Virus/worm sito Subaru4fun

[winnertaco]

Ciao ragazzi ieri navigando sono capitato nel sito Subaru4fun...proprio all'apertura, quindi nell'homepage del sito, mi è apparsa una schermata che diceva di accettare un plugin (mi sembra in java)! come un deficente l'ho accettato e mi si è installato nel pc ed ha subito creato un'icona nel desktop del mio utente con scritto: "accedi"

ho fatto una scansione con Virustotal e nel file di testo c'è il responso:



Ho antivir personal edition premium..aggiornatissimo e configurato..peccato che non si è accorto di niente
Ho windows xp sp2 con tutti gli aggiornamenti...che faccio?
ora tolgo antivir e faccio una scansione con kaspersky!

[murack83pa]

ciao

x favore modifica il tuo post come da regole di sezione, in quanto i log nn vanno postati col copia/incolla, anche se brevi, hai 2 opzioni su come postare il log:
1)la funzione allegati, rinominando i log in formato txt
2)caricare il log su FileUp, copiando qui i link x il download
è preferibile l'ultima opzione

quello che hai fatto analizzare è l'icona del desktop?
hai notato continue disconnessioni?
hai notato in connessione di rete una nuova icona?

segui questa pulizia preliminare:
1-Provvedi a svuotare del suo contenuto la cartella Prefetch procedendo in questa maniera:
● clicca su Risorse del Computer
● clicca su Disco locale C:
● cerca, all’interno delle cartelle che verranno visualizzate la cartella Windows, aprila ed, al suo interno, cerca la cartella Prefetch, la apri ed elimini tutte le voci conservate al suo interno (mi raccomando, non eliminare la cartella)


2-svuota la cache di JAVASUN:
● Start
● Panello di Controllo (se non viene visualizzato in modalità classica, in alto a sinistra clicca sulla voce passa alla visualizzazione classica)
● clicca sulla icona Java per accedere al Pannello di controllo
● clicca sulla scheda Generale
● vai all'ultima sezione File temporanei Internet
● clicca sul pulsante Impostazioni
● clicca sul pulsante Elimina file e poi conferma con OK

3-Scarica CCLEANER: DOWNLOAD
una volta installato, lancia il programma, nel menu di sinistra portati alla voce Opzioni e nella finestra successiva clicca su:
● Impostazioni, e spunta la voce Cancellazione sicura (lenta)
poi su:
● Avanzate, togli la spunta alla voce Cancella solo file più vecchi di 48 ore
● alla voce Pulizia, spunta tutte le voci comprese nella sezione Avanzate
● nel menu a sinistra, clicca sulla voce Pulizia, clicca su tasto Avvia Pulizia per eseguire la scansione
● sempre nel menu a sinistra, clicca sulla voce Registro, spunta tutte le voci comprese nella sezione, clicca sul tasto Trova problemi ed avvia una scansione; al termine della scansione clicca sulla voce Ripara selezionati e prosegui

dopo aver fatto ciò segui la guida alla disinfezione, esegui tutti i programmi indicati, e poi a fine scansione posta tutti i log

è importante che mi rispondi alle mie prime 3 domande

ciao

[winnertaco]

chiedo gentilmente se un moderatore può cambiare il titolo della discussione correggendo "FAN" con "FUN"

GRAZIE

[xcdegasp]

titolo modificato, attendiamo i log

[winnertaco]

allora il virus/worm lo ho eliminato, cmq aprendo il sito in questione www.subaru4fun.it chiede subito di scaricare un applet java e dice addirittura che la fonte è verificata (uso firefox), peccato che se lo scarichi si installa e compaiono cose strane sul desktop e nelle cartelle di sistema.

[xcdegasp]

ho dato ora un'occhio al codice sorgente di quella pagina e non compare nulla di strano, anche per http://linkscanner.explabs.com/links...subaru4fun.it/ pare tutto tranquillo

o hanno risolto poco fa' e c'era effettivamente un iframe malevolo oppure era causa di un banner o la pagina infetta era un'altra magari di un altro tab...

ti consiglio di isntallare in firefox le due estensioni:
NoScript
AdBlock Plus

la prima blocca l'esecuzione di script a livello di sito (puoi sbloccare per dominio o per sito) mentre la seconda elimina i banner dalla navigazione ed è possibile settare le exclusion-list

[winnertaco]

Quote:

Originariamente inviato da xcdegasp

ho dato ora un'occhio al codice sorgente di quella pagina e non compare nulla di strano, anche per http://linkscanner.explabs.com/links...subaru4fun.it/ pare tutto tranquillo

o hanno risolto poco fa' e c'era effettivamente un iframe malevolo oppure era causa di un banner o la pagina infetta era un'altra magari di un altro tab...

ti consiglio di isntallare in firefox le due estensioni:
NoScript
AdBlock Plus

la prima blocca l'esecuzione di script a livello di sito (puoi sbloccare per dominio o per sito) mentre la seconda elimina i banner dalla navigazione ed è possibile settare le exclusion-list

Ho controllato proprio ora e non sembra pià presente il Malware... fino a ieri quando ho anche invitato un mod a cambiare il titolo della discussione il malware c'era...

potrebbe anche essere che proveniva da qualche pubblicità... la cosa che mi ha tratto in inganno è che quello è un sito ufficiale della Subaru

cmq grazie per le dritte ragazzi
Siete sempre i migliori

[xcdegasp]

saranno stati vittima del network di criminali che da un anno stanno infestando a larga scala internet coloro che diedero vita a Gromozon/LinkOptimizer ...
in sostanza inseriscono un ifrem malevolo nelle pagine che sono del tutto leggitime.
casi collegati furono quei due grossi hsoter italiani che vennero massivamente attaccati e gran parte dei siti ospitati nelle rispettive serverfarm ebbero pagine modificate con iframe estranei... idem il sito di Renato Zero, Carmen Consoli e di un ambasciata USA in russia

il modo più veloce per impedire questo è usare o i dns di www.opendns.com o sistemi come brwsersafe