Ciao champions
Chiedo scusa del ritardo ma voleva essere sicuro prima di postarti.
Prima di tutto mentre mi avevi detto che si trattava di un vbs si tratta invece di un exe. E' quello lo stesso file?
Da una prima analisi non risultava particolarmente sospetto (non c'era uso di nessun packer e le sezioni erano tutte normali).
Ne' il mio antivirus (NOD32) ne' nessuno dei 3 antispyware che uso l'ha rivelato come sospetto.
Per assicurarmici pero' ho deciso di vedere come stavano le cose in un debugger.
Ho esaminato per prima cosa le stringhe del programma e li' sono saltate fuori un bel po' di cose. Poi seguendo anche un po' il codice (purtroppo non ho avuto il tempo materiale per vedere tutto come si deve) sembra che questo trojan cerca di creare una connessione con dei siti che chiaramente non indico qui allo scopo di mostrare della pubblicitta'. Poi c'e' il suo sito primario (sito di origine tedesca a quanto pare, come tra l'altro lo stesso trojan) al quale cerca aggiornamenti e sembra che provi anche a mandare dei dati criptati. Infatti cerca in C: se trovi qualche file nominato data senza nessuna estensione
Il file in ogni caso l'ho mandato gia' ad un laboratorio e spero mi contatterano
per i risultati definitivi.
Intanto te scaricati un firewall. Ti consiglio come soluzione gratuita Sygate Personal firewall che trovi
qui
Fatto questo installalo e riavvia. Poi vai
qui
e scaricati hijackthis. Lancialo e scegli l'opzione che ti permette di scansionare e salvare un log.
Poi copia il log qui cosi' ti dico se ci sono ulteriori problemi.
Questo per adesso.
Ci sentiamo per le novita'
Ti saluto
Ciao