Nuovo virus: naked.com [Antivirus Silenziosi]

[nV 25]

Quote:

Originariamente inviato da Gianky....! :D :)

Ma non finisce qui....

Perchè mi hanno inviato pure quest'altro...

ci gioo le °° che il 2° è della famiglia Storm-worm (Rootkit, gran figlio di.. )

Se puoi, testalo in VM e poi via di gmer ...




PS:
ho gettato ProSecurity contro 4 varianti di quest'immondizia e si è comportato come mi aspettavo...
Anche questo, infatti, dovrebbe funzionare cosi':

It inject into kernel with two steps:
1. Modify or replace [un file di sistema, di solito in system32/drivers] and then start it....
[il nuovo file di sistema] remove all SSDT hooks (se ci sono)....
2. Load its driver... from ZwLoadDriver...

[Gianky....! :D :)]

Quote:

Originariamente inviato da nV 25

ci gioo le °° che il 2° è della famiglia Storm-worm (Rootkit, gran figlio di.. )

Se puoi, testalo in VM e poi via di gmer ...




PS:
ho gettato ProSecurity contro 4 varianti di quest'immondizia e si è comportato come mi aspettavo...
Anche questo, infatti, dovrebbe funzionare cosi':

It inject into kernel with two steps:
1. Modify or replace [un file di sistema, di solito in system32/drivers] and thenstart it....
[il nuovo file di sistema] remove all SSDT hooks (se ci sono)....
2. Load its driver... from ZwLoadDriver...

Hai ragione questo cazzo di virus è molto cazzuto ed è un rootkit
Ho levato alcuni file che ha creato ...
Ma intanto non si mette in avvio automatico ...
Ma ogni volta che accendo la vm mi compare la schermata per scegliere come devo entrare in windows...
La modalità provvisoria funziona...
Mentre avviando windows normalmente dopo che fa la schermata windows xp compare una schermata blu per 1 secondo (che non sono riuscito a leggere) e windows si riavvia...
E punto e a capo...
Invece funziona la modalità avvia windows con le ultime impostazioni funzionanti (non mi ricordo bn cm si chiama )
Ora ripristino la vm e faccio un video...
Devo usare programmi di protezione nella vm ?
O devo farmi infettare e poi tentare di rimuovere manualmente o con gmr ?
Ciao

[nV 25]

ALT:

premesso che non ho capito gran chè specie nella 1° parte del discorso [], voglio sperare che i giochini siano fatti in VM anche perchè, altrimenti, è come spararsi sui °°....

Tienilo sempre a mente....

In VM, allora, puoi *anche* dar libero sfogo alle tue voglie più represse senza doverti curare di altro:
la probabilità che ci sia un tracimamento dalla VM al sistema reale, infatti, è 0, di sicuro cmq per quel tipo di Rootkit...

Non sei (dunque) tenuto a dover forzare la mano se non te la senti:
se però forzi la mano e deliberatamente infetti la VM, con Gmer (ultima versione) + PrevxCSI dovresti essere in grado sia di vedere file/chiavi/processi nascosti, sia aver la possibilità di rimuovere tutto...

VirtualPC, se non ricordo male, è più "rigido" di VMWare e non ricordo se consente di salvare snapshot *prima dell'infezione* per poi, al limite, ripristinare l'immagine della VM precedentemente salvata....


Cmq sei in possesso di una delle "perle maliziose" di fine 2007/inizi 2008:
sei felice?




PS:
se me lo uplodi su rapidshare e poi (in pvt) mi passi il link, "lo lavoro anch'io"...
Tanto, uno + uno -:
negli ultimi 10 giorni me ne sarò sparati qualcosa come 200 Rootkit...

[Chill-Out]

Prevx almeno fino a ieri non lo vede così come F-Prot, Panda e Nod32

[eraser]

- Alcune tipologie di infezioni non sono facilmente individuabili, vedasi il worm Storm che ha messo in crisi per diverso tempo a causa di polimorfismo lato server;

- Non sempre se il dropper non è individuato, allora l'infezione non è riconosciuta. A volte i dropper sono utilizzati esclusivamente per installare nel pc un'altra infezione, la quale non necessariamente è diversa da precedenti;

- Se vedete qualche sample non riconosciuto, non aspettate i miracoli Segnalate direttamente voi stessi, così diventate anche voi partecipanti attivi di questa "guerra" - non che già non lo siate aiutando le persone a rimuovere le infezioni in maniera totalmente gratuita

[nV 25]

OT:

è uscito ProSecurity 1.43 ...
Se prima era robusto X, adesso sicuramente è robusto X+assai date le notevoli migliorie apportate (e grazie anche alle mie* insistenti pressioni che erano arrivate al limite dello scontro fisico**...)


*è si:
perchè per quanto vi possa sembrar strano o rodere, ho contribuito un sacco a segnalare diverse cose che andavano ma che potevano andar di gran lunga meglio...

** se cosi' si può dire visto che lui stà in Cina....

Tutto, con buona pace di eraser

[Gianky....! :D :)]

Quote:

Originariamente inviato da nV 25

ALT:

premesso che non ho capito gran chè specie nella 1° parte del discorso [], voglio sperare che i giochini siano fatti in VM anche perchè, altrimenti, è come spararsi sui °°....

Tienilo sempre a mente....

In VM, allora, puoi *anche* dar libero sfogo alle tue voglie più represse senza doverti curare di altro:
la probabilità che ci sia un tracimamento dalla VM al sistema reale, infatti, è 0, di sicuro cmq per quel tipo di Rootkit...

Non sei (dunque) tenuto a dover forzare la mano se non te la senti:
se però forzi la mano e deliberatamente infetti la VM, con Gmer (ultima versione) + PrevxCSI dovresti essere in grado sia di vedere file/chiavi/processi nascosti, sia aver la possibilità di rimuovere tutto...

VirtualPC, se non ricordo male, è più "rigido" di VMWare e non ricordo se consente di salvare snapshot *prima dell'infezione* per poi, al limite, ripristinare l'immagine della VM precedentemente salvata....


Cmq sei in possesso di una delle "perle maliziose" di fine 2007/inizi 2008:
sei felice?




PS:
se me lo uplodi su rapidshare e poi (in pvt) mi passi il link, "lo lavoro anch'io"...
Tanto, uno + uno -:
negli ultimi 10 giorni me ne sarò sparati qualcosa come 200 Rootkit...

Ma ovviamente lo testo sulla vm
Ti pare so scemo ?
Quindi ricapitolando...
Faccio un video della vm...
La infetto ed uso prevx csi + gmr e vediamo se riusciamo a rimuovere tutto..
Tra poco lo faccio
Ciaooooooooooooooooooo

P.S. Sono felice
P.s. 2 ora te lo metto su rapid

[Gianky....! :D :)]

Il video è pronto...
La dimensione originale è di 1,25gb ma compresso è arrivato a 6 mb
Questo video che dura mezz'ora è sosprattutto una analisi del virus e alla fine serve per capire che danni crea il virus; che cosa installa nel pc...eccetera
Inoltre pensavo di potere anche abbozzare una rimozione ma prevx csi vuole la serial per potere rimuovere...
Non potevo scaricare il crack o la serial mentre riprendevo (se no eraser ci resta male )...
Invece lascio a nV 25 il compito di fare un video su come liberarsi dal virus

Donwload

http://www.fileup.itadib.com/downloa...A1C7INy0HSdO7W

Ciao

[nV 25]

questo giro di storm-worm, tra le tante cose, debugga......e rimbalza!

A breve metto 2 screen

[nV 25]

Si inizia:

(Questi pop-up sono obbligato a mostrarli perchè, essendo seguiti da un mio assenso, *NON* figurano nel Log...
E' essenziale notare *quanti OK* si deve dare perchè l'infezione possa realmente inizializzarsi...)
















Inutile dire che se un qualsiasi utente dovesse arrivare a questo punto, è solo un emerito cogl*** e merita di infettarsi....


Si può vedere allora il resto da questo log (HIPS automatizzato per bloccare certi comportamenti...)



Dllhost.exe tenta di stabilire connessioni verso l'esterno, probabilmente alla ricerca di qualcos'altro da scaricare....

Via taskmanager si "spegne" il nuovo processo e bonanotte sonatori...

Gmer è pulito, ecc:
se il fine del malware era anche quello di mascherarsi, di sicuro non c'è riuscito...

[leolas]

Quote:

Originariamente inviato da nV 25

Si inizia:

(Questi pop-up sono obbligato a mostrarli perchè, essendo seguiti da un mio assenso, *NON* figurano nel Log...
E' essenziale notare *quanti OK* si deve dare perchè l'infezione possa realmente inizializzarsi...)

cut


Inutile dire che se un qualsiasi utente dovesse arrivare a questo punto, è solo un emerito cogl*** e merita di infettarsi....


Si può vedere allora il resto da questo log (HIPS automatizzato per bloccare certi comportamenti...)

cut

Dllhost.exe tenta di stabilire connessioni verso l'esterno, probabilmente alla ricerca di qualcos'altro da scaricare....

Via taskmanager si "spegne" il nuovo processo e bonanotte sonatori...

Gmer è pulito, ecc:
se il fine del malware era anche quello di mascherarsi, di sicuro non c'è riuscito...

ma.. una cosa mi cheidevo... se clicco "allow/permetti/ok/quellocheè" in tutti gli avvisi tranne che nell'ultimo, mi infetto comunque?
No, giusto?

comunque, voi 2 mi state facendo venir voglia di installare una VM... quale consigliate (free)?

ps: comunque, interessante grazie per i vostri test

[nV 25]

probabile....ma perchè dovresti arrivare a tanto?

IMO....

Cmq potrei provare ancora altre ipotesi:
a seconda infatti di dove interrompo il processo di esecuzione, variano i risultati (non si arriva magari alla scrittura nei rispettivi spazi di memoria dei processi nè [forse] al tentativo di debug...)

Cmq provo

[Gianky....! :D :)]

Quote:

Originariamente inviato da nV 25

tenta di stabilire connessioni verso l'esterno, probabilmente alla ricerca di qualcos'altro da scaricare....

Come dire...
Il fetentone ha scaricato sulla mia vm altri 7 virus (tra cui anche dialer)
E da come si vede nel log il rootkit infetta tutti processi in esecuzione...
O sbaglio nV ?

[nV 25]

i dettagli li daranno altri (eraser? gli passi il PVT, Gianky? )...

Cmq è un concentrato di schifezza...



PS:
ora provo casi "più rigidi" nell'esecuzione:
attendere, prego


Cambio anche alcuni settaggi di PS che su VM avevo lasciato su def e li setto come li ho io ora sul mio PC...

[nV 25]

dicendo *SI* a tutto tranne che all'ultimo pop-up ( = Dllhost.exe che vuole partire...), fine della storia...



PS: ora cmq mi vedo il video di Gianky....!

Quote:

Originariamente inviato da nV 25

PS: ora cmq mi vedo il video di Gianky....!

Dopo aver visto attentamente il video, dico ancor più a gran voce:
PREVENIRE E' MEGLIO CHE CURARE!

Non pensavo assolutamente ad una bolgia del genere!

[leolas]

Quote:

Originariamente inviato da nV 25

bloccando Dllhost.exe, fine della storia...

ah, ok, grazie