Identificare un malware

Pardo · 02-05-2010, 01:16

Il mio pc da gioco con XPSP3+Avira Antivir+Firefox3.0 e` stato infettato da un malware di qualche tipo che si collega continuamente a questi host:

w01.geo.vip.bbt.yahoo.co.jp
w02.geo.vip.bbt.yahoo.co.jp
w03.geo.vip.bbt.yahoo.co.jp

Le connessioni partono sempre nel momento che si lancia Windows Explorer o comunque si apre un qualsiasi folder o si naviga il menu Start.

Non riuscendo il malware a connettersi, dato che il pc non ha accesso diretto a internet, si crea il peculiare inconveniente che fintanto che non ha esaurito i tentativi rimane imbambolato. Se clicco su qualsiasi folder, la finestra arriva solo dopo 2 minuti, e nel frattempo vedo le connessioni schiantarsi nel log del firewall Linux a monte.

Premetto che ho gia` formattato tanto ci sono solo giochi, ma magari per caso si puo` sapere che tipo di malware era da quegli host?
Googlando mi sembra di trovare solo che sono inseriti in qualche blacklist ma boh.

L'unico altro sintomo che ho rilevato oltre gli impallamenti di Explorer, e` stata la directory nascosta RECYCLER che anche se la cancelli "ritorna" sempre nelle root dei dischi. Pero` ho fatto la prova di attaccare la chiavetta e non l'ha infettata come fanno di solito altri worm che avevo visto.

Mi interessava per capire magari il vettore dell'infezione, considerando che quel pc dovrebbe essere realmente blindato (lo uso poco come fosse una xbox e non ha nemmeno accesso a internet, non ci attacco neanche piu` chiavette o altro dopo che si era preso il Conficker l'anno scorso dalle chiavette..)

**Chill-Out** · 02-05-2010, 16:17

Ciao, i vettori che possono veicolare un'infezione sono molteplici ed i sottodomini che hai indicato appartengono a Yahoo Japan Corporation (legittimi) comunque se desideri fare un controllo approfondito segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione.

Modalità di pubblicazione dei log:

Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione.

02-05-2010, 01:16	#1
Pardo Senior Member Iscritto dal: Dec 2000 Messaggi: 1187	Identificare un malware Il mio pc da gioco con XPSP3+Avira Antivir+Firefox3.0 e` stato infettato da un malware di qualche tipo che si collega continuamente a questi host: w01.geo.vip.bbt.yahoo.co.jp w02.geo.vip.bbt.yahoo.co.jp w03.geo.vip.bbt.yahoo.co.jp Le connessioni partono sempre nel momento che si lancia Windows Explorer o comunque si apre un qualsiasi folder o si naviga il menu Start. Non riuscendo il malware a connettersi, dato che il pc non ha accesso diretto a internet, si crea il peculiare inconveniente che fintanto che non ha esaurito i tentativi rimane imbambolato. Se clicco su qualsiasi folder, la finestra arriva solo dopo 2 minuti, e nel frattempo vedo le connessioni schiantarsi nel log del firewall Linux a monte. Premetto che ho gia` formattato tanto ci sono solo giochi, ma magari per caso si puo` sapere che tipo di malware era da quegli host? Googlando mi sembra di trovare solo che sono inseriti in qualche blacklist ma boh. L'unico altro sintomo che ho rilevato oltre gli impallamenti di Explorer, e` stata la directory nascosta RECYCLER che anche se la cancelli "ritorna" sempre nelle root dei dischi. Pero` ho fatto la prova di attaccare la chiavetta e non l'ha infettata come fanno di solito altri worm che avevo visto. Mi interessava per capire magari il vettore dell'infezione, considerando che quel pc dovrebbe essere realmente blindato (lo uso poco come fosse una xbox e non ha nemmeno accesso a internet, non ci attacco neanche piu` chiavette o altro dopo che si era preso il Conficker l'anno scorso dalle chiavette..) Ultima modifica di Pardo : 02-05-2010 alle 01:21.

02-05-2010, 16:17	#2
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	Ciao, i vettori che possono veicolare un'infezione sono molteplici ed i sottodomini che hai indicato appartengono a Yahoo Japan Corporation (legittimi) comunque se desideri fare un controllo approfondito segui esattamente nell'ordine indicato la Guida alla disinfezione allegando tutti i log prodotti in un'unico post secondo le sottoindicate modalità, grazie per la collaborazione. Modalità di pubblicazione dei log: Ogni singolo log, esclusivamente in formato .txt a parte SynInspector .xml, deve essere hostato nell'ordine indicato in Guida su uno dei server remoti elencati nelle Regole di sezione. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier.

Strumenti
Mostra una versione stampabile Invia questa pagina per email