Salve a tutti, sono nuova in questo forum, una domanda:
Un mio collega mi ha spedito un file foto.zip che non riusciva ad aprire, credendo fosse un file mandatogli per lavoro l'ho aperto io. Scoprendo che non era per lavoro!

Il file è un html che fa una chiamata a CODEBASE=1/calc.exe

Norton non mi ha bloccato nulla e ora non so se è riuscito ad installare quello che doveva

Sapete come posso verificarlo se lo scan degli antivirus non mi dicono nulla?

Thx

Ciao,

:confused: è difficile dire di cosa si tratti... in effetti esistono un paio di worms che si installano con un eseguibile chiamato "calc.exe" ma se norton non ha rivelato nulla...

Prova a fare una scansione on line con questo: http://it.trendmicro-europe.com/consumer/products/housecall_it.php

Di solito è più efficace di Norton

Puoi anche installare Ad-Aware (http://www.lavasoft.de/) è molto utile averlo sul PC

Se ti rimangono dei dubbi posta di nuovo, vediamo che si può fare.

Il mio collega l'ha pulito con Norton, e mi sto chiedendo, il file htm l'ho aperto con FireFox di Mozilla, può essere che tramite mozilla non è riuscito ad eseguirsi?

Ciao,

allora... non sono certo di aver capito bene :(

un e-mail con un file .zip allegato... scompatti lo zip, contiene un file che si chiama "CODEBASE=1/calc.exe"

In questo caso potrebbe (dico potrebbe, condizionale) essere un virus.

Se invece fosse un collegamento ipertestuale che contiene un link del genere non succede assolutamente niente

Tieni conto che in locale, cioè sui nostri PC, calc.exe corrisponde alla calcolalatrice di windows. Se fai start->esegui calc.exe, vedi
che ti si apre la calcolatrice.

Se vuoi puoi mandarmi il file o meglio puoi mandarlo a

[email protected] oppure [email protected]

Questi indirizzi corrispondono rispettivamente al servizio analisi file sospetti a cura di Eraser e di MrOz che sono i maggiori esperti di virus e schifezze simili del forum :D

ho il tuo stesso problema ...prova a scaricare l'antivirus trial della karspersky da qui http://www.kaspersky.com/ e fai uno scan e vedi cosa ti trova....
se trova quello che ha trovato a me qui http://forum.hwupgrade.it/showthread.php?s=&postid=5625550#post5625550 magari ne veniamo a capo

A me si è presentato in modo diverso.
Una volta szippato all'interno c'era solo un file htm, una volta apero era bianco e non faceva nulla.

Insospettita ho guardato la sorgente del file e ho visto un object che mi chiamava questo eseguibile, esternamente.

Però penso di aver avuto una gran fortuna, FireFox 0.9.3 ha (almeno sul mio computer) un bug, ogni tanto si crede il browser predefinito senza che nessuno glielo dica.

Ieri si è creduto il predefinito e quando ho aperto l'htm si è aperto Lui anziché Explorer.

Ho avviato Norton e Nod32...nulla
Ad-aware e Spybot...nulla

Provo anche il tuo, ma il mio collega che lo ha aperto con explorer Norton gli ha trovato 3 virus....c'è anche da dire che vista la frequenza con la quale guarda sitacci non so da dove provenissero :-))

Ciao,

:D evidentemente era un virus incompleto: probabilmente te lo hanno mandato dopo che il Norton (quello del pc del tuo collega) si è accorto che l'eseguibile all'interno dello zip era un virus e lo ha ucciso.

A volte succede anche a me, mi dimentico di dire al Norton di non controllare all'interno degli archivi e mi rovina tutti i virus! :cry:

Non credo, perché neanche lui lo vedeva l'exe, aveva solo htm, e il suo pc si è infettato

Hehe...

darei una pizza ed una birra per avere tra le grinfie quel documento... quel tag è interessante, sarebbe carinissimo poter vedere il codice html di quella pagina :oink:

Attenzione, me lo sono inviato per inviarlo a voi da Outlook a Thunderbird (per tenere Outl il meno aperto possibile)...

E Surprise...!!

Nod3 me lo ha riconosciuto:

Exploit/CodeBaseExec Cavallo di troia



Ma Norton dorme?????!!!!!!!!! Norton me lo ha fatto inviare senza dire nulla....!!!!!!!!!!!!!!


Lo volete cmq?

se me lo mandi sì ;)

Originariamente inviato da Hikari
Attenzione, me lo sono inviato per inviarlo a voi da Outlook a Thunderbird (per tenere Outl il meno aperto possibile)...

E Surprise...!!

Nod3 me lo ha riconosciuto:

Exploit/CodeBaseExec Cavallo di troia



Ma Norton dorme?????!!!!!!!!! Norton me lo ha fatto inviare senza dire nulla....!!!!!!!!!!!!!!


Lo volete cmq?

kasperrsky lo ha riconosciuto subito

Allora è proprio Norton che fa schifo....


Ti ho mandato il virus

mm..

scusate se m intrometto

vengo dalla maratone SP2 quindi sono un po stonato


ma quel codice l'ho già visto

non era il codice per Object Codebase exploit per aprire la calcolatrice su di un computer remoto?

Ciao, netquik

si, infatti potrebbe essere, però con quel file alcuni di loro (escluso l'autrice del thread che usa firefox) dicono di essersi infettati :confused:

Comunque ha inviato il file sospetto a MrOz che ci dirà cosa diavolo era ???

[OT relativo

ho seguito attentamente tutte le tue discussioni e trucchi su sp2, complimenti, ottimo lavoro! :) sono un po' frastornato anch'io dopo aver letto centinaia di posts, immagino come possa sentirsi chi li ha scritti :p

/OT relativo]

:D
siamo vivi... e questo è già tanto :D

sì hai ragione.. per il virus...

ma forse non ho letto bene...

in che senso infetti? computer zombie?

perchè se esce solo l'avviso dell'antivirus...
bhè è il minimo che possa fare un antivirus decente...

il mcafee avverte anche per l'utility replacer


ciauz

Ot: Ma cos'è adesso si reciclano anche i nick? :mbe:

Originariamente inviato da hikari84
Ot: Ma cos'è adesso si reciclano anche i nick? :mbe:


:D :D :D ...gliel'ho chiesto anch'io :D

... chiedigli anche se pure lei è svizzera :D :D :D

Originariamente inviato da MrOZ
:D :D :D ...gliel'ho chiesto anch'io :D

... chiedigli anche se pure lei è svizzera :D :D :D

Pretendo i diritti d'autore... :mbe: :D

Un unica potentissima arma contro i virus!!!!
FORMATTA

Quel file foto.html contiene solo un semplice script in html x mandare in esecuzione il file calc.exe.

ultimamente xò c'è in circolazione una variante di bagle che è un trojan downloader ed arriva via emal con un allegato foto.zip: l'allegato xò contiene un file foto.html ed un file eseguibile calc.exe.
aprendo il file html andrà in esecuzione il file calc.exe appartenente al virus.

se si trattasse di quest'ultimo l'eseguibile potrebbe essere stato rimosso dal norton.


Allegati che si chiamano foto.zip sono spesso usati dai virus, bisognerebbe controllare l'email: mittente, oggetto, testo.

Cmq guarda qui e controlla con che file il trojan infetta l'OS

http://www.sophos.com.au/virusinfo/analyses/trojbagledla.html

Ciao.

Ciao hikari84,
sono nuova del forum e non ti avevo neanche vista.

Hikari è il mio nick di Icq da anni :-)

Si sono svizzera, hikari84 lo sei anche tu?


Cercherò di ricapitolare il tutto:

Il mio collega ha apero questo zip, e neanche da lui c'era l'exe.
Però si è infettato e il suo Outlook ha iniziato ad inoltrarlo a chiunque.
Io, pensando fosse un file valido poiché mi aveva chiamata per dirmi che non riusciva a vedere sta foto (nella redazione spesso mandano file per gli articoli senza scrivere nulla) l'ho aperto ma con FireFox.

Antivirus rilevano nulla e non uso Outlook. Boh.........
Forse mi è andata bene...

Originariamente inviato da Hikari
Ciao hikari84,
sono nuova del forum e non ti avevo neanche vista.

Hikari è il mio nick di Icq da anni :-)

Si sono svizzera, hikari84 lo sei anche tu?




da quando in qua tutte le svizzere si fanno chiamare hikari???!!! :confused:



:D :D :D :D

non tutte :) :)


io l'ho preso anni fa quando stavo male con un ex, e (stavo facendo lezioni di giapponese perché mi attirava molto), per tirarmi su volevo un nick che mi desse forza.

Ho scelto Hikari, che vuol dire luce.


:p

:mbe:

Ma sai che ho visto ora che sei di Lugano??????


Anche io.......

Ragazza mia tu non mi convinci... :mbe:

sento odore di fake

Originariamente inviato da Verdeosso
sento odore di fake

Tanto ormai, uno più uno meno...

Non ho capito bene qual'é il problema.

Mi sono iscritta pensando di aver infettato il compu del lavoro, mi dicono che il mio nick ce l'ha già qualcun'altra..nick che uso da danni in icq (vai sul sito e vedrai che ho questo nick)

sono di Viganello...(e non vedo che ci sia di strano)

Non capisco che fake potrei fare


Mi spiace che sei così sospettosa hikari84, a me l'idea di aver incrociato una tipa di Lugano con hikari nel nick era simpatica e visto che tu ci hai attaccato il tuo anno non vedevo neanche il problema.

Non so se ti piace la lingua giappo, non so se hai trovato questo vocabolo in qualche manga piuttosto che nella canzone di Kingdom Hearts. Ma qualsiasi fosse il motivo mi piaceva l'idea.

Originariamente inviato da Hikari
Non ho capito bene qual'é il problema.

Mi sono iscritta pensando di aver infettato il compu del lavoro, mi dicono che il mio nick ce l'ha già qualcun'altra..nick che uso da danni in icq (vai sul sito e vedrai che ho questo nick)

sono di Viganello...(e non vedo che ci sia di strano)

Non capisco che fake potrei fare


Mi spiace che sei così sospettosa hikari84, a me l'idea di aver incrociato una tipa di Lugano con hikari nel nick era simpatica e visto che tu ci hai attaccato il tuo anno non vedevo neanche il problema.

Non so se ti piace la lingua giappo, non so se hai trovato questo vocabolo in qualche manga piuttosto che nella canzone di Kingdom Hearts. Ma qualsiasi fosse il motivo mi piaceva l'idea.

Sarà che il tuo avatar mi ricorda qualcosa... :mbe:

Vabbé basta :p

hihihihi:D

Originariamente inviato da Verdeosso
hihihihi:D

Ridi perchè mi dai ragione? :O :D

non so,
io non so i loschi piani che avete voi in mente ma ne voglio restare fuori:O

Non so perché ti è famigliare, per me rimane solo un chocobo :-)

E poi non potrebbe centrare con me perché in altri forum di solito uso la gif animata di Rinoa (final fantasy VIII)...però era troppo grande per le impostazioni di questo forum... :-(

Cmq rimane il fatto che mi interessa solo capire di più il mondo dei virus e l'aiuto datomi in questo forum l'ho apprezzato molto, ringrazio tutti quelli che mi hanno dato consigli e chi ha visionato il file.