Help: ho fatto una mezza ca****a

[kintaro78]

Salve ragazzi, ho un dubbio che vi renderò partecipi immediatamente.

Questa mattina, qualcuno spacciandosi per addetto al Customer Care della mia carta di credito mi ha inviato un e-mail (in inglese, e già qui primo sospetto) in cui mi diceva che da come richiesto mi inviava lo stato delle mi transazioni con la suddetta tramite un bell'allegato. Io ho mangiato la foglia visto che la Preview di Zipeg mi diceva che non era un .doc ma un .exe ma, curioso come sono come una faina, ho associato il file a MS Word il quale però non ha aperto il ".doc" (e te credo, era un exe). Tuttavia io caparbio, ho copiato il file nella mia macchina virtuale dove non ho dati sensibili ma solo una connessione internet per provare la beta di Chrome e la cartella condivisa con il Mac. Ebbene, qui l'ho eseguito e di punto in bianco è sparito il ".doc". Al che, ho chiuso istantaneamente la VM e eliminata dassubito nel cestino.

Pensando che possa avere installato del codice malevolo, ma non avendo dati sensibili ma solo una cartella condivisa che li contiene, la mia curiosità può aver creato qualche danno in quel brevissimo lasso di tempo ?

Ciao e grazie anticipatamente.

[SalgerKlesk]

nonostante avessi capito che era un malware lo hai aperto e ora ci chiedi aiuto?
chi e' causa del suo mal pianga se stesso
ora arrivano i buonisti ad aiutarti non temere...

[kintaro78]

Di solito getto direttamente nel cestino, ma oggi ho avuto quest'irrefrenabile curiosità. Tutto qui: chiedo solo lumi.

Ciao e grazie comunque

[Mailor]

dipende dal tipo di malware che hai eseguito.

comunque una macchina virtuale è una sandbox quasi inviolabile, a maggior ragione da un sw non progettato per farlo.

[kintaro78]

Quindi avendolo eseguito su una VM, che non aveva nulla se non una cartella condivisa con Macos X, che però possiede dati sensibili, non ha causato danno; giusto ?

[Mailor]

non posso dirlo con sicurezza.

conta che comunque le credenziali di accesso delle cartelle condivise sono virtualizzate al sw di gestione della macchina virtuale.

perché un software eseguito sulla macchian virtuale possa accedere ad informazioni condivise tramite la stessa sulla macchina fisica, deve superare la macchina virtuale (che, in quell'ambiente, è il ring 0, il livello più vicino all'hardware in un sistema) per scendere ad un livello logico ancora inferiore (dal ring0 virtuale al ring3 fisico --il livello applicativo e poi ancora giù fino almeno a ring1, per inviare informazioni).

in sintesi, se il malware non è stato progettato apposta, non riuscirà a fare niente nella maggior parte dei casi. se la vm è fatta col sedere, però, tutto è possibile.

[kintaro78]

Quote:

Originariamente inviato da Mailor

...se la vm è fatta col sedere, però, tutto è possibile.

In che senso ?

Io uso VMware Fusion

[Mailor]

nel senso che se la macchina virtuale è progettata male, può anche darsi che gestisca la condivisione delle risorse in locale replicando il contenuto (argh) o gestendo l'accesso alla cartella condivisa attraverso chiamate di sistema normalmente accedibili in user-space; significherebbe che crea un alias in automatico gestito dalle sue librerie a cui fare riferimento quando una richiesta di questo tipo viene avanzata, ma sono tutte ipotesi, le mie, senza fondamento.

non ho idea di come vmware gestisca tutto questo, il rischio c'è per i motivi che ti dico ma in percentuali talmente infime che io non mi preoccuperei.

[kintaro78]

Ti ringrazio. Da qual che ho visto, sembra che veda la cartella condivisa come un HDD esterno.

[SalgerKlesk]

Quote:

Originariamente inviato da kintaro78

Ti ringrazio. Da qual che ho visto, sembra che veda la cartella condivisa come un HDD esterno.

allora non c'e' motivo per cui se la macchina sia stata infettata non lo debba essere anche l'hard disk fittizio/cartella condivisa

[Mailor]

il fatto che all'utente si presenti come un disco esterno non significa nulla. ripeto, bisognerebbe conoscere le specifiche tecniche dello share di vmware.

ho letto da qualche parte che usa samba per la condivisione; se così fosse probabilemente il worm potrebbe essere in grado di propagarsi sfruttando vulnerabilità di questo protocollo.

ripeto: NON preoccuparti, è quasi impossibile che QUEL worm fosse in grado di fare tutto questo. probabilmente non ne esistono nemmeno, di worm che facciano questo.

[kintaro78]

Meglio così, grazie. Ora sono più tranquillo.

[Ravered]

cavolo si trovano in rete le tue foto nudo

[kintaro78]

Quote:

Originariamente inviato da Ravered

cavolo si trovano in rete le tue foto nudo

Mi spiace, ma non ho mie foto sul MBP, nè di altre persone (non ho proprio foto)

[Mailor]

Quote:

Originariamente inviato da kintaro78

Mi spiace, ma non ho mie foto sul MBP, nè di altre persone (non ho proprio foto)

saranno quelle di SalgerKlesk

[kintaro78]

Quote:

Originariamente inviato da Mailor

saranno quelle di SalgerKlesk

Credo proprio di sì

[Visron]

Quote:

Originariamente inviato da kintaro78

Salve ragazzi, ho un dubbio che vi renderò partecipi immediatamente.

Questa mattina, qualcuno spacciandosi per addetto al Customer Care della mia carta di credito mi ha inviato un e-mail (in inglese, e già qui primo sospetto) in cui mi diceva che da come richiesto mi inviava lo stato delle mi transazioni con la suddetta tramite un bell'allegato. Io ho mangiato la foglia visto che la Preview di Zipeg mi diceva che non era un .doc ma un .exe ma, curioso come sono come una faina, ho associato il file a MS Word il quale però non ha aperto il ".doc" (e te credo, era un exe). Tuttavia io caparbio, ho copiato il file nella mia macchina virtuale dove non ho dati sensibili ma solo una connessione internet per provare la beta di Chrome e la cartella condivisa con il Mac. Ebbene, qui l'ho eseguito e di punto in bianco è sparito il ".doc". Al che, ho chiuso istantaneamente la VM e eliminata dassubito nel cestino.

Pensando che possa avere installato del codice malevolo, ma non avendo dati sensibili ma solo una cartella condivisa che li contiene, la mia curiosità può aver creato qualche danno in quel brevissimo lasso di tempo ?

Ciao e grazie anticipatamente.

la prossima volta fai una scansione anche Online dei files sospeti prima di aprili..ci sono molti tools di ONline scanner sia per Win che per Osx

http://housecall.trendmicro.com/

anche per Osx perche esiste anche codice Malware per Osx:

lista per ora:

http://macscan.securemac.com/spyware-list

[Manoel]

Visron ma non ti sei reso conto dell'inaffidabilità di quella lista?

Dai, c'è pure Vnc fra gli spyware!

[Jackdaniels]

Quote:

Originariamente inviato da Mailor

il fatto che all'utente si presenti come un disco esterno non significa nulla. ripeto, bisognerebbe conoscere le specifiche tecniche dello share di vmware.

ho letto da qualche parte che usa samba per la condivisione; se così fosse probabilemente il worm potrebbe essere in grado di propagarsi sfruttando vulnerabilità di questo protocollo.

ripeto: NON preoccuparti, è quasi impossibile che QUEL worm fosse in grado di fare tutto questo. probabilmente non ne esistono nemmeno, di worm che facciano questo.

Anche ottenesse accesso i/o dalla macchina virtuale e si propagasse in qualche drive del mac, una volta usciti da windows sarebbe soltanto un file (non eseguibile) in qualche cartella dell'hard disk, facilmente individuabile ed eliminabile.

[Visron]

Quote:

Originariamente inviato da Manoel

Visron ma non ti sei reso conto dell'inaffidabilità di quella lista?

Dai, c'è pure Vnc fra gli spyware!

lo mette nella lista perche' se uno lo ha sul computer e sta' connesso in rete con Modem ADSL USB etc gli remotano la macchina..tutto li'..

anche su Win i Trojan consentono di remotare la macchina solo per chi e' connesso con Modem ADSL USB che espone la macchina direttamente in rete ... A chi usa Router ADSL (oramai quasi tutti) non gli remoterebbero nulla anche con trojan sulla macchina che fa da server perche' c'e' la Nat + Firewall del router

Quote:

Originariamente inviato da Jackdaniels

Anche ottenesse accesso i/o dalla macchina virtuale e si propagasse in qualche drive del mac, una volta usciti da windows sarebbe soltanto un file (non eseguibile) in qualche cartella dell'hard disk, facilmente individuabile ed eliminabile.

Si ma installerebbe malware sull'OS nella VM.. basta scansionare le skifezze scaricate dal p2p o gli allegati email sospetti prima.. e si e' apposto