M'è arrivata una mail...

[trokij]

Quote:

Originariamente inviato da lucas84

Si,stamattina ,così l'ho anche decompresso ,poi sono andato a dormire è non ho potute seguire il topic

Ciao

Avevi poi capito che ci stavano a fare i siti della polizia di stato?

[jumpjack]

Quote:

Originariamente inviato da trokij

Avevi poi capito che ci stavano a fare i siti della polizia di stato?

a me pare abbastanza ovvio: servono a NON mandare email a dominii di quel tipo; che senso ha cercare di truffare un poliziotto? Masochismo? Evidentemente il worm pesca indirizzi a caso dalle rubriche... ma il caso non deve includere indirizzi "pericolosi" per... la salute del worm!

[lucas84]

controlla se sono presente i domini citati in questa chiave
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts

[FOXYLADY]

Non ho letto tuto il thread e non so se è già stato segnalato, nel caso scusate.
Nod32.it ha già messo a
disposizione gratuitamente un programma di pulitura (cleaner) su
misura per eliminare questo virus dai computer infetti (mail avvocato Gentili). Il programma
di pulitura è scaricabile da qui:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=SpamBot

EDIT

Perfetto ho visto che era già intervenuto Paolo Monti, va beh ormai non cancello.

[trokij]

Quote:

Originariamente inviato da lucas84

controlla se sono presente i domini citati in questa chiave
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts

Da me no

[Daygon]

Quote:

Originariamente inviato da FOXYLADY

mail avvocato giuliani

LOL avvocato gentili non giuliani. Eraser non c'entra

[ciccioweb]

Quote:

Originariamente inviato da FOXYLADY

Non ho letto tuto il thread e non so se è già stato segnalato, nel caso scusate.
Nod32.it ha già messo a
disposizione gratuitamente un programma di pulitura (cleaner) su
misura per eliminare questo virus dai computer infetti (mail avvocato giuliani). Il programma
di pulitura è scaricabile da qui:

http://www.nod32.it/cgi-bin/mapdl.pl?tool=SpamBot

EDIT

Perfetto ho visto che era già intervenuto Paolo Monti, va beh ormai non cancello.

La mail è arrivata anke a me... e a dir la verità c'èro quasi cascato...
Grazie per il tool di rimozione...

[Daygon]

http://punto-informatico.it/p.aspx?id=1792235&r=PI

[Daygon]

Quote:

Originariamente inviato da trokij

http://www.notmorespyware.biz/

Comunque che il virus writer è italiano si capisce anche da come è intestato questo dominio: puro inglese "maccheronico": "not more spyware" invece che "no more spywares"

[c.m.g]

Quote:

Originariamente inviato da Daygon

Comunque che il virus writer è italiano si capisce anche da come è intestato questo dominio: puro inglese "maccheronico": "not more spyware" invece che "no more spywares"

quotone!

[dani&l]

Arrivata da me anche in ufficio, ma con la variante "senza avvocato", solo il pezzo finale della mail, per fortuna il pc che ha ricevuto la mail non ha il diritto di accedere a internet e il personaggio mi ha subito chiamato pensando di avere un virus

[pmonti]

Quote:

Originariamente inviato da lucas84

Ciao Paolo,il tool funziona + che bene,una domanda,il tool elimina anche le chiavi aggiunte dopo l'esecuzione del malware?mi sembra di si,dato che ho controllato e non ci sono +,è rimasto solo un valore riconducibile al malware,ottimo

Ciao Lucas,

nella mia libreria anti-malware, diciamo cosi', ho scritto una routine dedicata alla rimozione generica di Browser Helper Object malicious. E' anche piu' completa di quella usata da HijackThis, che a volte trascura dei valori/chiavi di Registro connessi ai BHO.

a presto,
Paolo.

[lucas84]

Grazie per la risposta,ho visto che vengono anche eliminate queste chiavi oltre al bho,ciao

[ciccioweb]

Quote:

Originariamente inviato da pmonti

Ciao Lucas,

nella mia libreria anti-malware, diciamo cosi', ho scritto una routine dedicata alla rimozione generica di Browser Helper Object malicious. E' anche piu' completa di quella usata da HijackThis, che a volte trascura dei valori/chiavi di Registro connessi ai BHO.

a presto,
Paolo.

Ciao, scusa, ma il tool va eseguito in modalità provvisoria???
Poi approfitto per chiedere un'altra cosa, eseguito il tool la mia ADSL si disconnette continuamente, premetto ke ho anke eseguito scansioni con AdAware, Spybot, CWShredder, HijackThis e Nod32 aggiornato... ed il PC è pulito... cosa può essere???

[FOXYLADY]

Quote:

Originariamente inviato da Daygon

LOL avvocato gentili non giuliani. Eraser non c'entra

[pmonti]

Quote:

Originariamente inviato da ciccioweb

Ciao, scusa, ma il tool va eseguito in modalità provvisoria???

No, può essere eseguito tranquillamente in modalità normale.
Per inciso, di questo malware è stata rilasciata una versione nuova. In realta', si tratta piu' che altro di un repacking della prima versione effettuato con l'uso di un altro EXE packer al posto di UPX: EXE32PACK 1.3.
Ho aggiornato il mio cleaner per individuare e rimuovere anche questa variante.

Quote:

Originariamente inviato da ciccioweb

Poi approfitto per chiedere un'altra cosa, eseguito il tool la mia ADSL si disconnette continuamente, premetto ke ho anke eseguito scansioni con AdAware, Spybot, CWShredder, HijackThis e Nod32 aggiornato... ed il PC è pulito... cosa può essere???

Non mi pare un problema di malware, sembra più un problema con il tuo ISP o con il tuo modem/router ADSL.

ciao,
Paolo.

[Broncofix]

Dunque raga vorrei qualche rassicurazione da voi. Vi spiego cosa ho fatto:
1)ho risposta alla mail incriminata (incazzato)
2)ho aperto il link notmorespyware
3)ho scaricato il "tool" worm
4)l'ho installato con la comparsa di quel messaggio "evil...etc"

A questo punto resomi conto da una breve ricerca con google di esserci cascato come un pollo ho cercato di rimediare in questo modo:
1)ho scaricato e lanciato il pgm di pmonti (a proposito sei impagabile!)
2)il pgm mi ha individuato due files sospetti prontamente rimossi
3)ho verificato che questi file di registro fossero stati rimossi :
c:\WINDOWS\system32\webdesk.dll
HKEY_CLASSES_ROOT\CLSID\{BD2E165D-1BC6-23AA-345B-1C234F173CBD}
HKEY_CLASSES_ROOT\Interface\{BDA8125F-55CA-4168-6D9A-168E76C11ABD}
HKEY_CLASSES_ROOT\TypeLib\{8E28DE0A-6A2E-4CB8-BBF0-BD131DC1A3B4}
HKEY_CLASSES_ROOT\WebDesk.webq
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BD2E165D-1BC6-23AA-345B-1C234F173CBD}
Valore in rosso
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
"MediaD"

Tutto ok! Ora vorrei capire se sono al sicuro o se c'è qualcos'altro che posso fare. E poi, avendo risposto alla lora mail, cosa accadrà adesso? L'ipotesi di cancellare o non utilizzare più quell'account di posta elettronica mi porrebbe maggiormente al riparo dai loro "attacchi"?
Ho bisogno di capire se posso continuare ad utilizzare il computer dopo quello che è successo soprattutto quando sono in rete con una certa tranquillità. Non sarà mica necessario formattare per stare tranquilli al 100%?!

[jumpjack]

Quote:

Originariamente inviato da Broncofix

Tutto ok! Ora vorrei capire se sono al sicuro o se c'è qualcos'altro che posso fare. E poi, avendo risposto alla lora mail, cosa accadrà adesso? L'ipotesi di cancellare o non utilizzare più quell'account di posta elettronica mi porrebbe maggiormente al riparo dai loro "attacchi"?
Ho bisogno di capire se posso continuare ad utilizzare il computer dopo quello che è successo soprattutto quando sono in rete con una certa tranquillità. Non sarà mica necessario formattare per stare tranquilli al 100%?!

Rispondendo alla mail hai detto a chi ha scritto il virus "ciao, sono un pollo, usate pure il mio computer!"
Quindi si sentiranno "autorizzati" a mandarti altre "esche" del genere, e, perche' no, anche a cercare di ficcanasare DENTRO al tuo PC tramite un port-scanner o altri tool "simpatici" usati dai cracker per crearesi la loro bot-net di PC-zombie, che cioe' operano ad insaputa degli utenti come robot di auto-invio di spam.

Adesso che pero' ti sei accorto dell'errore, avrai installato antivirus e firewall aggiornati (cosa che forse prima non avevi...), quindi sei diventato un UTENTE e non piu' un UTONTO, percio' il virus-writer andra' (forse) in cerca di miglior fortuna presso uno degli altri MIGLIAIA di utonti che hanno abboccato: magari non tutti hanno capito di aver abboccato, magari sono UTONTI D.O.C., che neanche cosa sia un firewall... e allora si' che per loro saranno ca**i!


Se ti manderanno altre e-mail esca.... beh, chi se ne frega, a me ne arrivano dieci al giorno, basta IGNORARLE: regola numero uno: se chi ti scrive non conosce il tuo nome o il tuo nick, ma solo la tua mail... non sa a chi sta scrivendo, sta solo "sondando le acque". ;-)

[Broncofix]

Quote:

Originariamente inviato da jumpjack

Rispondendo alla mail hai detto a chi ha scritto il virus "ciao, sono un pollo, usate pure il mio computer!"
Quindi si sentiranno "autorizzati" a mandarti altre "esche" del genere, e, perche' no, anche a cercare di ficcanasare DENTRO al tuo PC tramite un port-scanner o altri tool "simpatici" usati dai cracker per crearesi la loro bot-net di PC-zombie, che cioe' operano ad insaputa degli utenti come robot di auto-invio di spam.

Che sarebbero precisamente questi port-scanner bot-net e così via? Cioè per capirci se dovessero provarci con sta roba io potrò accorgermene o c'è il rischio che loro "operino" a mia insaputa sul mio pc?

Quote:

Originariamente inviato da jumpjack

Adesso che pero' ti sei accorto dell'errore, avrai installato antivirus e firewall aggiornati (cosa che forse prima non avevi...), quindi sei diventato un UTENTE e non piu' un UTONTO, percio' il virus-writer andra' (forse) in cerca di miglior fortuna presso uno degli altri MIGLIAIA di utonti che hanno abboccato: magari non tutti hanno capito di aver abboccato, magari sono UTONTI D.O.C., che neanche cosa sia un firewall... e allora si' che per loro saranno ca**i!

Sarò pure un "utonto", però il mio bel antivirus nod32 (aggiornato alla ver 1897) e il mio firewall (zone alarm) ce l'ho lì installati che dovrebbero fare il loro lavoro...a proposito come mai non mi hanno protetto in questo caso?

Quote:

Originariamente inviato da jumpjack

Se ti manderanno altre e-mail esca.... beh, chi se ne frega, a me ne arrivano dieci al giorno, basta IGNORARLE: regola numero uno: se chi ti scrive non conosce il tuo nome o il tuo nick, ma solo la tua mail... non sa a chi sta scrivendo, sta solo "sondando le acque". ;-)

Beh, credo conoscano solo il mio indirizzo. Non credo sappiano il mio nome o il nickname. Come dovrebbero ricavarli?
Ma alla fine sto sicuro se devo utilizzare dei dati diciamo "sensibili" quando sono in rete? E' il caso di prendere qualche altro provvedimento prima di tornare ad utilizzare normalmente il pc?

[jumpjack]

Quote:

Originariamente inviato da Broncofix

Che sarebbero precisamente questi port-scanner bot-net e così via? Cioè per capirci se dovessero provarci con sta roba io potrò accorgermene o c'è il rischio che loro "operino" a mia insaputa sul mio pc?

Un "port scanner" è un programma che cerca automaticamente PC scelti a caso sulla rete che siano "sprotetti" (cioe' senza firewall), nel qual caso cerca di entrarci dentro, e installarci programmi che permettono di controllarlo da lontano; se ci riesce, quel computer diventa uno "zombi"; tanti "computer zombie" formano una bot-net, una "rete di robot" (robot intesi come programmi automatici) usati per inviare mail di SPAM in modo anonimo o per bloccare siti commerciali mediante attacchi DDOS (cerca su google), ecc. ecc. ecc.

Il mio zonealarm (versione free) puo' essere configurato in modo da avvisarmi ogni volta che ognuno cerca di entrarmi nel PC: ho dovuto disabilitare la notifica, senno' passo piu' tempo a chiudere le schermate di notifica che a usare il PC!
Al momento il contatore dice che ha bloccato 102110 tentativi di intrusione, di cui 7578 considerati "altamente pericolosi"(*); non ho capito se il conto parte dall'inizio del 2006 (data del primo log che ho), dall'ultimo aggiornamento che ho fatto a zonealarm (qualche mese fa) o da quando l'ho installato la prima volta (quando ho installato XP, forse l'anno scorso, boh?). Se fossero 100.000 intrusioni in un anno, significherebbe.... circa 1000 al giorno, di cui 20 "pericolose".

Nel tempo che ci ho messo a scrivere questo mex ha registrato altri 43 tentativi di intrusione.

La fuori non è una giungla, è MOLTO PEGGIO.

Quote:

Sarò pure un "utonto", però il mio bel antivirus nod32 (aggiornato alla ver 1897) e il mio firewall (zone alarm) ce l'ho lì installati che dovrebbero fare il loro lavoro...a proposito come mai non mi hanno protetto in questo caso?

Un antivirus puo' proteggerti solo se conosce GIA' il virus che installi sul PC, ovvero se:
- qualcuno prima di te è stato infettato,
- se n'e' accorto,
- ha avvisato la ditta che fabbrica l'antivirus,
- la ditta ha aggiornato l'antivirus,
- ha pubblicato l'aggiornamento,
- e tu l'hai scaricato
- e installato sul PC.
Per questo è fondamentale che ogni antivirus sia lasciato libero di accedere a internet quando vuole per autoaggiornarsi.

Quote:

Beh, credo conoscano solo il mio indirizzo. Non credo sappiano il mio nome o il nickname. Come dovrebbero ricavarli?

Appunto: NON possono. Per questo è "facile" capire se un messaggio "per te" è davvero diretto a te: se chi ti scrive ti chiama, invece che per nome, per... "indirizzo e-mail", e' evidente che NON SA come ti chiami e tira a indovinare!
Se la tua e-mail è nome.cognome@libero.it , una email "fasulla" potrebbe rivolgersi a te col tuo nome, [Nome Cognome]: sembrerebbe credibile.... se è credibile che qualcuno che ti scrive ti dice "Ciao [Nome Cognome], come stai?", invece di "Ciao [Nome], come stai?"...

Quote:

Ma alla fine sto sicuro se devo utilizzare dei dati diciamo "sensibili" quando sono in rete? E' il caso di prendere qualche altro provvedimento prima di tornare ad utilizzare normalmente il pc?

Oltre ad antivirus e firewall, ti consiglio di far girare un "anti-spyware" come SpyBot seacrh & destroy, casomai si fosse installato sul tuo PC un programma di "key-logging" (o altre diavolerie), che memorizza tutto quello che digiti e lo invia a chiisacchi'.

Fatti un giro qui e controlla quanti buchi ci sono nel tuo PC! ;-)
http://www.grc.com/lt/leaktest.htm

(*)
Ti dico solo che, anni fa, quand'ero giovane e incauto , provai uno di questi programmi: riuscii a stampare sulla stampante di... qualcuno in Italia che neanche conosco (!!!) "Ciao, sono il tuo hacker!", e a un altro tizio modificai il file "autoexec.bat" in modo che all'avvio gli comparisse la scritta "Guarda che il tuo PC è sprotetto, sarà meglio che tu faccia...bla bla bla...", e gli spiegai come "chiudere" il PC!
Entrambi i PC usavano windows 95.