Attenti a quei due! - Pagina 2

andorra24 · 22-03-2006, 13:43

Quote:

Originariamente inviato da Stev-O

intanto ewido lo vede, alla faccia di spysweeper a pagamento

Non mi meraviglia, spysweeper e' blando con i trojans. Chissa' se a-squared lo vede.

Stev-O · 22-03-2006, 13:44

già: bisognerebbe beccarlo pero'...

sarebbe interessante vedere come lo presenta hijakthis

eraser · 22-03-2006, 13:45

ci sto lavorando su, mi ci vorrà un pò, sono "voluminosi"

nV 25 · 22-03-2006, 13:48

Quote:

Originariamente inviato da eraser

il trojan downloader che mi hai mandato per ultimo è carino

una curiosità:

come si svolge materialmente il lavoro quando ti arriva un sample da analizzare?
L'analisi la esegui in un ambiente protetto ( se si, quale )?

insomma, puoi darci qualche elemento per capire che approccio viene generalmente seguito di fronte ad analisi di questa natura?

Grazie infinite.

Ah, dimenticavo:

tienici aggiornati....

eraser · 22-03-2006, 13:58

continuo l'analisi e te lo dico dopo ok?

nV 25 · 22-03-2006, 14:02

Quote:

Originariamente inviato da eraser

continuo l'analisi e te lo dico dopo ok?

L'importante è avere la risposta....peraltro sono sicuro che questa domanda interessi a più di un utente....

Ciao e buon lavoro

wgator · 22-03-2006, 14:38

Quote:

Originariamente inviato da andorra24

Non mi meraviglia, spysweeper e' blando con i trojans. Chissa' se a-squared lo vede.

Ciao,

no, purtroppo a-squared non vede nè taskdir.exe e taskdir.dll nè woblaizdupla.exe. Quest'ultimo non è visto neppure da Ewido
Tutto questo naturalmente con le ultime firme disponibili

Stev-O · 22-03-2006, 14:45

alle 18 saranno sicuramente presenti

e kaspersky??? secondo me è capace di notare qualcosa di "preventivo" almeno

eraser · 22-03-2006, 14:50

si il colpevole di tutto è woblaizdupla.exe

i server da cui attinge sono ancora attivi e gestiti da uno script in php

eraser · 22-03-2006, 14:52

daniele controlla che su system32 non ci siano anche zlbw.dll e parad.raw.exe su quei pc

wgator · 22-03-2006, 14:57

Quote:

Originariamente inviato da Stev-O

alle 18 saranno sicuramente presenti

e kaspersky??? secondo me è capace di notare qualcosa di "preventivo" almeno

Ciao,

kaspersky è l'unico al quale non sono sfuggiti, almeno come individuazione. Premetto che l'infezione era su 2 pc con NAV 2006 che non ha notato nulla, e tuttora non nota nulla

Kaspersky ha scoperto il file "voblaizdupla.exe" solo con le ultime firme di questa mattina delle 9.00 circa, ieri non lo vedeva neppure lui

Vedeva solo i "taskdir"
Kaspersky non è tuttavia stato in grado di rimuovere l'infezione in modalità normale, non ho provato in provvisoria perchè ho voluto catturare e mettere da parte i file.
Io per fare questo uso sempre BART PE e metto le schifezze in una drive pen da 512 MB appositamente acquistata e verniciata in rosso con "teschio e tibie" disegnate sopra

wgator · 22-03-2006, 15:03

Quote:

Originariamente inviato da eraser

daniele controlla che su system32 non ci siano anche zlbw.dll e parad.raw.exe su quei pc

Ciao Marco,

ci sono, ci sono

O meglio, c'erano... li ho appena catturati. Incredibile, quelli non li riconosce nessuno

Stev-O · 22-03-2006, 15:05

non avevo alcun dubbio sul fatto che kav arrivasse ben prima di tutti gli altri...
quindi chi ha kav è a posto

nV 25 · 22-03-2006, 15:05

Quote:

Originariamente inviato da wgator

....
Io per fare questo uso sempre BART PE e metto le schifezze in una drive pen da 512 MB appositamente acquistata e verniciata in rosso con "teschio e tibie" disegnate sopra

Vogliamo vedere una bella foto della penna al più presto!

Se mi piace, poi, la userò come Avatar

(sempre che tu mi dia il permesso...

)

eraser · 22-03-2006, 15:05

Quote:

Originariamente inviato da wgator

Ciao Marco,

ci sono, ci sono

O meglio, c'erano... li ho appena catturati. Incredibile, quelli non li riconosce nessuno

e se guardi bene, parad.raw.exe è nient'altro che taskdir.exe.

L'originale scaricato è parad.raw.exe - da un server tutt'ora attivo - e poi viene rinominato in taskdir.exe

nV 25 · 22-03-2006, 15:08

PS: mi stò divertendo troppo a seguirvi

Non vedo l'ora di sapere come va a finire 'sta storia

PSS: Wgator, a questo punto puoi cambiare il nome al thread:
ci sono + file sospetti sui Pc dei tuoi colleghi che polli morti di aviaria...

eraser · 22-03-2006, 15:16

i files sembrano tutti fatti dalla stessa mano

compressi con upx e checksum errato nell'header per evitarne la decompressione facile

wgator · 22-03-2006, 15:17

Quote:

Originariamente inviato da eraser

e se guardi bene, parad.raw.exe è nient'altro che taskdir.exe.

L'originale scaricato è parad.raw.exe - da un server tutt'ora attivo - e poi viene rinominato in taskdir.exe

... è strano però... KAV (database esteso) riconosce taskdir.exe ma non parad.raw.exe, ho appena provato

eraser · 22-03-2006, 15:18

Quote:

Originariamente inviato da wgator

... è strano però... KAV (database esteso) riconosce taskdir.exe ma non parad.raw.exe, ho appena provato

probabilmente il server da dove scarica è un repository di bin, come ho potuto vedere di sfuggita in una stringa che mi è passata davanti agli occhi

EDIT: sei sicuro? ho provato ora con le basi estese e kav riconosce solo taskdir.dll non taskdir.exe

eraser · 22-03-2006, 15:23

indovinate un pò dove si va a mettere taskdir.dll?

viene richiamato da tutti i processi eseguiti, parassita

22-03-2006, 13:44	#22
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	già: bisognerebbe beccarlo pero'... sarebbe interessante vedere come lo presenta hijakthis __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

22-03-2006, 13:45	#23
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	ci sto lavorando su, mi ci vorrà un pò, sono "voluminosi" __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

22-03-2006, 13:58	#25
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	continuo l'analisi e te lo dico dopo ok? __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

22-03-2006, 14:45	#28
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	alle 18 saranno sicuramente presenti e kaspersky??? secondo me è capace di notare qualcosa di "preventivo" almeno __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

22-03-2006, 14:50	#29
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	si il colpevole di tutto è woblaizdupla.exe i server da cui attinge sono ancora attivi e gestiti da uno script in php __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

22-03-2006, 14:52	#30
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	daniele controlla che su system32 non ci siano anche zlbw.dll e parad.raw.exe su quei pc __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

22-03-2006, 15:05	#33
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34290	non avevo alcun dubbio sul fatto che kav arrivasse ben prima di tutti gli altri... quindi chi ha kav è a posto __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

22-03-2006, 15:08	#36
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	PS: mi stò divertendo troppo a seguirvi Non vedo l'ora di sapere come va a finire 'sta storia PSS: Wgator, a questo punto puoi cambiare il nome al thread: ci sono + file sospetti sui Pc dei tuoi colleghi che polli morti di aviaria... Ultima modifica di nV 25 : 22-03-2006 alle 15:15.

22-03-2006, 15:16	#37
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	i files sembrano tutti fatti dalla stessa mano compressi con upx e checksum errato nell'header per evitarne la decompressione facile __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

22-03-2006, 15:23	#40
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	indovinate un pò dove si va a mettere taskdir.dll? viene richiamato da tutti i processi eseguiti, parassita __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

Strumenti
Mostra una versione stampabile Invia questa pagina per email