[HELP]Trojan in System Volume Information!

ShadowMan · 02-07-2004, 21:38

AVG6 mi rileva un trojan[downloader qualchecosa] nella cartella c:\System Volume Information e mi dice che devo lanciare una scansione per eliminarlo...il problema é che nella cartella System Volume Information sembra non esistere nessun file,inoltre win mi nega anche l'accesso

!

Ho anche provato in modalità prowisoaria ma niente!

Come faccio a cancellare quel trojan?

Androsterone · 02-07-2004, 22:33

Perchè se è cosi questo è quello che so

28/06/04 - News - Roma - Ha catalizzato l'attenzione degli esperti internazionali di sicurezza l'attacco che, lo scorso venerdì, ha fatto leva su di una vulnerabilità presente in alcuni siti Web per diffondere alcuni codici malevoli sui PC degli utenti. L'attacco, a cui Microsoft ha dedicato un comunicato e un bollettino di sicurezza, viene imputato ad un gruppo di cracker russi che, sfruttando una vulnerabilità di Internet Information Services (IIS) 5 corretta da Microsoft lo scorso aprile (si veda bollettino MS04-011)), avrebbe compromesso la sicurezza di centinaia, forse migliaia di siti Web: tra questi, secondo quanto riportato da Symantec, vi sarebbero un sito d'aste on-line, un motore di ricerca, un sito per la comparazione dei prezzi e alcune banche. I server compromessi, su cui Symantec ha verificato la presenza di un cavallo di Troia chiamato Scob, inviano ai PC dei visitatori del codice JavaScript malevolo allegato a immagini, documenti o altri file scaricabili: tale codice è in grado, sfruttando due falle di Windows, di ridirigere gli utenti verso un sito Web russo e scaricare in automatico una serie di programmi malevoli tra cui un keylogger, capace di registrare tutti i tasti battuti dall'utente. Con questo attacco, chiamato da Microsoft Download.Ject, gli ignoti cracker potevano prendere il pieno controllo dei PC compromessi, utilizzarli come teste di ponte per lanciare attacchi di varia natura o spam, e sottrarre agli utenti dati sensibili come password e numeri di carte di credito. Il SANS Institute, che ha fatto notare come l'indirizzo IP del server russo appartenga a quello di un noto gruppo di spammer, ha ipotizzato che l'obiettivo dell'aggressione fosse proprio quella di creare un network di PC zombie per la distribuzione di massicce quantità di spam. La portata dell'attacco è stata limitata dalla chiusura, a poche ore dalla segnalazione delle prime infezioni, del sito russo e di alcuni indirizzi nordamericani. Nonostante questo, alcuni esperti stimano che gli utenti infettati dal codice malevolo possano essere diverse migliaia: all'espansione del contagio avrebbe contribuito, secondo il CERT, il fatto che fra i siti manomessi - di cui non sono state diffuse le identità - ve ne sarebbero alcuni molto noti e trafficati. Come si è detto, l'attacco sfrutta due vulnerabilità di Windows: la prima, che riguarda Outlook Express, è stata corretta dal big di Redmond con il rilascio del bollettino MS04-013; la seconda, scoperta la scorsa settimana, interessa invece Internet Explorer e, al momento, è ancora senza patch. Quest'ultima falla, di tipo cross zone scripting, può consentire ad un aggressore di aggirare le restrizioni di sicurezza del browser di Microsoft per riversare sul computer della vittima programmi malevoli. Sono esenti da questi problemi gli utenti che utilizzano un browser differente da IE o abbiano installato la Release Candidate 2 del Service Pack 2 per Windows XP. Se per fermare l'attacco lato server è sufficiente installare la patch per IIS 5, Microsoft ha spiegato che lato client è necessario affiancare alle ultime patch critiche un firewall personale e un antivirus aggiornato. Il CERT suggerisce anche di disabilitare l'esecuzione degli script, anche se ciò potrebbe inficiare l'apparenza o la funzionalità di alcuni siti. Il modo più semplice per sapere se un PC è stato infettato è cercare la presenza dei file Kk32.dll e/o Surf.dat: se presenti, Microsoft suggerisce di eliminare il codice malevolo servendosi di un antivirus aggiornato. Sebbene i danni causati dall'attacco Download.Ject non siano neppure confrontabili con quelli seguiti alle epidemie di worm come Sasser e Blaster, gli esperti temono che questo tipo di minacce possa costituire in breve tempo un pericolo molto serio: ai cracker basterebbe infatti attaccare con successo uno fra i primi cento siti più visitati al mondo per infettare in breve tempo migliaia di PC e utilizzarli, ad esempio, per spedire tonnellate di e-mail pubblicitarie.

ShadowMan · 03-07-2004, 11:06

No ho quei due files quindi non credo sia il Download.Ject!

Come faccio a scannerizzare o ad entrare nella cartella System Volume Information???

Bilancino · 03-07-2004, 11:53

Quote:

Originariamente inviato da ShadowMan
No ho quei due files quindi non credo sia il Download.Ject!

Come faccio a scannerizzare o ad entrare nella cartella System Volume Information???

Ripristino di configurazione di sistema o system restore. Va disabilitato, per svuotarlo, e poi riattivato così il virus viene cancellato. E' una zona in cui si proteggono i dati sensibili per un ripristino.

http://www.sicurezzainrete.com/tools_antivirus.htm

Ciao

ShadowMan · 03-07-2004, 13:14

Quote:

Originariamente inviato da Bilancino
Ripristino di configurazione di sistema o system restore. Va disabilitato, per svuotarlo, e poi riattivato così il virus viene cancellato. E' una zona in cui si proteggono i dati sensibili per un ripristino.

http://www.sicurezzainrete.com/tools_antivirus.htm

Ciao

Grazie!

The Lenny · 03-07-2004, 21:24

eggià!! okkio però che, disabilitando il ripristino, si fottono tutti i punti di salvataggio..(kapirai la sofferenza...)

02-07-2004, 21:38	#1
ShadowMan Senior Member Iscritto dal: Oct 2001 Città: Roma Messaggi: 7748	[HELP]Trojan in System Volume Information! AVG6 mi rileva un trojan[downloader qualchecosa] nella cartella c:\System Volume Information e mi dice che devo lanciare una scansione per eliminarlo...il problema é che nella cartella System Volume Information sembra non esistere nessun file,inoltre win mi nega anche l'accesso ! Ho anche provato in modalità prowisoaria ma niente! Come faccio a cancellare quel trojan? __________________ "George Best e' il piu' grande giocatore del Mondo"(Pele') ~ "...e sappiate una cosa: una partita di George Best é l'equivalente di dieci anni di un mediocre giocatore"(Jimmy Greaves) ~ ~ Love & Peace! °°Hamachi HWU Clan°° ~ .:Miranda IM Thread:.

02-07-2004, 22:33	#2
Androsterone Member Iscritto dal: Jan 2003 Messaggi: 146	Per caso si chiama Download.Ject? Perchè se è cosi questo è quello che so 28/06/04 - News - Roma - Ha catalizzato l'attenzione degli esperti internazionali di sicurezza l'attacco che, lo scorso venerdì, ha fatto leva su di una vulnerabilità presente in alcuni siti Web per diffondere alcuni codici malevoli sui PC degli utenti. L'attacco, a cui Microsoft ha dedicato un comunicato e un bollettino di sicurezza, viene imputato ad un gruppo di cracker russi che, sfruttando una vulnerabilità di Internet Information Services (IIS) 5 corretta da Microsoft lo scorso aprile (si veda bollettino MS04-011)), avrebbe compromesso la sicurezza di centinaia, forse migliaia di siti Web: tra questi, secondo quanto riportato da Symantec, vi sarebbero un sito d'aste on-line, un motore di ricerca, un sito per la comparazione dei prezzi e alcune banche. I server compromessi, su cui Symantec ha verificato la presenza di un cavallo di Troia chiamato Scob, inviano ai PC dei visitatori del codice JavaScript malevolo allegato a immagini, documenti o altri file scaricabili: tale codice è in grado, sfruttando due falle di Windows, di ridirigere gli utenti verso un sito Web russo e scaricare in automatico una serie di programmi malevoli tra cui un keylogger, capace di registrare tutti i tasti battuti dall'utente. Con questo attacco, chiamato da Microsoft Download.Ject, gli ignoti cracker potevano prendere il pieno controllo dei PC compromessi, utilizzarli come teste di ponte per lanciare attacchi di varia natura o spam, e sottrarre agli utenti dati sensibili come password e numeri di carte di credito. Il SANS Institute, che ha fatto notare come l'indirizzo IP del server russo appartenga a quello di un noto gruppo di spammer, ha ipotizzato che l'obiettivo dell'aggressione fosse proprio quella di creare un network di PC zombie per la distribuzione di massicce quantità di spam. La portata dell'attacco è stata limitata dalla chiusura, a poche ore dalla segnalazione delle prime infezioni, del sito russo e di alcuni indirizzi nordamericani. Nonostante questo, alcuni esperti stimano che gli utenti infettati dal codice malevolo possano essere diverse migliaia: all'espansione del contagio avrebbe contribuito, secondo il CERT, il fatto che fra i siti manomessi - di cui non sono state diffuse le identità - ve ne sarebbero alcuni molto noti e trafficati. Come si è detto, l'attacco sfrutta due vulnerabilità di Windows: la prima, che riguarda Outlook Express, è stata corretta dal big di Redmond con il rilascio del bollettino MS04-013; la seconda, scoperta la scorsa settimana, interessa invece Internet Explorer e, al momento, è ancora senza patch. Quest'ultima falla, di tipo cross zone scripting, può consentire ad un aggressore di aggirare le restrizioni di sicurezza del browser di Microsoft per riversare sul computer della vittima programmi malevoli. Sono esenti da questi problemi gli utenti che utilizzano un browser differente da IE o abbiano installato la Release Candidate 2 del Service Pack 2 per Windows XP. Se per fermare l'attacco lato server è sufficiente installare la patch per IIS 5, Microsoft ha spiegato che lato client è necessario affiancare alle ultime patch critiche un firewall personale e un antivirus aggiornato. Il CERT suggerisce anche di disabilitare l'esecuzione degli script, anche se ciò potrebbe inficiare l'apparenza o la funzionalità di alcuni siti. Il modo più semplice per sapere se un PC è stato infettato è cercare la presenza dei file Kk32.dll e/o Surf.dat: se presenti, Microsoft suggerisce di eliminare il codice malevolo servendosi di un antivirus aggiornato. Sebbene i danni causati dall'attacco Download.Ject non siano neppure confrontabili con quelli seguiti alle epidemie di worm come Sasser e Blaster, gli esperti temono che questo tipo di minacce possa costituire in breve tempo un pericolo molto serio: ai cracker basterebbe infatti attaccare con successo uno fra i primi cento siti più visitati al mondo per infettare in breve tempo migliaia di PC e utilizzarli, ad esempio, per spedire tonnellate di e-mail pubblicitarie.

03-07-2004, 11:06	#3
ShadowMan Senior Member Iscritto dal: Oct 2001 Città: Roma Messaggi: 7748	No ho quei due files quindi non credo sia il Download.Ject! Come faccio a scannerizzare o ad entrare nella cartella System Volume Information??? __________________ "George Best e' il piu' grande giocatore del Mondo"(Pele') ~ "...e sappiate una cosa: una partita di George Best é l'equivalente di dieci anni di un mediocre giocatore"(Jimmy Greaves) ~ ~ Love & Peace! °°Hamachi HWU Clan°° ~ .:Miranda IM Thread:.

03-07-2004, 21:24	#6
The Lenny Senior Member Iscritto dal: Apr 2004 Messaggi: 502	eggià!! okkio però che, disabilitando il ripristino, si fottono tutti i punti di salvataggio..(kapirai la sofferenza...) __________________ "Chiù pilu pì tutti" - "Tira chiù nu pilu ca nu 'nsartu!" A volte, una ricerca su Google vale più di mille parole.. Non dimentichiamo che...

Strumenti
Mostra una versione stampabile Invia questa pagina per email