tuo-volto-e-nakedmodel18com-il-nuovo-virus-di-msn-messenger/)

puoi hostare il video su un servizio serio???

rapidshare mi fa attendere mezz'ora loro e i loro caxxo di account premium

il link per il download porta ad uno spazio che sembra essere stato cancellato...

puoi hostare il video su un servizio serio???

rapidshare mi fa attendere mezz'ora loro e i loro caxxo di account premium

il link per il download porta ad uno spazio che sembra essere stato cancellato...

Apparte che rapid funziona...
Cmq ecco qua http://www.fileup.itadib.com/download.php?id=5P7W6I7HKDmsF0jSksLp

Ma il problema è un altro ....
Non riesco più a trovare la copia del virus :stordita:
Provo a vedere se riesco a recuperarla dai file cancellati

mi è venuta un'idea... se facessimo un database di virus?

mi è venuta un'idea... se facessimo un database di virus?

tempo fa ho trovato questo hxxp://vx.netlux.org/vl.ph



P.s Protezione Anti-Lamer nell'indirizzo...
C'è un errore semplice semplice :ciapet:

però hanno il bagle solo fino alla ae... vabbè tanto si sa dove reperirlo :D grazie

il video non è scompattabile... e cmq inutile comprimerlo visto che i video e immagini non possono far guadagnare spazio con i sistemi di compressioni quali zip/tar/rar/7z/..

vediamo se il concetto rende meglio con uno screen:
http://img340.imageshack.us/img340/6134/schermata3mx8.th.png (http://img340.imageshack.us/img340/6134/schermata3mx8.png)

:D

sono riuscito a scompattarlo con peaZip ma rimango un po dubbioso sul perchè lo hai compresso, bastava già il formato avi....

sono riuscito a scompattarlo con peaZip ma rimango un po dubbioso sul perchè lo hai compresso, bastava già il formato avi....

Cumpare guarda il peso!!!!:D :D :D
Il video non compresso è 314 mb
Compresso invece diventa 2,12 mb

Forse anche in questo caso rende meglio uno screen :D

http://img152.imageshack.us/img152/5672/asdad4.th.jpg (http://img152.imageshack.us/my.php?image=asdad4.jpg)

Cmq il problema rimane un'altro....
Ho perso la copia del virus :muro:
Qualcuno l'ha ?
Se si prego di postarlo...
Cmq io intanto prego che quella mia compagna mi rinvia il virus :D
Ciao

Secondo voi è davvero così semplice rimuoverlo ? :stordita:
Sul forum, nella sottosezione Aiuto sono infetto, è presente una Guida apposita; il virus in questione (ultima variante di virus che si propaga attraverso i client di messagistica immediata di MSN ed, ora, anche di Yhaoo), si rimuove piuttosto semplicemente.

Certo stupisce, maggiormente, il fatto che, per beccarsi il virus che si propaga nel modo seguente:
invito a cliccare su un link che porta ad altro link che invita a scaricare un exe (services.exe per la precisione)
si deve essere, davvero, degli sprovveduti totali.

@ Sampei ciao: teoricamente quella procedura (semplificata) sarebbe corretta: in pratica non è sufficente; il virus in questione si propone in due versioni: una di esse, tra le altre diverse cose, installa degli screensaver non legittimi che devono essere rimossi.
Nella Guida, sono presenti i tool di rimozione necessari sia per debellare l'infezione che per individuare gli screen di cui facevo cenno prima.

bel video :D complimenti ;)

p.s. scompattato senza problemi con winrar su Svista :)

Sul forum, nella sottosezione Aiuto sono infetto, è presente una Guida apposita; il virus in questione (ultima variante di virus che si propaga attraverso i client di messagistica immediata di MSN ed, ora, anche di Yhaoo), si rimuove piuttosto semplicemente.

Certo stupisce, maggiormente, il fatto che, per beccarsi il virus che si propaga nel modo seguente:
invito a cliccare su un link che porta ad altro link che invita a scaricare un exe (services.exe per la precisione)
si deve essere, davvero, degli sprovveduti totali.

@ Sampei ciao: teoricamente quella procedura (semplificata) sarebbe corretta: in pratica non è sufficente; il virus in questione si propone in due versioni: una di esse, tra le altre diverse cose, installa degli screensaver non legittimi che devono essere rimossi.
Nella Guida, sono presenti i tool di rimozione necessari sia per debellare l'infezione che per individuare gli screen di cui facevo cenno prima.

Si ma questa non è la copia bastarda...
La mia non era riconosciuta dagli antivirus ed inoltre una volta eseguito crea un file in c>windows>system32 di nome ipconfig :)
E poi altra roba...
Per approfondimenti guarda il video

bel video :D complimenti ;)

p.s. scompattato senza problemi con winrar su Svista :)

Grazie:D

Si ma questa non è la copia bastarda...
La mia non era riconosciuta dagli antivirus ed inoltre una volta eseguito crea un file in c>windows>system32 di nome ipconfig :)
E poi altra roba... Per approfondimenti guarda il video
Gianky, almeno per me, non è una novità: se fai un giro nel thread semi-ufficiale, ti renderai conto che, i tool di rimozione utilizzati, falciano anche quella.
Mettiamola in questo modo: indipendente dalle varianti del virus, fino ad ora, abbiamo, sempre, risolto il problema.
Altra questione è la tua, mirata, da quel che ho potuto intendere, ad analizzare il virus e il relativo comportamento (ottimo il video a supporto).
Così come, un discorso a parte, merita la procedura di rimozione che è riportata in Guida, che non solo ha lo scopo di rimuovere quel virus e sue varianti ma, anche, quello di verificare, almeno a livello di base, la presenza di altre situazioni virali, sul P.C. degli utenti.

non sò perchè ma ho la sensazione che la prox variante sarà più "fetente" da rimuovere...:rolleyes:
effettivamente (come riportato dal socio ;) ) siamo riusciti già dall'inizio a debbellarla in modo efficace:D ...qualcuno potrebbe obbiettare che la si prende un "pò alla larga"...personalmente vedo più efficace il prenderla alla larga che correre il rischio di averne qualche traccia sul hard disk,considerando pure che la guida di River abbraccia più varianti......;)

Gianky, almeno per me, non è una novità: se fai un giro nel thread semi-ufficiale, ti renderai conto che, i tool di rimozione utilizzati, falciano anche quella.
Mettiamola in questo modo: indipendente dalle varianti del virus, fino ad ora, abbiamo, sempre, risolto il problema.
Altra questione è la tua, mirata, da quel che ho potuto intendere, ad analizzare il virus e il relativo comportamento (ottimo il video a supporto).
Così come, un discorso a parte, merita la procedura di rimozione che è riportata in Guida, che non solo ha lo scopo di rimuovere quel virus e sue varianti ma, anche, quello di verificare, almeno a livello di base, la presenza di altre situazioni virali, sul P.C. degli utenti.

Si la guida è ottima ....
Ma questa variante la cosa che mi stranizza è che non si faceva rivelare dagli antivirus...
Nonostante usasse le stesse tecniche di infezione.... :mc:
Mi chiedo; xkè ???:muro:

non sò perchè ma ho la sensazione che la prox variante sarà più "fetente" da rimuovere...
Nà, la mia impressione è che la prossima, visto come hanno affinato l'ultima variante, oltre ad utilizzare la più classica delle tecniche di rootkit, piazzerà anche un dialer: quindi concordo con te.
Si la guida è ottima ....
Ma questa variante la cosa che mi stranizza è che non si faceva rivelare dagli antivirus... Nonostante usasse le stesse tecniche di infezione....
Gianky credo dipenda dal fatto che, le due varianti, sono uscite, praticamente, una dietro l'altra, nel giro di tre/quattro giorni; posso presumere che, nessun antivirus (a parte Nod32 rispetto alla prima variante) le potesse rilevare.
La tecnica di infezione, rispetto alle precedenti varianti è diversa: prima, il virus in questione si limitava ad utilizzare tecniche di rootkit, installando oltre al virus, screensaver non legittimi: ora si è evoluto fino a far installare un exe; il prossimo passo, temo (come dicevo prima a Lancetta) sarà, anche, l'installazione di un dialer.
Una cosa è certa: l'analisi che hai compiuto è rilevante; non mi dispicerebbe tu ne facessi un resoconto scritto, nella apposita discussione; sarebbe, a mio parere, davvero utlile.

@Lancetta: Socio, la Guida non è mia: io ho posto, inizialmente, solo le basi; l'abbiamo sviluppata tutti assieme e, nel tempo è stata, grazie ai suggerimenti di diverse persone, migliorata: appartiene al forum, prima di ogni altra cosa.

il prossimo passo, temo (come dicevo prima a Lancetta) sarà, anche, l'installazione di un dialer.


La sai una cosa ???:D
Io posseggo già quella variante :D :D :D :asd:
Me la hanno inviata prima di questa presa in esame :asd:
Se vuoi te la passo ;)

Una cosa è certa: l'analisi che hai compiuto è rilevante; non mi dispicerebbe tu ne facessi un resoconto scritto, nella apposita discussione; sarebbe, a mio parere, davvero utlile.


Te la scrivo con piacere..
Ma quando ho un po di tempo :D
Ciao

La sai una cosa ???:D
Io posseggo già quella variante :D :D :D :asd:
Me la hanno inviata prima di questa presa in esame :asd:
Se vuoi te la passo ;)

ecchecacchio!!!!:muro: vedevo dei log strani ultimamente o più infezioni...
addirittura un utente ha beccato l'obfuscated attraverso msn sempre con la storia delle immagini proprie con le emoticon:rolleyes:
se penso che a me msn mi sta ampiamente sulle @@:stordita:

ecchecacchio!!!!:muro: vedevo dei log strani ultimamente o più infezioni...
addirittura un utente ha beccato l'obfuscated attraverso msn sempre con la storia delle immagini proprie con le emoticon:rolleyes:
se penso che a me msn mi sta ampiamente sulle @@:stordita:

:asd:

La sai una cosa ? Io posseggo già quella variante …. me la hanno inviata prima di questa presa in esame .... Se vuoi te la passo …
Grazie Gianky, non credo serva: tempo un paio di settimane e ce la ritroveremo in giro; quando sarà il momento, una prima idea su come affrontare la cosa, me la sono già fatta: e, come ho fatto fino ad ora, continuerò a fare riferimento ai suggerimenti che mi verranno offerti.
ecchecacchio!!!!:muro: vedevo dei log strani ultimamente o più infezioni ... addirittura un utente ha beccato l'obfuscated attraverso msn sempre con la storia delle immagini proprie con le emoticon
Tutto fa brodo Nà, ultimamente abbiamo visto un pò di tutto: vundo e beagle assieme, vundo e obfuscated assieme, obfscated preso attraverso MSN.
Se ricordi, te lo avevo detto: per la sottosezione Aiuto sono infetto, il 2008 sarà un anno pieno di novità (e di casini) :)

il 2008 sarà un anno pieno di novità (e di casini) :)

:coffee:

:coffee:

e non hai ancora vvisto nulla :D

e non hai ancora vvisto nulla :D
Al peggio non c'è mai fine :cool: ....... sono d'accordo ;)

mi inserisco anch'io (prepotentemente :D ) nella discussione per dire che trovo i movie sempre istruttivi ed entusiasmanti...

Spero sia lanciata una "moda" in tal senso....:)


PS: cmq lulli' fa caà ammodo...:D

ciao gente un piccolo ot: potreste consigliarmi una vm funzionante?

Virtual Pc, leggera e abbastanza pratica....ma se vuoi davvero esagerare, vai con VMWare che è semplicemente su un altro pianeta (flessibilità and so on...)

IMO

ciao ragazzi. leggendovi noto che parlate spesso di questa virtualizzazione.Ma che benefici ne trae la sicurezza? Io ne ho sentito parlare solo da voi qui sul forum e ho fatto una ricerca su wikipedia ma non ci capisco niente.
è una roba tipo sandbox che ogni programma che uso gira all'interno del sanbox senza poter apportare modifiche all'esterno?
grazie
P.s. tutto quello che so sulla sicurezza dei pc l'ho imparato da voi. questa mi manca.
pps. grazie ancora per avermi spinto ad installare linux

ciao ragazzi. leggendovi noto che parlate spesso di questa virtualizzazione.Ma che benefici ne trae la sicurezza? Io ne ho sentito parlare solo da voi qui sul forum e ho fatto una ricerca su wikipedia ma non ci capisco niente.
è una roba tipo sandbox che ogni programma che uso gira all'interno del sanbox senza poter apportare modifiche all'esterno?
grazie
P.s. tutto quello che so sulla sicurezza dei pc l'ho imparato da voi. questa mi manca.
pps. grazie ancora per avermi spinto ad installare linux

Bhe in parole povere è un pc dentro un pc :D :D :D
Infatti tu ti scarichi un programma come Virtual Pc 2007 della microsoft che è free ed ottimo (grazie Nv :)...
Poi crei un hard disk virtuale (lo vedrai passo passo col wizard del programma)
e infine una volta che avvi Virtual Pc è avvi la macchina virtuale che hai creato col programma ti troverai davanti al cd....
Quindi fai acquisire al programma un iso contenente un cd di installazione di windows (anche una copia illegale chi se ne fotte) e installi xp sulla macchina virtuale...
Insomma quella che vedrai ogni volta nella schermata del programma è un xp virtuale(scaricati il mio video mentre uso la macchina virtuale e capirai )
Ciao

OT

Qual'è il software che usi per realizzare questi video comprimibili fino a 2,5MB????

OT

Qual'è il software che usi per realizzare questi video comprimibili fino a 2,5MB????

Prima di tutto tutti i video non si riescono a compressare molto..
Ma in questo caso ha funzionato...
E ho usato il fidatissimo 7-Zip (http://downloads.sourceforge.net/sevenzip/7z457-x64.msi)

Ragazzi ci sn novità...
Con una grande botta di culo mi hanno re-inviato questo virus... :ciapet: :ciapet: :ciapet:
Ma stavolta antivir si arrabbia

http://img167.imageshack.us/img167/6996/virusil0.jpg

Ma non finisce qui....

Perchè mi hanno inviato pure quest'altro...

http://img167.imageshack.us/img167/8533/valentineyk0.jpg
Ma che sono graziosi! :D
Lo spacciano come screensaver e poi piazzano pure una immagine di didol :sofico:

Se volete inviatemi un pm e vi passo una copia dei virus...
Interessante quella spacciata per screensaver... :asd:
Ciao

ma quando imparerete a postare le immagini nel formato adatto ai forum?

che mi esce dal monitor un pezzo di forum.


:muro: :muro: :muro: :muro: :D :D :D

Ma non finisce qui....

Perchè mi hanno inviato pure quest'altro...


ci gioo le °° che il 2° è della famiglia Storm-worm (Rootkit, gran figlio di..:ncomment: )

Se puoi, testalo in VM e poi via di gmer :D ...




PS:
ho gettato ProSecurity contro 4 varianti di quest'immondizia e si è comportato come mi aspettavo...
Anche questo, infatti, dovrebbe funzionare cosi':

It inject into kernel with two steps:
1. Modify or replace [un file di sistema, di solito in system32/drivers] and then start it....
[il nuovo file di sistema] remove all SSDT hooks (se ci sono)....
2. Load its driver... from ZwLoadDriver...

ci gioo le °° che il 2° è della famiglia Storm-worm (Rootkit, gran figlio di..:ncomment: )

Se puoi, testalo in VM e poi via di gmer :D ...




PS:
ho gettato ProSecurity contro 4 varianti di quest'immondizia e si è comportato come mi aspettavo...
Anche questo, infatti, dovrebbe funzionare cosi':

It inject into kernel with two steps:
1. Modify or replace [un file di sistema, di solito in system32/drivers] and thenstart it....
[il nuovo file di sistema] remove all SSDT hooks (se ci sono)....
2. Load its driver... from ZwLoadDriver...

Hai ragione questo cazzo di virus è molto cazzuto :muro: ed è un rootkit :ncomment:
Ho levato alcuni file che ha creato ...
Ma intanto non si mette in avvio automatico ...
Ma ogni volta che accendo la vm mi compare la schermata per scegliere come devo entrare in windows...
La modalità provvisoria funziona...
Mentre avviando windows normalmente dopo che fa la schermata windows xp compare una schermata blu per 1 secondo (che non sono riuscito a leggere) e windows si riavvia...
E punto e a capo...
Invece funziona la modalità avvia windows con le ultime impostazioni funzionanti (non mi ricordo bn cm si chiama :D )
Ora ripristino la vm e faccio un video...
Devo usare programmi di protezione nella vm ?
O devo farmi infettare e poi tentare di rimuovere manualmente o con gmr ?
Ciao

ALT:

premesso che non ho capito gran chè specie nella 1° parte del discorso [:fagiano:], voglio sperare che i giochini siano fatti in VM anche perchè, altrimenti, è come spararsi sui °°....:read:

Tienilo sempre a mente....

In VM, allora, puoi *anche* dar libero sfogo alle tue voglie più represse senza doverti curare di altro:
la probabilità che ci sia un tracimamento dalla VM al sistema reale, infatti, è 0, di sicuro cmq per quel tipo di Rootkit...

Non sei (dunque) tenuto a dover forzare la mano se non te la senti:
se però forzi la mano e deliberatamente infetti la VM, con Gmer (ultima versione) + PrevxCSI dovresti essere in grado sia di vedere file/chiavi/processi nascosti, sia aver la possibilità di rimuovere tutto...

VirtualPC, se non ricordo male, è più "rigido" di VMWare e non ricordo se consente di salvare snapshot *prima dell'infezione* per poi, al limite, ripristinare l'immagine della VM precedentemente salvata....


Cmq sei in possesso di una delle "perle maliziose" :D di fine 2007/inizi 2008:
sei felice? :D




PS:
se me lo uplodi su rapidshare e poi (in pvt) mi passi il link, "lo lavoro anch'io"...:sofico:
Tanto, uno + uno -:
negli ultimi 10 giorni me ne sarò sparati qualcosa come 200 Rootkit...:D

Prevx almeno fino a ieri non lo vede così come F-Prot, Panda e Nod32

- Alcune tipologie di infezioni non sono facilmente individuabili, vedasi il worm Storm che ha messo in crisi per diverso tempo a causa di polimorfismo lato server;

- Non sempre se il dropper non è individuato, allora l'infezione non è riconosciuta. A volte i dropper sono utilizzati esclusivamente per installare nel pc un'altra infezione, la quale non necessariamente è diversa da precedenti;

- Se vedete qualche sample non riconosciuto, non aspettate i miracoli :D Segnalate direttamente voi stessi, così diventate anche voi partecipanti attivi di questa "guerra" - non che già non lo siate aiutando le persone a rimuovere le infezioni in maniera totalmente gratuita :)

OT:

è uscito ProSecurity 1.43 :sofico: ...
Se prima era robusto X, adesso sicuramente è robusto X+assai date le notevoli migliorie apportate (e grazie anche alle mie* insistenti pressioni che erano arrivate al limite dello scontro fisico**...) :D


*è si:
perchè per quanto vi possa sembrar strano o rodere, ho contribuito un sacco a segnalare diverse cose che andavano ma che potevano andar di gran lunga meglio...:Perfido:

** se cosi' si può dire visto che lui stà in Cina....

Tutto, con buona pace di eraser :Prrr:

ALT:

premesso che non ho capito gran chè specie nella 1° parte del discorso [:fagiano:], voglio sperare che i giochini siano fatti in VM anche perchè, altrimenti, è come spararsi sui °°....:read:

Tienilo sempre a mente....

In VM, allora, puoi *anche* dar libero sfogo alle tue voglie più represse senza doverti curare di altro:
la probabilità che ci sia un tracimamento dalla VM al sistema reale, infatti, è 0, di sicuro cmq per quel tipo di Rootkit...

Non sei (dunque) tenuto a dover forzare la mano se non te la senti:
se però forzi la mano e deliberatamente infetti la VM, con Gmer (ultima versione) + PrevxCSI dovresti essere in grado sia di vedere file/chiavi/processi nascosti, sia aver la possibilità di rimuovere tutto...

VirtualPC, se non ricordo male, è più "rigido" di VMWare e non ricordo se consente di salvare snapshot *prima dell'infezione* per poi, al limite, ripristinare l'immagine della VM precedentemente salvata....


Cmq sei in possesso di una delle "perle maliziose" :D di fine 2007/inizi 2008:
sei felice? :D




PS:
se me lo uplodi su rapidshare e poi (in pvt) mi passi il link, "lo lavoro anch'io"...:sofico:
Tanto, uno + uno -:
negli ultimi 10 giorni me ne sarò sparati qualcosa come 200 Rootkit...:D

Ma ovviamente lo testo sulla vm :D :D :D
Ti pare so scemo ?:ciapet:
Quindi ricapitolando...
Faccio un video della vm...
La infetto ed uso prevx csi + gmr e vediamo se riusciamo a rimuovere tutto..
Tra poco lo faccio
Ciaooooooooooooooooooo

P.S. Sono felice :asd:
P.s. 2 ora te lo metto su rapid ;)

Il video è pronto...
La dimensione originale è di 1,25gb ma compresso è arrivato a 6 mb :ciapet:
Questo video che dura mezz'ora è sosprattutto una analisi del virus e alla fine serve per capire che danni crea il virus; che cosa installa nel pc...eccetera
Inoltre pensavo di potere anche abbozzare una rimozione ma prevx csi vuole la serial per potere rimuovere...
Non potevo scaricare il crack o la serial mentre riprendevo (se no eraser ci resta male :asd:)...
Invece lascio a nV 25 il compito di fare un video su come liberarsi dal virus :D :D :D :ciapet:

Donwload

http://www.fileup.itadib.com/download.php?id=V7fv5yA1C7INy0HSdO7W

Ciao

questo giro di storm-worm, tra le tante cose, debugga...:D...e rimbalza! :ciapet:

A breve metto 2 screen :fiufiu:

Si inizia::D

(Questi pop-up sono obbligato a mostrarli perchè, essendo seguiti da un mio assenso, *NON* figurano nel Log...
E' essenziale notare *quanti OK* si deve dare perchè l'infezione possa realmente inizializzarsi...)

http://img299.imageshack.us/img299/1001/snap6fx3.th.jpg (http://img299.imageshack.us/my.php?image=snap6fx3.jpg)

http://img186.imageshack.us/img186/45/snap7yi6.th.jpg (http://img186.imageshack.us/my.php?image=snap7yi6.jpg)

http://img179.imageshack.us/img179/1628/snap8bg4.th.jpg (http://img179.imageshack.us/my.php?image=snap8bg4.jpg)

http://img186.imageshack.us/img186/1974/snap9nz7.th.jpg (http://img186.imageshack.us/my.php?image=snap9nz7.jpg)

http://img179.imageshack.us/img179/2776/snap10hg8.th.jpg (http://img179.imageshack.us/my.php?image=snap10hg8.jpg)

http://img179.imageshack.us/img179/8494/snap11lz6.th.jpg (http://img179.imageshack.us/my.php?image=snap11lz6.jpg)

http://img255.imageshack.us/img255/5418/snap12wh4.th.jpg (http://img255.imageshack.us/my.php?image=snap12wh4.jpg)


Inutile dire che se un qualsiasi utente dovesse arrivare a questo punto, è solo un emerito cogl*** e merita di infettarsi....


Si può vedere allora il resto da questo log (HIPS automatizzato per bloccare certi comportamenti...)

http://img88.imageshack.us/img88/8097/snap1eq3.jpg

Dllhost.exe tenta di stabilire connessioni verso l'esterno, probabilmente alla ricerca di qualcos'altro da scaricare....

Via taskmanager si "spegne" il nuovo processo e bonanotte sonatori...

Gmer è pulito, ecc:
se il fine del malware era anche quello di mascherarsi, di sicuro non c'è riuscito...

Si inizia::D

(Questi pop-up sono obbligato a mostrarli perchè, essendo seguiti da un mio assenso, *NON* figurano nel Log...
E' essenziale notare *quanti OK* si deve dare perchè l'infezione possa realmente inizializzarsi...)

cut


Inutile dire che se un qualsiasi utente dovesse arrivare a questo punto, è solo un emerito cogl*** e merita di infettarsi....


Si può vedere allora il resto da questo log (HIPS automatizzato per bloccare certi comportamenti...)

cut

Dllhost.exe tenta di stabilire connessioni verso l'esterno, probabilmente alla ricerca di qualcos'altro da scaricare....

Via taskmanager si "spegne" il nuovo processo e bonanotte sonatori...

Gmer è pulito, ecc:
se il fine del malware era anche quello di mascherarsi, di sicuro non c'è riuscito...

ma.. una cosa mi cheidevo... se clicco "allow/permetti/ok/quellocheè" in tutti gli avvisi tranne che nell'ultimo, mi infetto comunque?
No, giusto? :stordita:

comunque, voi 2 mi state facendo venir voglia di installare una VM... quale consigliate (free)?

ps: comunque, interessante :) grazie per i vostri test

probabile....ma perchè dovresti arrivare a tanto?

IMO....

Cmq potrei provare ancora altre ipotesi:
a seconda infatti di dove interrompo il processo di esecuzione, variano i risultati (non si arriva magari alla scrittura nei rispettivi spazi di memoria dei processi nè [forse] al tentativo di debug...)

Cmq provo :)

tenta di stabilire connessioni verso l'esterno, probabilmente alla ricerca di qualcos'altro da scaricare....



Come dire... :stordita:
Il fetentone ha scaricato sulla mia vm altri 7 virus (tra cui anche dialer) :oink:
E da come si vede nel log il rootkit infetta tutti processi in esecuzione...
O sbaglio nV ?

i dettagli li daranno altri (eraser? gli passi il PVT, Gianky? :D )...

Cmq è un concentrato di schifezza...



PS:
ora provo casi "più rigidi" nell'esecuzione:
attendere, prego


Cambio anche alcuni settaggi di PS che su VM avevo lasciato su def e li setto come li ho io ora sul mio PC...

dicendo *SI* a tutto tranne che all'ultimo pop-up ( = Dllhost.exe che vuole partire...), fine della storia...

http://img20.imageshack.us/img20/3677/78249064jp0.jpg

PS: ora cmq mi vedo il video di Gianky....!


PS: ora cmq mi vedo il video di Gianky....!

Dopo aver visto attentamente il video, dico ancor più a gran voce:
PREVENIRE E' MEGLIO CHE CURARE!

Non pensavo assolutamente ad una bolgia del genere!:mbe: :muro:

bloccando Dllhost.exe, fine della storia...

http://img20.imageshack.us/img20/3677/78249064jp0.jpg

ah, ok, grazie :)