M'è arrivata una mail...

[jumpjack]

Anzi, la pagina esatta per testare il PC e' questa:
https://www.grc.com/x/ne.dll?bh0bkyd2

[Broncofix]

Ora ho aggiunto anche Superantispyware. Credo però che questo pgm serva solo a fare uno scanning del pc, non a monitorarlo in maniera permanente. Riguardo ai pgm di protezione avete qualche altro consiglio?
Per il resto, ripeto il tool anti-malware di pmonti è sufficiente ad essere tranquilli contro la mail pazza dell'av. gentili? Come posso fare ad esser certo di non avere più residui sul pc di questo "signore"? C'è un modo per verificarlo con certezza? Non vorrei che password ed altre cose simili finiscano nelle mani sbagliate.

[Broncofix]

Quote:

Originariamente inviato da pmonti

Ho appena scritto un cleaner per questo trojan, che a partire da questa mattina ci ha creato una notevole massa di richieste di supporto, dato che l'email fittizia del sedicente studio legale è stata "spammata" a molti indirizzi.

Ecco qui

http://www.nod32.it/cgi-bin/mapdl.pl?tool=SpamBot

ciao,
Paolo.

Con questo anti-malware che hai diffuso si risolve alla radice il problema o non si può essere sicuri al 100%. Purtroppo io ho risposto alla mail, ed ora che mi ricordo ho inserito anche il nome e cognome che poi corrisponde all'indirizzo e-mail. Non sarà il caso di formattare tutto. Oppure l'eventuale eliminazione dell'account potrebbe arginare il problema? Attendo rassicurazioni

[trokij]

Quote:

Originariamente inviato da jumpjack

Un "port scanner" è un programma che cerca automaticamente PC scelti a caso sulla rete che siano "sprotetti" (cioe' senza firewall), nel qual caso cerca di entrarci dentro, e installarci programmi che permettono di controllarlo da lontano; se ci riesce, quel computer diventa uno "zombi"; tanti "computer zombie" formano una bot-net, una "rete di robot" (robot intesi come programmi automatici) usati per inviare mail di SPAM in modo anonimo o per bloccare siti commerciali mediante attacchi DDOS (cerca su google), ecc. ecc. ecc.

Il mio zonealarm (versione free) puo' essere configurato in modo da avvisarmi ogni volta che ognuno cerca di entrarmi nel PC: ho dovuto disabilitare la notifica, senno' passo piu' tempo a chiudere le schermate di notifica che a usare il PC!
Al momento il contatore dice che ha bloccato 102110 tentativi di intrusione, di cui 7578 considerati "altamente pericolosi"(*); non ho capito se il conto parte dall'inizio del 2006 (data del primo log che ho), dall'ultimo aggiornamento che ho fatto a zonealarm (qualche mese fa) o da quando l'ho installato la prima volta (quando ho installato XP, forse l'anno scorso, boh?). Se fossero 100.000 intrusioni in un anno, significherebbe.... circa 1000 al giorno, di cui 20 "pericolose".

Nel tempo che ci ho messo a scrivere questo mex ha registrato altri 43 tentativi di intrusione.

La fuori non è una giungla, è MOLTO PEGGIO.


Un antivirus puo' proteggerti solo se conosce GIA' il virus che installi sul PC, ovvero se:
- qualcuno prima di te è stato infettato,
- se n'e' accorto,
- ha avvisato la ditta che fabbrica l'antivirus,
- la ditta ha aggiornato l'antivirus,
- ha pubblicato l'aggiornamento,
- e tu l'hai scaricato
- e installato sul PC.
Per questo è fondamentale che ogni antivirus sia lasciato libero di accedere a internet quando vuole per autoaggiornarsi.


Appunto: NON possono. Per questo è "facile" capire se un messaggio "per te" è davvero diretto a te: se chi ti scrive ti chiama, invece che per nome, per... "indirizzo e-mail", e' evidente che NON SA come ti chiami e tira a indovinare!
Se la tua e-mail è nome.cognome@libero.it , una email "fasulla" potrebbe rivolgersi a te col tuo nome, [Nome Cognome]: sembrerebbe credibile.... se è credibile che qualcuno che ti scrive ti dice "Ciao [Nome Cognome], come stai?", invece di "Ciao [Nome], come stai?"...


Oltre ad antivirus e firewall, ti consiglio di far girare un "anti-spyware" come SpyBot seacrh & destroy, casomai si fosse installato sul tuo PC un programma di "key-logging" (o altre diavolerie), che memorizza tutto quello che digiti e lo invia a chiisacchi'.

Fatti un giro qui e controlla quanti buchi ci sono nel tuo PC! ;-)
http://www.grc.com/lt/leaktest.htm

(*)
Ti dico solo che, anni fa, quand'ero giovane e incauto , provai uno di questi programmi: riuscii a stampare sulla stampante di... qualcuno in Italia che neanche conosco (!!!) "Ciao, sono il tuo hacker!", e a un altro tizio modificai il file "autoexec.bat" in modo che all'avvio gli comparisse la scritta "Guarda che il tuo PC è sprotetto, sarà meglio che tu faccia...bla bla bla...", e gli spiegai come "chiudere" il PC!
Entrambi i PC usavano windows 95.

devo rivalutare le mie difese

[naso]

usare il buon senso... oltre ai vari software?
da quando le email sono valide ai fini civili, o penali? io sapevo che ci voleva minimo una raccomandata.. (per avere qualcosa in mano...) meglio se direttamente una intimazione (quindi una lettera firmata) o una querela......

poi da quando si risponde a chi nn si conosce? tu mi minacci? e io ti denuncio... nn ti rispondo.....

gurdate che il 3d "buon senso" nn è così tanto assurdo..... se aveste seguito anche solo metà dei consigli inseriti lì, nn avreste avuto nessun prb....

[Broncofix]

In questo momento sto utilizzando due anti-spyware molto "famosi":

-Superantispyware
-Spybot - Search & Destroy

Entrambi mi hanno riscontrato problemi tra i fils cookie. Voci tipo 'tradedoubler','doubleclick', 'atdm', 'mediaplex'. Sapete dirmi di cosa si tratta? Poi un'altro pericolo è stato riscontrato con 'Microsoft windows security center - antivirusoverride!' considerato una modifica al registro.
Per ultimo entrambi hanno trovato qualcosa che non va con bearshare il pgm peer to peer, che superantispyware ha provveduto addirittura a disinstallare.

Sapreste dirmi se corro qualche rischio con questi presunti spyware? Ve lo chiedo perchè mi sembra che entrambi i pgm anti-malware pure correggendo il problema in primo momento non siano in grado di arrestare la loro ricomparsa al successivo avvio della connessione internet. Grazie

[Ciaba]

...altra variante...

"Buongiorno,
lei e molti altri della mia rubrica mi avete inviato la mail che riporto
qui sotto. Purtroppo ho paura che si tratti del nuovo worm che si sta diffondendo
in questi giorni, le consiglio di eliminarlo al più presto
per scongiurare danni peggiori ai suoi documenti!
Io ho risolto il problema con il disinstallatore disponibile a questa url:
http://VuVuVu.spywarenothere.biz


Spero che possa risolvere
cordiali saluti

Dario Dibenedetto"

[eraser]

http://www.pcalsicuro.com/main/2006/...erza-variante/

[Broncofix]

raga vorrei un parere esperto. siccome ho scaricato la tool incriminata su di un notebook effettuando il ripristino dell'unità c: mediante i dischi di ripristino che procedono all'eliminazione di tutto il contenuto dell'unità, sono sicuro all100% di avere buttato fuori l'avvocato e tutta la sua scomoda immondizia? gracies

[trokij]

Quote:

Originariamente inviato da Broncofix

raga vorrei un parere esperto. siccome ho scaricato la tool incriminata su di un notebook effettuando il ripristino dell'unità c: mediante i dischi di ripristino che procedono all'eliminazione di tutto il contenuto dell'unità, sono sicuro all100% di avere buttato fuori l'avvocato e tutta la sua scomoda immondizia? gracies

I dischi di ripristino mi pare non foramattino il disco, credo sovrascrivano solo il so

[Broncofix]

durante la procedura guida mi è stato comunicato che si sarebbe proceduto all'eliminazione di tutto il contenuto dell'unità c: e dunque al ripristino del sistema originario installato sul note. Che diavolo non penso siano così resistenti sti tizi!?

[trokij]

Quote:

Originariamente inviato da Broncofix

durante la procedura guida mi è stato comunicato che si sarebbe proceduto all'eliminazione di tutto il contenuto dell'unità c: e dunque al ripristino del sistema originario installato sul note. Che diavolo non penso siano così resistenti sti tizi!?

Ma che io sappia il ripristino cancella e reinstalla solo il so...
Comunque se ha cancellato tutto stai tranquillo

[Broncofix]

scusami ammettendo che quello che dici sia vero, lo spyware non si era intrufolato nel registro del s.o.? voglio dire la cancellazione e il ripristino anche solo del s.o. credo sia cmq più che sufficiente per stare tranquilli. sai com'è io ho scaricato un casino di pgm anti-malware tra ieri e oggi ed ho utilizzato anche il tool ad hoc di pmonti contro questo specifico attacco, ma nonostante questo non mi fidavo molto. credo che con questo ulteriore passaggio mi sia messo ancora più al sicuro, non credi?

[neongio]

confermo che è qualcoche malware nuovo...il bello è che è scritta in italiano corretto e penso usi nominativi e indirizzi a random no?

[pmonti]

Quote:

Originariamente inviato da eraser

http://www.pcalsicuro.com/main/2006/...erza-variante/

Ciao Marco,

cleaner aggiornato per individuare e rimuovere anche la terza variante.

a presto,
Paolo.

[kmarraff]

EDIT.
http://www.hwupgrade.it/forum/showthread.php?t=1349526

[neongio]

Quote:

Originariamente inviato da pmonti

Ciao Marco,

cleaner aggiornato per individuare e rimuovere anche la terza variante.

a presto,
Paolo.

piano con questi link...è un link sicuro o uno di quelli che trovate nelle mail?

[eraser]

Quote:

Originariamente inviato da pmonti

Ciao Marco,

cleaner aggiornato per individuare e rimuovere anche la terza variante.

a presto,
Paolo.

ottimo Nel frattempo ho anche aggiornato con un pò di informazioni il sito (http://www.pcalsicuro.com/main/2006/...trojanspambot/)

a presto (misà molto presto, che podarsi devo venire nella capitale )

Marco

[nicjannu]

Io ho ricevuto questa email (dato che per posta e altro uso un mac e' difficile che abbia preso un virus, ma ho dubitato dato che in rete ho altri 3 pc ma non hanno alcun client di posta ne' indirizzi pop3 o smtp miei)
devo dire che mi lascia molti dubbi, visto anche il tono cosi' comprensivo e amichevole.
pero' guardando il sito, tantissimi link che dovrebbero essere attivi non lo sono, e' attivo solo il link per scaricare quel sospettissimo ".exe"...
voi che dite?...ho eliminato il nome di chi me l' ha inviata ma se e' una balla come penso potevo anche lasciarlo:

Mi scusi,

lei e molti altri della mia lista contatti mi avete inviato la mail che inoltro
qui sotto. Purtroppo temo si tratti di un nuovo virus che sta girando
negli ultimi giorni, le consiglio di eliminarlo al più presto
per scongiurare danni peggiori ai suoi dati!
Io l'ho rimosso con il tool che ho trovato in questo sito:
http://www.SpyWareKillerSite.biz

Spero di esserle stato d'aiuto
saluti cordiali
xxxxxxx

----- Original Message -----
From: xxxxx@libero.it
To: 'xxxxxxx'
Sent: November 27, 2006 18:54
Subject: ma che figo!

apri il file allegato è un gioco porno!


provalo e fallo girare!!

ciao!
xxxxx@libero.it

[Broncofix]

ragazzi ho l'impressione che la discussione si stia un pò perdendo...

A tal proposito invito i "veterani" di questo portale a fornire qualche indicazione più precisa su questo malware che si sta diffondendo.
Tipo:
Qual'è la l'obiettivo di questo ultimo attacco? Installando questo specifico
malware cosa accade al pc dello sventurato utonto o utente distratto di turno? Questa cosa mi sembra di fondamentale importanza.
Poi quali sono i reali antidoti?
Nel mio caso ad esempio ho pensato bene di ripristinare il sistema operativo, fare diverse scansioni con alcuni anti-spyware (tipo spybot e spywareblaster) e poi fare un ulteriore scansione con 'win32. spambot cleaner' (l'anti-malware creato ad hoc da paolo monti). Le varie scansioni soprattutto quella con il cleaner di pmonti non hanno riscontrato problemi. Spero di aver fatto tutto il necessario per mettermi al riparo. Voi che dite? Il ripristino del sistema con i dischi del produttore del notebook è sufficiente per stare tranquilli o sarebbe meglio procedere con una vera e propria formattazione del notebook?

Vorrei che chi è caduto in questa trappola ed ora ha la certezza di aver risolto il problema ci spiegasse come ha fatto. Questo credo sia il senso di questo forum. Grazie a tutti!