Arriva Murofet, il worm simile a Conficker

[mauro79]

Quote:

Originariamente inviato da zappy

boh, magari intercetta i campi "password", che tu salvi le pass o no.

Avevo pensato anche io a tale possibilità, però dall'articolo non si capisce molto. Non ne sa molto nemmeno chi ha scritto l'articolo o semplicemente lo ha scritto con i piedi? Perchè tra le due cose c'è una bella differenza.....

[eraser]

Quote:

Originariamente inviato da strangers

ha ha ha.....
Ti(anzi vi)informo che ho appena vinto una pizza.
La scommessa era:scommetti che fra un po x dimostrare che anche osx non è infallibile verrano postati i soliti link?
E infatti....uno riguarda il solito contest dove chi ha violato il mac sapeva dove mettere le mani già da almeno un mese e guarda caso in palio c'era un macBook....
L'altro riguarda il solito flash che la apple ha più volte detto di volerselo levare dalle palle.
Curioso comunQue notare che qualcuno si prodighi a postare 4 linkareLLi del cappero per convincermi che forse osx è peggio di windows in una news che,guarda un po te il caso,riguarda il miliardesimo worm che colpisce windows....

Tipico esempio di come cercare di deviare la realtà pure di fronte all'evidenza In italia oramai ci siamo abituati, fortuna che perlomeno i post sono lì e la gente è in grado di giudicare con la propria mente

Quote:

Nel frattempo....visto che dall'articolo nessuno riesce ancora a capire cosa combina questo worm ti consiglio di staccare il doppino dalla rete oppure....di usare osx che in questo momento è senz'altro più sicuro.

Secondo me qualcuno ha problemi con l'italiano - o perlomeno di comprensione linguistica - qua dentro

Buon appetito

[strangers]

I link che hai postato sono del 2009.
Siamo nel 2011,pensi non li abbia letti nessuno?
Nel frattempo per windows sono uscite tante di quelle minacce di cui si è perso ormai il conto,l'ultima è proprio di questa news e continuo a farti notare come tutti continuano a chiedersi cosa fa di preciso questo NUOVO worm che non attacca sistemi unix.
Continui a parlare come se io fossi convinto che tutto ciò che è diverso da windows sia perfetto mentre io mi limito ad usare ciò che finora è meno oggetto di attacchi da parte di chi vuole trarne profitto.
Tra l'altro non penserai davvero che dopo aver letto i tuoi link non eseguo più alcun bonifico in banca perché ho paura che tu mi hai fregato i codici....
Se consideri che:
1)Tutte le operazioni le posso fare solo io che ho un certificato personale installato.
2)Anche ammesso che tu sei così bravo da poter installare un certificato personale sul tuo pc(abbastanza dura visto che risiede nel mio ) qualsiasi operazione compi vengo avvisato con un sms.
Tutto è perfettamente tracciabile e annullabile.

Questo per farti capire quanto può fregarmene.

[mauro79]

Ma basta con queste cazzo di guerre di religione!!

Ma dove sono i moderatori??? Sti moderatori saltano fuori solo quando li fa comodo!!

Sappiamo tutti che i Sistemi Unix Like sono più sicuri! Io in primis utilizzo Linux e lo preferisco a Windows (che comunque utilizzo!), ma che piaccia o no Windows ha una diffusione che OS X + Linux + BSD + OpenIndiana messi insieme se la sognano anche tra 15 anni!!

Si vuole solo discutere di come lavora questo cazzo di worm (o quello che è)!

Basta a rompere le palle!!

[hardstyler]

ieri sera ho inserito l'ip indicato nell'articolo per pura curiosità tramite firefox e non ha aperto nulla però, e qui c'è un però.... ieri sera ho aggiornato win 7 x64 con le patch fresche fresche appena uscite... fattostà che o è partito tutto dall'aver "visitato" quell'ip o dagli aggiornamenti MS che il firewall del router netgear mi ha bloccato più di un accesso dal mio pc verso un altro ip: 143.127.102.125 porta 80

Così visto che di firewall ne ho 3, uno software della norton internet security (che non serve assolutamente a nulla!!!!), uno hardware della zyxell che però non mi aveva bloccato nulla ma forse (sicuro!) perchè l'aveva già fatto il router/modem adsl netgear ho provveduto a bloccare tutte le connessioni in entrata e in uscita dell'ip di cui all'articolo e infatti non ho mai avuto connessioni extra oltre a quella fatta da me apposta però continuo ad avere 40 connessioni ogni 5 minuti verso l'indirizzo che ho scritto sopra e per di più poco fa mi son ritrovato il firewall del netgear a bloccare diverse connessioni verso il mio pc da indirizzi tipo mrs02s01-in-f100.1e100.net e cambiavano ogni volta!!!! mi chiedo che diavola sia!!!

[strangers]

Quote:

Sappiamo tutti che i Sistemi Unix Like sono più sicuri! Io in primis utilizzo Linux e lo preferisco a Windows (che comunque utilizzo!), ma che piaccia o no Windows ha una diffusione che OS X + Linux + BSD + OpenIndiana messi insieme se la sognano anche tra 15 anni!!

E allora?
questa è la solita storiella che non convince più nessuno.
Quando compro una lavatrice o un televisore
non mi informo di certo sulla sua diffusione sul mercato!
Ergo:non sono un pecorone che segue la
mandria convinto che quella sia la giusta via.........

[eraser]

Quote:

Originariamente inviato da strangers

I link che hai postato sono del 2009.

Solo questo rende totalmente inutile il resto del tuo post, ci sono evidenti problemi di comprensione o semplicemente di superficialità. Non vorrei rovinarti tutto, ma ben 2 articoli su 4 sono del 2010, 27 e 29 Settembre 2010. Il che fa ben capire come tu abbia degnato anche solo di uno sguardo quei link.

Quote:

l'ultima è proprio di questa news e continuo a farti notare come tutti continuano a chiedersi cosa fa di preciso questo NUOVO worm

Si, confermo le evidenti difficoltà di comprensione e/o superficialità

Quote:

Una volta installato nel sistema, Murofet inizia a rubare i dati sensibili utilizzati dagli utenti all'interno dei browser web per poi cifrarli ed inviarli ad un server di raccolta.
Al momento esistono pochi collegamenti attivi e la maggior parte puntano tutti verso l'IP 195.189.226.107, ma è altamente probabile che l'indirizzo verrà variato più spesso non appena il worm riuscirà ad infettare un maggior numero di sistemi.

Quote:

Questo per farti capire quanto può fregarmene.

Ah, se non te ne frega a te, figurarsi a me Ripeto ciò che ho detto in qualche post fa: ci sono così tante frasi da fanboy nei tuoi post che l'unica cosa che mi viene da dire è "hai sicuramente e totalmente ragione"

[mauro79]

Quote:

Originariamente inviato da strangers

E allora?
questa è la solita storiella che non convince più nessuno.
Quando compro una lavatrice o un televisore
non mi informo di certo sulla sua diffusione sul mercato!
Ergo:non sono un pecorone che segue la
mandria convinto che quella sia la giusta via.........

Allora, come scegli tu le cose da comprare non frega a nessuno.

Il mio discorso sulla diffusione, non era per giustificare qualcosa, era solo per dire che, vista la sua grossa diffusione, in questo topic si vorrebbe parlare di come lavora questo worm (o quello che è).

Nessuno sta dicendo qual'è la giusta via.

Il punto è, tu perchè parli qui, visto che questo problema non ti tocca?

[PeK]

soluzione rapida -> cliccami


soluzione meno rapida: stai perdendo ore del tuo prezioso tempo (che usi per lavorare sul tuo mac) a discutere su un forum di una notizia che riguarda un altro sistema operativo. che c'è di sbagliato in questa immagine?

saluti e baci, pek

[PeK]

Quote:

Originariamente inviato da hardstyler

ieri sera ho inserito l'ip indicato nell'articolo per pura curiosità tramite firefox e non ha aperto nulla però, e qui c'è un però.... ieri sera ho aggiornato win 7 x64 con le patch fresche fresche appena uscite... fattostà che o è partito tutto dall'aver "visitato" quell'ip o dagli aggiornamenti MS che il firewall del router netgear mi ha bloccato più di un accesso dal mio pc verso un altro ip: 143.127.102.125 porta 80

Così visto che di firewall ne ho 3, uno software della norton internet security (che non serve assolutamente a nulla!!!!), uno hardware della zyxell che però non mi aveva bloccato nulla ma forse (sicuro!) perchè l'aveva già fatto il router/modem adsl netgear ho provveduto a bloccare tutte le connessioni in entrata e in uscita dell'ip di cui all'articolo e infatti non ho mai avuto connessioni extra oltre a quella fatta da me apposta però continuo ad avere 40 connessioni ogni 5 minuti verso l'indirizzo che ho scritto sopra e per di più poco fa mi son ritrovato il firewall del netgear a bloccare diverse connessioni verso il mio pc da indirizzi tipo mrs02s01-in-f100.1e100.net e cambiavano ogni volta!!!! mi chiedo che diavola sia!!!

uhm, mi sa che dovresti configurare meglio il zyxell riesci a vedere quali processi si collegano a quell'ip?

dal prompt netstat -anob

poi usa una utility tipo process explorer per capire che succede...

[hardstyler]

Quote:

Originariamente inviato da PeK

uhm, mi sa che dovresti configurare meglio il zyxell riesci a vedere quali processi si collegano a quell'ip?

dal prompt netstat -anob

poi usa una utility tipo process explorer per capire che succede...

ok grazie proverò a vedere il tutto. ieri comunque mi son scollegato da internet e riconnesso e le connessioni da e verso quel ip non ci son più state probabilmente grazie al cambio ip internet....

ho comunque i miei dubbi riguardo la config del zyxell... ho bloccato i vari servizi e sembra tutto ok però. ho fatto un test delle porte quasi completo (65000 son tante!!!) e il firewall del router modem adsl netgear mi bloccava tutto, mentre il zyxell mi ha bloccato solo un attacco tcp syn flood che si vede deve essere scappato al firewall del netgear....

ho il netgear (modem adsl, router, switch, firewall) collegato direttamente al doppino telefonico dell'adsl e al netgear ho collegato il firewall zyxell e al zyxell ci collego due pc.

[eraser]

Quote:

Originariamente inviato da hardstyler

ieri sera ho inserito l'ip indicato nell'articolo per pura curiosità tramite firefox e non ha aperto nulla però, e qui c'è un però.... ieri sera ho aggiornato win 7 x64 con le patch fresche fresche appena uscite... fattostà che o è partito tutto dall'aver "visitato" quell'ip o dagli aggiornamenti MS che il firewall del router netgear mi ha bloccato più di un accesso dal mio pc verso un altro ip: 143.127.102.125 porta 80

Così visto che di firewall ne ho 3, uno software della norton internet security (che non serve assolutamente a nulla!!!!), uno hardware della zyxell che però non mi aveva bloccato nulla ma forse (sicuro!) perchè l'aveva già fatto il router/modem adsl netgear ho provveduto a bloccare tutte le connessioni in entrata e in uscita dell'ip di cui all'articolo e infatti non ho mai avuto connessioni extra oltre a quella fatta da me apposta però continuo ad avere 40 connessioni ogni 5 minuti verso l'indirizzo che ho scritto sopra e per di più poco fa mi son ritrovato il firewall del netgear a bloccare diverse connessioni verso il mio pc da indirizzi tipo mrs02s01-in-f100.1e100.net e cambiavano ogni volta!!!! mi chiedo che diavola sia!!!

Se ti colleghi direttamente all'indirizzo IP indicato nell'articolo non succederà niente, perché ci devi arrivare tramite dominio

Hai per caso un prodotto della Symantec, tipo Norton Antivirus? L'ip che hai indicato (143.127.102.125) è un IP della Symantec e le connessioni continue potrebbe essere la nuova tecnologia in the cloud utilizzata dalla società

[strangers]

Quote:

Non vorrei rovinarti tutto, ma ben 2 articoli su 4 sono del 2010, 27 e 29 Settembre 2010. Il che fa ben capire come tu abbia degnato anche solo di uno sguardo quei link.

Gli altri 2 sono del 2009,diciamolo no?
Per quelli più recenti invece si parla del solito flash player e di asrl.
Le solite 2 cose trite e ritrite.

Tra l'altro nell'articolo che trovo sicuramente interesSante si legge:

Quote:

....può costare molto caro: visitando, ad esempio, una pagina web che sfrutta una lacuna di sicurezza presente in Adobe Flash Player, potrebbe verificarsi l'esecuzione di codice dannoso.

Io ancora oggi sto aspettando la notizia eclatante che qualcuno sfrutta questi punti deboli x trarne profitto sui sistemi mac.

Per ora,le solite notizie eclatanti che leggo sono sempre le stesse che leggevo quando usavo windows ed era giornalmente un'angoscia!

Quote:

L'infezione ha inizio con un iniezione di circa 2000 Byte di codice binario all'interno di un file eseguibile, in modo tale che una volta avviato il programma, il codice iniettato vada a scaricare il worm vero e proprio sul sistema della vittima

[zappy]

-

[zappy]

Quote:

Originariamente inviato da mauro79

Si vuole solo discutere di come lavora questo cazzo di worm (o quello che è)!

Giusto.

[zappy]

Quote:

Originariamente inviato da hardstyler

...ieri sera ho aggiornato win 7 x64 con le patch fresche fresche appena uscite...

...Così visto che di firewall ne ho 3,

io ho solo quello di win, che finalmente gestisce anche le connessioni in uscita.
Tuttavia devo imparare ad usarlo bene perchè di default non blocca nessun traffico in uscita.
se si attiva tale blocco, winupdate dà errore perchè non vi sorno regole predefinite per lui.
Se ho capito bene, bisogna autorizzare il traffico in uscita di svchost.exe sulle porte TCP 443 e 80
pe maggior sicurezza bisognerebbe conoscere gli IP remoti di MS (e forse anche di akamai) attraverso cui passa winupdate.
qualcuno conosce una buona guida alla config di windows firewall di 7?

[hardstyler]

Quote:

Originariamente inviato da eraser

Se ti colleghi direttamente all'indirizzo IP indicato nell'articolo non succederà niente, perché ci devi arrivare tramite dominio

Hai per caso un prodotto della Symantec, tipo Norton Antivirus? L'ip che hai indicato (143.127.102.125) è un IP della Symantec e le connessioni continue potrebbe essere la nuova tecnologia in the cloud utilizzata dalla società

Grazie. In effetti ho qualche sospetto a riguardo e ho letto in giro gia per la versione 2010..... Provero' a controllare meglio.