(W32.tenga]ma che simpatica cosa...

[Sajiuuk Kaar]

ho appurato con certezza del 100% che arriva da e-mule, e non è colpa delle versioni. sembra che il primo file infettato sia SEMPRE e COSTANTEMENTE quello di e-mule e lo dico per diversi motivi:
1- sull'altro pc non ho e-mule e non l'ho preso. (non ho nemmeno firewall e antiivrus)
2- è l'unico file che dopo l'infezione diventa corrotto e totalmente inusabile oltre alla maggiorparte degli archivi autoestraenti.
3- ogni persona che usa e-mule che conosco l'ha preso almeno una volta.
Adesso: non so come sia possibile sta cosa, TEORICAMENTE con un firewall si risolve. Fortuna che nod 32 lo toglie e stratoglie. E' fastidioso come un foruncolo sulle chiappe sto virus...

[Gle89]

Io sinceramente non ho capito molto da questo 3d...
1) non ho capito se tu sei infetto e vuoi aiuto
2) non ho capito se hai trovato la soluzione e vuoi spiegarcela.

Inoltre avendo usato quel programma per molto tempo ti posso assicurare che non ho mai preso quel virus, ne altri. E anche tutti i miei amici.

Inoltre:

Quote:

sembra che il primo file infettato sia SEMPRE e COSTANTEMENTE quello di e-mule

quale primo file? quale secondo file?

[xcdegasp]

Quote:

Originariamente inviato da Sajiuuk Kaar

ho appurato con certezza del 100% che arriva da e-mule, e non è colpa delle versioni. sembra che il primo file infettato sia SEMPRE e COSTANTEMENTE quello di e-mule e lo dico per diversi motivi:
1- sull'altro pc non ho e-mule e non l'ho preso. (non ho nemmeno firewall e antiivrus)
2- è l'unico file che dopo l'infezione diventa corrotto e totalmente inusabile oltre alla maggiorparte degli archivi autoestraenti.
3- ogni persona che usa e-mule che conosco l'ha preso almeno una volta.
Adesso: non so come sia possibile sta cosa, TEORICAMENTE con un firewall si risolve. Fortuna che nod 32 lo toglie e stratoglie. E' fastidioso come un foruncolo sulle chiappe sto virus...

non per azzardare una risposta, ma credo tu NON abbia scaricato un eMule ritenuto valido dalla community emuliana.
o maldestramente ti sei affidato a quelche exe spacciato per "velocizzatore" ed ecco che ci si infetta

ti posso garantire che se scarichi una mod di eMule da lidi ufficiali non avrai di che temere, e nella guida che ho in firma ci soino dei link da cui attingere le nuove versioni..
anche dalla mia homepage linkata sempre in firma

[Marci]

mai visto sto virus

[c.m.g]

Quote:

Originariamente inviato da xcdegasp

non per azzardare una risposta, ma credo tu NON abbia scaricato un eMule ritenuto valido dalla community emuliana.
o maldestramente ti sei affidato a quelche exe spacciato per "velocizzatore" ed ecco che ci si infetta

ti posso garantire che se scarichi una mod di eMule da lidi ufficiali non avrai di che temere, e nella guida che ho in firma ci soino dei link da cui attingere le nuove versioni..
anche dalla mia homepage linkata sempre in firma

credo che si possa propendere per questa ipotesi. inoltre non ti fidare molto dei programmi che trovi sul mulo o di altri magici trucchi per velocizzare il download, fidati solo di quello che è ufficiale.

[Bugs Bunny]

quoto gle....

credo che l'autore del thread sappia che se è infetto emule sono infetti molti altri
files e che il fatto che l'eseguibile di emule sia corrotto sia causato dal virus ma non significa niente in quanto questo malware TALVOLTA rovina i files che infetta

[Sajiuuk Kaar]

Quote:

Originariamente inviato da xcdegasp

non per azzardare una risposta, ma credo tu NON abbia scaricato un eMule ritenuto valido dalla community emuliana.
o maldestramente ti sei affidato a quelche exe spacciato per "velocizzatore" ed ecco che ci si infetta

ti posso garantire che se scarichi una mod di eMule da lidi ufficiali non avrai di che temere, e nella guida che ho in firma ci soino dei link da cui attingere le nuove versioni..
anche dalla mia homepage linkata sempre in firma

Spiacente ma ODIO le versioni tarocche. Cmq anche quelle tarocche si infettano dopo un po. I miei amici preferiscono la MorphXT. Io uso quello normale, non so perchè mi fido di più... ma a quanto pare comunque sono stato infettato...

http://www.emule-project.net/

da qui si piglia e DA NESSUN'ALTRA PARTE imho.

Visto che c'è chi non lo conosce: E' questo

Conosciuto anhce come Gael. Infetta gli exe e NESSUNO ha ancora capito come si diffonda... la mia infatti è un'ipotesi.

[xcdegasp]

Quote:

Originariamente inviato da Sajiuuk Kaar

Spiacente ma ODIO le versioni tarocche. Cmq anche quelle tarocche si infettano dopo un po. I miei amici preferiscono la MorphXT. Io uso quello normale, non so perchè mi fido di più... ma a quanto pare comunque sono stato infettato...

http://www.emule-project.net/

da qui si piglia e DA NESSUN'ALTRA PARTE imho.

e allora non era un virus contenuto nell'exe...
lo avbrai preso a posteriori e cmq non l'ho mai sentito e ho sempre usato nod32 fino a 30 giorni fa'
è anche vero che la morphXT non la uso, preferisco di gran lunga ScarAngel o epr stare il più vicino alla morphXT la StulleMule.

[Bugs Bunny]

Quote:

Originariamente inviato da Sajiuuk Kaar

Visto che c'è chi non lo conosce
NESSUNO ha ancora capito come si diffonda... la mia infatti è un'ipotesi.

W32.Licum is a file-infecting worm that may spread by exploiting the Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability (described in Microsoft Security Bulletin MS03-026).

When W32.Licum is executed, it performs the following actions:
-Generates random list of IP addresses and attempts to spread by exploiting the Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability (described in Microsoft Security Bulletin MS03-026) through TCP port 139.
[symantec]


W32/Tenga-A attempts to infect files at randomly chosen IP addresses via NetBIOS. [Sophos]

Hai windows aggiornato?

[xcdegasp]

Quote:

Originariamente inviato da Bugs Bunny

W32.Licum is a file-infecting worm that may spread by exploiting the Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability (described in Microsoft Security Bulletin MS03-026).

When W32.Licum is executed, it performs the following actions:
-Generates random list of IP addresses and attempts to spread by exploiting the Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability (described in Microsoft Security Bulletin MS03-026) through TCP port 139.
[symantec]


W32/Tenga-A attempts to infect files at randomly chosen IP addresses via NetBIOS. [Sophos]

Hai windows aggiornato?

e mi sa che qui gatta ci cova
addirittura del 2005

[lancetta]

quoto..il virus in questione sfrutta la vulnerabilità di RPC COM di Windows.Inoltre scarica anche un file CBACK.EXE che è un trojan.Non è emule ma il tuo s.o. non aggiornato

[xcdegasp]

sì ma significa che non sa nemmeno cosa sia un firewall

[PacManZ]

Vi assicuro che Sajiuuk usa win xp aggiornato

Vi assicuro che anche io con xp aggiornato non riuscivo a debellare il tenga (anche formattando)... Quel robo periodicamente tornava e mi infettava tutti gli exe.

E kasper si accorgeva quando ormai il virus ne aveva gia' infettati almeno una decina.


Ho risolto il problema passando a vista...

[juninho85]

Quote:

Originariamente inviato da Sajiuuk Kaar

3- ogni persona che usa e-mule che conosco l'ha preso almeno una volta.
.

sai quanti iscritti ci sono in questa community e quanti in percentuale utilizzano emule?!
prova a postare nel suo thread ufficiale,chiedi se è già accaduto a qualcuno,in seguito datti(e confermaci) una risposta

[Sajiuuk Kaar]

Quote:

Originariamente inviato da lancetta

quoto..il virus in questione sfrutta la vulnerabilità di RPC COM di Windows.Inoltre scarica anche un file CBACK.EXE che è un trojan.Non è emule ma il tuo s.o. non aggiornato

Guarda che NON E' ***QUEL*** "tenga"...
Sono infetto da W32.Tenga/gen che è una variante astrusa del Gael originale... *forse*... se non è uno completamente diverso che si diffonde in maniera completamente diversa come penso e ripeto penso... non sono sicuro di una mazza... neanche il pc è sicuro a quanto pare... L'unica cosa di cui sono sicuro è: "Apro e-mule. Lascio aperto 1 giorno o 2 = becco il tenga". Probabilmente con un firewall risolverei questo problema ma ne ho provati un fracco e buona parte mi causava problemi con gli installer e gli updater di varii giochi come, tanto per citarne uno, Trackmania Nations.

Quote:

Originariamente inviato da juninho85

sai quanti iscritti ci sono in questa community e quanti in percentuale utilizzano emule?!
prova a postare nel suo thread ufficiale,chiedi se è già accaduto a qualcuno,in seguito datti(e confermaci) una risposta

vedi PacManZ.... abbiamo formulato assieme l'ipotesi...
Probabilmente sfrutta la lista degli IP connessi di e-mule per distribuirsi. Non usa il bug del blaster. Se il mio computer non fosse protetto dal blaster ogni 5 secondi dovrebbe aprirsi una finestra che mi avvisa del riavvio del pc e così non è. Tralaltro ho provato ad installare l'aggiornamento del blaster e mi dice che la versione installata è superiore a quella che si stà per installare causa SP2 installato...

[xcdegasp]

Quote:

Originariamente inviato da Sajiuuk Kaar

Guarda che NON E' ***QUEL*** "tenga"...
Sono infetto da W32.Tenga/gen che è una variante astrusa del Gael originale... *forse*... se non è uno completamente diverso che si diffonde in maniera completamente diversa come penso e ripeto penso... non sono sicuro di una mazza... neanche il pc è sicuro a quanto pare... L'unica cosa di cui sono sicuro è: "Apro e-mule. Lascio aperto 1 giorno o 2 = becco il tenga". Probabilmente con un firewall risolverei questo problema ma ne ho provati un fracco e buona parte mi causava problemi con gli installer e gli updater di varii giochi come, tanto per citarne uno, Trackmania Nations.



vedi PacManZ.... abbiamo formulato assieme l'ipotesi...
Probabilmente sfrutta la lista degli IP connessi di e-mule per distribuirsi. Non usa il bug del blaster. Se il mio computer non fosse protetto dal blaster ogni 5 secondi dovrebbe aprirsi una finestra che mi avvisa del riavvio del pc e così non è. Tralaltro ho provato ad installare l'aggiornamento del blaster e mi dice che la versione installata è superiore a quella che si stà per installare causa SP2 installato...

almeno usi un router?

[juninho85]

Quote:

Originariamente inviato da Sajiuuk Kaar

vedi PacManZ.... abbiamo formulato assieme l'ipotesi...
Probabilmente sfrutta la lista degli IP connessi di e-mule per distribuirsi. Non usa il bug del blaster. Se il mio computer non fosse protetto dal blaster ogni 5 secondi dovrebbe aprirsi una finestra che mi avvisa del riavvio del pc e così non è. Tralaltro ho provato ad installare l'aggiornamento del blaster e mi dice che la versione installata è superiore a quella che si stà per installare causa SP2 installato...

pacmanz non dice nulla che supporti/squalifichi la mia proposta.
ripeto:chiedi nel thread di emule(abbastanza frequentato) e chiedi se qualcun'altro ha avuto il vostro medesimo problema

[Sajiuuk Kaar]

Quote:

Originariamente inviato da xcdegasp

almeno usi un router?

...appena possibile ne prenderò uno... al momento no. Non uso un router.
Se ti può "consolare" cmq PacmanZ se l'è preso con un riuter. In ufficio dei miei è entrato. E C'è il router. Ovviamente con il firewall attivo...

Quote:

Originariamente inviato da juninho85

pacmanz non dice nulla che supporti/squalifichi la mia proposta.
ripeto:chiedi nel thread di emule(abbastanza frequentato) e chiedi se qualcun'altro ha avuto il vostro medesimo problema

Puoi linkare il thread plz? O.o con cerca non lo trovo... escludendo i 60 secondi tra una ricerca e l'altra ache causano cancro ed ictus...
Cmq non dicevo che aveva detto che hai detto una cacata, dicevo che abbiamo fatto questa ipotesi assieme un bel po' di tempo fa...

[lancetta]

Quote:

Originariamente inviato da Sajiuuk Kaar

Guarda che NON E' ***QUEL*** "tenga"...
Sono infetto da W32.Tenga/gen che è una variante astrusa del Gael originale... *forse*... se non è uno completamente diverso che si diffonde in maniera completamente diversa come penso e ripeto penso... non sono sicuro di una mazza... neanche il pc è sicuro a quanto pare... L'unica cosa di cui sono sicuro è: "Apro e-mule. Lascio aperto 1 giorno o 2 = becco il tenga". Probabilmente con un firewall risolverei questo problema ma ne ho provati un fracco e buona parte mi causava problemi con gli installer e gli updater di varii giochi come, tanto per citarne uno, Trackmania Nations.

Capisco che tu non ne sia sicuro.....però le info le dà anche il tuo stesso link postato più sù (post n°7) se vai al link successivo http://ca.com/it/securityadvisor/vir....aspx?ID=43319 ti dà altre info a riguardo che ti dirò sono le stesse degli altri...è una variante del 2006 e ti riporto acnhe questo a suffragio dle fatto che emule non ci azzecca niente

Quote:

Metodo di distribuzione

Via File Infection/Network Shares

Gael spreads to remote machines by initially scanning random IP addresses on port 139, and then infecting target files on machines with open shares.

Poi come ti dicevo il famoso file CBACK.EXE..che poi non è solo ma c'è ne un altro a fargli compagnia

Quote:

Elemento del codice infetto che ne produce gli effetti più o meno distruttivi

Downloads and Executes Arbitrary Files

The virus attempts to download the file dl.exe from the utenti.lycos.it domain and executes it. This file may be detected as Win32.Gael!downloader by CA Antivirus solutions.


This file, in turn downloads and executes two additional files from the same domain:

<root>\GAELICUM.EXE - a copy of the virus
< root>\CBACK.EXE - the backdoor component (this file may be detected as Win32.Gael.A by CA Antivirus solutions).
Backdoor Functionality

CBACK.EXE opens a backdoor on port 4321 which receives and executes commands from a remote controller using the Windows command prompt. It also sends a notification (presumably of the new system compromise) that contains the open port number to the vx9.users.freebsd.at domain.

Ripeto anche altre info in rete dicono più o meno la stessa cosa....

Saluti

[juninho85]

porta 139 che tra l'altro dovrebbe essere chiusa non appena installato il sistema operativo,assieme alle altre 3-4 dell'ave maria