Abufinzio
16-03-2009, 01:59
Gira un nuovo tipo di malware tra gli utenti del programma di chat msn messenger.
Parte tutto con una semplice conversazione con chiunque delle vostra lista.
Vi chiedono se conoscete un certo bruno bozzetto o cmq vi parlano di un fumettista.
Vi mandano un suo filmato in exe all'interno di un archivio zip.
Pare una conversazione normale dato che a domande varie tipo "è un virus?" "è sicuro?" risponde in modo sensato.
Ed in fatti lo è, non è un ai che risponde in automatico, è una persona italiana che ha preso possesso della password di quella persona che vi sta contattando, si è connesso e vi risponde normalmente.
Ovvio che con delle risposte sensate uno apre il file tranquillamente.
Il file che la persona vi manda è uno zip con all'interno una animazione in flash o cosi pare essere.
In realtà è un virus o cmq malware e infatti non parte restituendo un messaggio di errore indicando che la versione di flash che avete sul pc non è aggiornata.
E li avviene l'infezione.
Per sapere se siete stati colpiti andate su c: e vedete se avete un file con estensione scr, poi cliccando su start > esegui > msconfig andate sulla linguetta AVVIO e vedete se avete un file bolle o cmq un scr che parte in automatico.
Se avete già riavviato è possibile che vediate, attraverso il task manager, un exe chiamato iexplorer che occupa circa 3 megabyte che se chiuso ricompare.
In più è possibile che se avete un firewall sw vi venga fuori la richiesta da parte di un programma crytp.exe di accedere ad internet, ovviamente bloccatelo.
A seconda dell'av che avete installato questa persona da remoto vi disattiva o cmq fa qualcosa per eliminare il problema antivirus, a me per esempio, dopo l'avvio (ancora non avevo capito l'entità del danno) mi compare la richiesta del programma di accedere ad internet nonostante l'avessi flaggato con blocca sempre e il cursore si sposta automaticamente su consenti.
A quel punto vedo i programmi dumeter e cfos speed che indicano un alto valore in upload e le lucine del router cominciano a lampeggiare all'impazzata, a quel punto ho staccato direttamente il cavo ethernet che fortunatamente avevo li vicino.
Fatto ciò formatto :asd:
Quali dati mandi non lo so, quello che è certo è che frega la password del vostro account di messenger per poi connettersi e inviare questo file a tutti quelli della vostra lista.
Se pensate di essere stati beccati cambiate tempestivamente la password del vostro account hotmail/live, meglio se da un altro pc.
Se l'opzione Salva Password era disattivata magari non vi è successo nulla ma non ne sarei cosi sicuro.
La fonte di sta cosa praticamente sono io che dopo la formattazione del pc ho aperto un thread sul forum di ngi che potete leggere a questo (http://gaming.ngi.it/showthread.php?t=487982) indirizzo.
Non pensate di essere al sicuro, ha fregato anche gente con nod, avg, avira e altri av.
Grazie all'utente superbug pare esserci una cura ma da bravo winzozziano vi consiglio di formattare :asd:
Parte tutto con una semplice conversazione con chiunque delle vostra lista.
Vi chiedono se conoscete un certo bruno bozzetto o cmq vi parlano di un fumettista.
Vi mandano un suo filmato in exe all'interno di un archivio zip.
Pare una conversazione normale dato che a domande varie tipo "è un virus?" "è sicuro?" risponde in modo sensato.
Ed in fatti lo è, non è un ai che risponde in automatico, è una persona italiana che ha preso possesso della password di quella persona che vi sta contattando, si è connesso e vi risponde normalmente.
Ovvio che con delle risposte sensate uno apre il file tranquillamente.
Il file che la persona vi manda è uno zip con all'interno una animazione in flash o cosi pare essere.
In realtà è un virus o cmq malware e infatti non parte restituendo un messaggio di errore indicando che la versione di flash che avete sul pc non è aggiornata.
E li avviene l'infezione.
Per sapere se siete stati colpiti andate su c: e vedete se avete un file con estensione scr, poi cliccando su start > esegui > msconfig andate sulla linguetta AVVIO e vedete se avete un file bolle o cmq un scr che parte in automatico.
Se avete già riavviato è possibile che vediate, attraverso il task manager, un exe chiamato iexplorer che occupa circa 3 megabyte che se chiuso ricompare.
In più è possibile che se avete un firewall sw vi venga fuori la richiesta da parte di un programma crytp.exe di accedere ad internet, ovviamente bloccatelo.
A seconda dell'av che avete installato questa persona da remoto vi disattiva o cmq fa qualcosa per eliminare il problema antivirus, a me per esempio, dopo l'avvio (ancora non avevo capito l'entità del danno) mi compare la richiesta del programma di accedere ad internet nonostante l'avessi flaggato con blocca sempre e il cursore si sposta automaticamente su consenti.
A quel punto vedo i programmi dumeter e cfos speed che indicano un alto valore in upload e le lucine del router cominciano a lampeggiare all'impazzata, a quel punto ho staccato direttamente il cavo ethernet che fortunatamente avevo li vicino.
Fatto ciò formatto :asd:
Quali dati mandi non lo so, quello che è certo è che frega la password del vostro account di messenger per poi connettersi e inviare questo file a tutti quelli della vostra lista.
Se pensate di essere stati beccati cambiate tempestivamente la password del vostro account hotmail/live, meglio se da un altro pc.
Se l'opzione Salva Password era disattivata magari non vi è successo nulla ma non ne sarei cosi sicuro.
La fonte di sta cosa praticamente sono io che dopo la formattazione del pc ho aperto un thread sul forum di ngi che potete leggere a questo (http://gaming.ngi.it/showthread.php?t=487982) indirizzo.
Non pensate di essere al sicuro, ha fregato anche gente con nod, avg, avira e altri av.
Grazie all'utente superbug pare esserci una cura ma da bravo winzozziano vi consiglio di formattare :asd: