Quote:
Originariamente inviato da Sajiuuk Kaar
Guarda che NON E' ***QUEL*** "tenga"...
Sono infetto da W32.Tenga/gen che è una variante astrusa del Gael originale... *forse*... se non è uno completamente diverso che si diffonde in maniera completamente diversa come penso e ripeto penso... non sono sicuro di una mazza... neanche il pc è sicuro a quanto pare... L'unica cosa di cui sono sicuro è: "Apro e-mule. Lascio aperto 1 giorno o 2 = becco il tenga". Probabilmente con un firewall risolverei questo problema ma ne ho provati un fracco e buona parte mi causava problemi con gli installer e gli updater di varii giochi come, tanto per citarne uno, Trackmania Nations.
|
Capisco che tu non ne sia sicuro.....però le info le dà anche il tuo stesso link postato più sù (post n°7) se vai al link successivo
http://ca.com/it/securityadvisor/vir....aspx?ID=43319 ti dà altre info a riguardo che ti dirò sono le stesse degli altri...è una variante del 2006 e ti riporto acnhe questo a suffragio dle fatto che emule non ci azzecca niente
Quote:
Metodo di distribuzione
Via File Infection/Network Shares
Gael spreads to remote machines by initially scanning random IP addresses on port 139, and then infecting target files on machines with open shares.
|
Poi come ti dicevo il famoso file CBACK.EXE..che poi non è solo ma c'è ne un altro a fargli compagnia
Quote:
Elemento del codice infetto che ne produce gli effetti più o meno distruttivi
Downloads and Executes Arbitrary Files
The virus attempts to download the file dl.exe from the utenti.lycos.it domain and executes it. This file may be detected as Win32.Gael!downloader by CA Antivirus solutions.
This file, in turn downloads and executes two additional files from the same domain:
<root>\GAELICUM.EXE - a copy of the virus
< root>\CBACK.EXE - the backdoor component (this file may be detected as Win32.Gael.A by CA Antivirus solutions).
Backdoor Functionality
CBACK.EXE opens a backdoor on port 4321 which receives and executes commands from a remote controller using the Windows command prompt. It also sends a notification (presumably of the new system compromise) that contains the open port number to the vx9.users.freebsd.at domain.
|
Ripeto anche altre info in rete dicono più o meno la stessa cosa....
Saluti
