Stamattina, chattando, un utente mi ha spedito un link strano.
Il messaggio e' del tipo
" foto :stordita: :stordita: ha haha :stordita: http://www.*hi5-spaces.com*/gallery.php?=(nome contatto) "
dove (nome contatto) e' il nome del destinatario.
Cliccando sul link, si apre la finestra di download di un file che (all'occhio inesperto) sembra una foto ovvero "PICT2009-02-14-JPG.EXE". Se togliete gli asterischi parte il download (anche senza nome contatto).
Chiaramente dall'estensione si capisce che non lo e'.
L'icona e' pero' quella di una foto. Le dimensioni del file sono 99,5 KB (101.889 byte).
Il file e' un Win32 Cabinet Self-Extractor con all'interno un file "burnew.exe" (non so se cambia), con un mouse come icona.

Su threatexpert.con ho trovato questo report:
http://www.threatexpert.com/report.aspx?md5=f766e18ad9cc92daa09d75780cf628d0
e lo segnala come trojan.
Il contatto infettante invia continuamente il messaggio riportato sopra.

e' inutile dirlo cmq, attenti....

P:S: alle 13:00 (15/02/2009) Avira antivir non aveva ancora disponibile l'update. Invece Malwarebytes Anti-Malware si', beccando il file. (io pero' non sono stato infettato quindi non so se la cosa cambia se il trojan viene iniettato)

sezione sbagliata..?:stordita:

forse l'intenzione dell'utente era quella di avvisare tutti di questo trojan che gira su msn, visto che dice che non è infetto. la notizia non è propriamente ben formattata, ma ho deciso di far lasciare aperta la discussione lo stesso.
Comunque si sa da un bel po' che girano queste cose, comunque tienici informati della rilevazione del vari antivirus magari facendo un report su virus total et similia. intanto invia il sample del virus a quante più case antivirus possibili.

credevo si intuisse che la mia voleva essere solo una segnalazione.

Il contatto (un mio amico) che ha provato a inviarmi il trojan mi ha riferito che al riavvio della macchina e' comparsa una schermata DOS like riportante un angosciante avviso di infezione.
La modalita' provvisoria si blocca alla schermata del desktop senza alcuna icona e senza barra (probabilmente non viene caricato explorer.exe) [OS: winxp]. In modalita' normale non viene permesso l'accesso a task manager.

Tuttavia l'infezione e' stata velocemente risolta (almeno cosi' sembra) usando Malwarebytes (anche con l'aggiornamento di 4 giorni fa)...

vi faccio sapere se ci sono novita'.

Buona sera, mi sono appena registrato sul forum, ho preso questo virus e cercando una soluzione mi sono imbattuto in questa discussione e mi sono immediatamente registrato. Anche io chattando su live ho cliccato su un link che diceva foto ahah. Maldestramente ho eseguito il file, nod 32 mi ha segnalato il virus e si sono aperte e chiuse varie finestre, per qualche decina di secondi è rimasto tutto bloccato. Windows live apriva varie finestre che dicevano "pubblica file in linea" o "pubblicato file in linea". Poi mi sono scollegato e ho fatto una scansione con nod che non mi segnalava nulla. MI sono ricollegato e ho cedrcato "win 32 cabinet self extractor" su google e quindi ho seguito i vostri consigli effettuando una scansione con Malwarebytes. Riporto il file log:

Malwarebytes' Anti-Malware 1.34
Versione del database: 1766
Windows 5.1.2600 Service Pack 3

17/02/2009 1.57.05
mbam-log-2009-02-17 (01-57-00).txt

Tipo di scansione: Scansione completa (C:\|D:\|)
Elementi scansionati: 142533
Tempo trascorso: 58 minute(s), 52 second(s)

Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Elementi dato del registro infetti: 0
Cartelle infette: 0
File infetti: 1

Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)

Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)

Chiavi di registro infette:
(Nessun elemento malevolo rilevato)

Valori di registro infetti:
(Nessun elemento malevolo rilevato)

Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)

Cartelle infette:
(Nessun elemento malevolo rilevato)

File infetti:
C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> No action taken.


poi ho eliminato il file infetto e riavviato.
Ciò che volevo chiedere (scusate ma sono a digiuno della materia) è che tipo di danni può aver fatto questo virus, se può aver rubato foto o files, se li ruba in modo automatico o se è l'aggressore a "vagare" nel pc aggredito. Di quanto tempo ha bisogno per rubare i files? Scusatemi per il linguaggio sicuramente poco tecnico e per le domande dirette. Vi ringrazio anticipatamente per la gentilezza nel dedicarmi il vostro tempo leggendo queste righe.

Avira Antivir lo classifica come un worm (WORM/Rbot.101889).
I worm (un tipo di malware) si autoreplicano; per far cio' cercano innanzitutto di restare in esecuzione (modificando il registro di winzoz, come faceva il worm in questione, o semplicemente aggiungendosi come elemento all'avvio del os). Poi cerca di diffondersi utilizzando internet, per cui ha varie opzioni: mettersi a cercare IP verso cui copiarsi, usare i tuoi contatti di email (evidentemente, inviandosi a loro), usare programmi per comunicare con altri utenti (tipo msn).
Di per se il worm non causa danni particolari, rallenta in vario modo il pc dell'ospite. Il guaio e' quando invece va a modificare i programmi che potrebbero "interferire" con la sua riproduzione (antivirus, firewall, anti-malware, ecc). Dirai tu, "ma l'antivirus, ecc. sono fatti proprio per scovarli"... si', ma se ancora non conoscono il tale worm (che magari e' stato appena rilasciato in rete), l'antivirus, ecc. non se ne accorge e lo lascia lavorare (e ne resta colpito).
(ricorda: un antivirus e' efficace se conosce le definizioni del virus... se ti becchi un virus appena nato, sei fregato)
Spesso i worm sono vettori di altre "patologie" (altri malware vincolati) [tecnicamente, hanno un payload], ed e' quella la parte piu' pericolosa e il danno grosso e' dovuto al payload.

Cmq, mi sembra che questo worm non era particolarmente pericoloso.
Tentava semplicemente di replicarsi usando i tuoi contatti msn.
Probabilmente ti ha preso gli indirizzi di msn; ti consiglio vivamente di cambiare la password di accesso.
Se so qualcos'altro ti faccio sapere....
ciao

Innanzitutto mi scuso per aver postato così senza seguire le regole del forum, il fatto è che le ho lette dopo, preso dal panico ho immediatamente postato in quanto cercando il virus su internet questo è stato l'unico risultato e quindi l'unica ancora di salvezza (tenete conto che non navigando spesso è stato il primo virus preso e immaginavo già persone intente a frugare e scopiazzare tra i miei files).
Miki grazie per la risposta e per la cortesia.

Innanzitutto mi scuso per aver postato così senza seguire le regole del forum, il fatto è che le ho lette dopo, preso dal panico ho immediatamente postato in quanto cercando il virus su internet questo è stato l'unico risultato e quindi l'unica ancora di salvezza (tenete conto che non navigando spesso è stato il primo virus preso e immaginavo già persone intente a frugare e scopiazzare tra i miei files).
Miki grazie per la risposta e per la cortesia.

Nell'eventualità la Sezione corretta per la rimozione dei virus è la seguente http://www.hwupgrade.it/forum/forumdisplay.php?f=125 :)