|
|||||||
|
|
|
 |
|
|
Strumenti |
15-02-2009, 13:44
|
#1 |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 301
|
PICT2009-02-14-JPG.exe: new trojan.agent su MSN live
Stamattina, chattando, un utente mi ha spedito un link strano.
Il messaggio e' del tipo " foto  ha haha http://www.*hi5-spaces.com*/gallery.php?=(nome contatto) "dove (nome contatto) e' il nome del destinatario. Cliccando sul link, si apre la finestra di download di un file che (all'occhio inesperto) sembra una foto ovvero "PICT2009-02-14-JPG.EXE". Se togliete gli asterischi parte il download (anche senza nome contatto). Chiaramente dall'estensione si capisce che non lo e'. L'icona e' pero' quella di una foto. Le dimensioni del file sono 99,5 KB (101.889 byte). Il file e' un Win32 Cabinet Self-Extractor con all'interno un file "burnew.exe" (non so se cambia), con un mouse come icona. Su threatexpert.con ho trovato questo report: http://www.threatexpert.com/report.a...9d75780cf628d0 e lo segnala come trojan. Il contatto infettante invia continuamente il messaggio riportato sopra. e' inutile dirlo cmq, attenti.... P:S: alle 13:00 (15/02/2009) Avira antivir non aveva ancora disponibile l'update. Invece Malwarebytes Anti-Malware si', beccando il file. (io pero' non sono stato infettato quindi non so se la cosa cambia se il trojan viene iniettato) Ultima modifica di miki_pisa : 15-02-2009 alle 13:51. |
|
|
|
15-02-2009, 14:08
|
#2 |
|
Senior Member
Iscritto dal: May 2008
Messaggi: 657
|
sezione sbagliata..?
|
|
|
|
|
15-02-2009, 16:40
|
#3 |
|
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22121
|
forse l'intenzione dell'utente era quella di avvisare tutti di questo trojan che gira su msn, visto che dice che non è infetto. la notizia non è propriamente ben formattata, ma ho deciso di far lasciare aperta la discussione lo stesso.
Comunque si sa da un bel po' che girano queste cose, comunque tienici informati della rilevazione del vari antivirus magari facendo un report su virus total et similia. intanto invia il sample del virus a quante più case antivirus possibili.
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 15-02-2009 alle 19:39. |
|
|
|
|
15-02-2009, 21:47
|
#4 |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 301
|
credevo si intuisse che la mia voleva essere solo una segnalazione.
Il contatto (un mio amico) che ha provato a inviarmi il trojan mi ha riferito che al riavvio della macchina e' comparsa una schermata DOS like riportante un angosciante avviso di infezione. La modalita' provvisoria si blocca alla schermata del desktop senza alcuna icona e senza barra (probabilmente non viene caricato explorer.exe) [OS: winxp]. In modalita' normale non viene permesso l'accesso a task manager. Tuttavia l'infezione e' stata velocemente risolta (almeno cosi' sembra) usando Malwarebytes (anche con l'aggiornamento di 4 giorni fa)... vi faccio sapere se ci sono novita'. |
|
|
|
|
17-02-2009, 02:47
|
#5 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 2
|
Buona sera, mi sono appena registrato sul forum, ho preso questo virus e cercando una soluzione mi sono imbattuto in questa discussione e mi sono immediatamente registrato. Anche io chattando su live ho cliccato su un link che diceva foto ahah. Maldestramente ho eseguito il file, nod 32 mi ha segnalato il virus e si sono aperte e chiuse varie finestre, per qualche decina di secondi è rimasto tutto bloccato. Windows live apriva varie finestre che dicevano "pubblica file in linea" o "pubblicato file in linea". Poi mi sono scollegato e ho fatto una scansione con nod che non mi segnalava nulla. MI sono ricollegato e ho cedrcato "win 32 cabinet self extractor" su google e quindi ho seguito i vostri consigli effettuando una scansione con Malwarebytes. Riporto il file log:
Malwarebytes' Anti-Malware 1.34 Versione del database: 1766 Windows 5.1.2600 Service Pack 3 17/02/2009 1.57.05 mbam-log-2009-02-17 (01-57-00).txt Tipo di scansione: Scansione completa (C:\|D:\|) Elementi scansionati: 142533 Tempo trascorso: 58 minute(s), 52 second(s) Processi delle memoria infetti: 0 Moduli della memoria infetti: 0 Chiavi di registro infette: 0 Valori di registro infetti: 0 Elementi dato del registro infetti: 0 Cartelle infette: 0 File infetti: 1 Processi delle memoria infetti: (Nessun elemento malevolo rilevato) Moduli della memoria infetti: (Nessun elemento malevolo rilevato) Chiavi di registro infette: (Nessun elemento malevolo rilevato) Valori di registro infetti: (Nessun elemento malevolo rilevato) Elementi dato del registro infetti: (Nessun elemento malevolo rilevato) Cartelle infette: (Nessun elemento malevolo rilevato) File infetti: C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> No action taken. poi ho eliminato il file infetto e riavviato. Ciò che volevo chiedere (scusate ma sono a digiuno della materia) è che tipo di danni può aver fatto questo virus, se può aver rubato foto o files, se li ruba in modo automatico o se è l'aggressore a "vagare" nel pc aggredito. Di quanto tempo ha bisogno per rubare i files? Scusatemi per il linguaggio sicuramente poco tecnico e per le domande dirette. Vi ringrazio anticipatamente per la gentilezza nel dedicarmi il vostro tempo leggendo queste righe. |
|
|
|
|
18-02-2009, 00:16
|
#6 |
|
Senior Member
Iscritto dal: Jan 2006
Messaggi: 301
|
Avira Antivir lo classifica come un worm (WORM/Rbot.101889).
I worm (un tipo di malware) si autoreplicano; per far cio' cercano innanzitutto di restare in esecuzione (modificando il registro di winzoz, come faceva il worm in questione, o semplicemente aggiungendosi come elemento all'avvio del os). Poi cerca di diffondersi utilizzando internet, per cui ha varie opzioni: mettersi a cercare IP verso cui copiarsi, usare i tuoi contatti di email (evidentemente, inviandosi a loro), usare programmi per comunicare con altri utenti (tipo msn). Di per se il worm non causa danni particolari, rallenta in vario modo il pc dell'ospite. Il guaio e' quando invece va a modificare i programmi che potrebbero "interferire" con la sua riproduzione (antivirus, firewall, anti-malware, ecc). Dirai tu, "ma l'antivirus, ecc. sono fatti proprio per scovarli"... si', ma se ancora non conoscono il tale worm (che magari e' stato appena rilasciato in rete), l'antivirus, ecc. non se ne accorge e lo lascia lavorare (e ne resta colpito). (ricorda: un antivirus e' efficace se conosce le definizioni del virus... se ti becchi un virus appena nato, sei fregato) Spesso i worm sono vettori di altre "patologie" (altri malware vincolati) [tecnicamente, hanno un payload], ed e' quella la parte piu' pericolosa e il danno grosso e' dovuto al payload. Cmq, mi sembra che questo worm non era particolarmente pericoloso. Tentava semplicemente di replicarsi usando i tuoi contatti msn. Probabilmente ti ha preso gli indirizzi di msn; ti consiglio vivamente di cambiare la password di accesso. Se so qualcos'altro ti faccio sapere.... ciao |
|
|
|
|
18-02-2009, 08:42
|
#7 |
|
Junior Member
Iscritto dal: Feb 2009
Messaggi: 2
|
Innanzitutto mi scuso per aver postato così senza seguire le regole del forum, il fatto è che le ho lette dopo, preso dal panico ho immediatamente postato in quanto cercando il virus su internet questo è stato l'unico risultato e quindi l'unica ancora di salvezza (tenete conto che non navigando spesso è stato il primo virus preso e immaginavo già persone intente a frugare e scopiazzare tra i miei files).
Miki grazie per la risposta e per la cortesia. |
|
|
|
|
18-02-2009, 09:56
|
#8 | |
|
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 17:50.
