Cleaner gratuito per Win32/Agent.VP

[lucas84]

Scusami,ma la maggior parte delle aziende risponde all'invio del file infetto,ciao

[pmonti]

Quote:

Originariamente inviato da lucas84

Scusami,ma la maggior parte delle aziende risponde all'invio del file infetto,ciao

Dovresti essere un po' piu' specifico: chi è che risponde e che cosa risponde?
Non è affatto saggio far rispondere un sistema automatico: puo' essere sfruttato per generare un mailbombing.

ciao,
Paolo.

[lucas84]

Ecco, infatti mi sa che non ci siamo capiti (mea culpa)
Rispondere se il file è infetto o no .
Adesso, fai caso che tu sei un normale utente e sul tuo pc trovi un file sconosciuto abbastanza sospetto,lo invi,ti piacerebbe ricevere una risposta?(infetto/non infetto),a me si
Poi, tu non sei un normale utente, quindi nemmeno ti serve inviarlo

Ciao

[eraser]

*MARCO ILLUMINATO DI SABATO MATTINA*

Ho avuto un'idea per l'identificatione del rootkit in maniera automatica Da alcune prove sembrava funzionasse

Mi metto all'opera, vediamo cosa riesco a tirare fuori

[pmonti]

Quote:

Originariamente inviato da lucas84

Ecco, infatti mi sa che non ci siamo capiti (mea culpa)
Rispondere se il file è infetto o no .
Adesso, fai caso che tu sei un normale utente e sul tuo pc trovi un file sconosciuto abbastanza sospetto,lo invi,ti piacerebbe ricevere una risposta?(infetto/non infetto),a me si

Scusa, ma torniamo al punto di prima: una replica automatica puo' senz'altro essere utile o appagante per l'ego di un utente e quindi avere un senso anche sotto il profilo del marketing, non dico di no, ma dal punto di vista della sicurezza sarebbe un modo assolutamente errato di gestire un indirizzo e-mail che non richiede autenticazioni particolari.
Al momento, la procedura che ho fornito serve soltanto per far pervenire dei file sospetti ad Eset nel modo piu' diretto possibile; se qualcuno è interessato a farlo, è ovvio. Magari, per il futuro, si potra' prendere in esame un sistema che risponde via web, sul tipo di Jotti o VirusTotal.

ciao,
Paolo.

[lucas84]

Guarda non capisco,non si tratta di ego,si tratta solo di essere informati del file mandato,una cosa del tutto leggittima,se un' azienda non risponde, Amen

[pmonti]

Quote:

Originariamente inviato da lucas84

Guarda non capisco,non si tratta di ego,si tratta solo di essere informati del file mandato,una cosa del tutto leggittima,se un' azienda non risponde, Amen

Era solo per completare il discorso... va bene, lasciamo stare.

ciao,
Paolo.

[lucas84]

Oguno la pensa come vuole,ci mancherebbe,quello che volevo dire è che fa sempre piacere ricevere una risposta se si manda un file,se non si riceve nessun problema.

Ciao

[eraser]

su su

[pmonti]

Quote:

Originariamente inviato da lucas84

Oguno la pensa come vuole,ci mancherebbe,quello che volevo dire è che fa sempre piacere ricevere una risposta se si manda un file,se non si riceve nessun problema.

Gianluca, non c'e' problema Ho solo cercato di spiegare che se non ricevi repliche da certi sistemi il fatto non avviene per caso o per negligenza, anzi. Ci sono dei precisi motivi di sicurezza. Non è una buona idea inviare delle e-mail in modo automatizzato se l'accesso al sistema di analisi non prevede anche una qualche forma di challenge-response e autenticazione manuale attraverso capcha o simili. Le repliche che si ricevono dalle aziende antivirus non vengono scritte manualmente, sono frutto di sistemi esperti. Se queste e-mail vengono inviate senza alcuna forma preventiva di autenticazione da parte dell'utente che invia i file sospetti, l'intero sistema puo' essere sfruttato per attacchi Denial of Service o comunque per inviare e-mail non richieste a persone che non c'entrano nulla.

Quindi, o si privilegia la semplicita' e l'immediatezza (la via scelta attualmente da Eset) o si mette in piedi un sistema di autenticazione che puo' fare anche fuoco e fiamme, ma che richiede una procedura di invio file piu' farraginosa. Scegliere una via di mezzo, facilita' di invio e spedizione di e-mail di risposta, sarebbe invece un modo poco responsabile di gestire il sistema.

ciao,
Paolo.

[bReAkDoWn]

io nel frattempo ho un w32.exe per le mani.. lo sto analizzando.. se è simile al più famoso www.google.com risparmio del lavoro, perchè avevo intenzione di analizzare anche quello.. poi vedremo cosa ne esce..

ps un ringraziamento pubblico a lucas84 per avermi indicato una via..

saluti!

[lucas84]

Grazie, queste cose non le sapevo(tu ci lavori ne saprai qualcosa + di noi ) scusa se ti sono sembrato un pò troppo insistente,comunque la nuova variante blocca tutti i software antirootkits più conosciuti,porca miseria

[eraser]

Quote:

Originariamente inviato da lucas84

Grazie, queste cose non le sapevo(tu ci lavori ne saprai qualcosa + di noi ) scusa se ti sono sembrato un pò troppo insistente,comunque la nuova variante blocca tutti i software antirootkits più conosciuti,porca miseria

non quello che sto facendo io - perlomeno per trovare il nome del rootkit

(dovrebbe funzionare )

[lucas84]

Anche il cleaner blocca

PS:Fai subito con sto tool senno esco fuori di testa(scherzo)

[eraser]

come non detto, sembra che al riavvio non funzioni piu la mia idea

uhm....thinking mode on....

[lucas84]

E adesso come si fa?

[pmonti]

Quote:

Originariamente inviato da lucas84

Grazie, queste cose non le sapevo(tu ci lavori ne saprai qualcosa + di noi ) scusa se ti sono sembrato un pò troppo insistente

Assolutamente nessun problema, credimi Magari sono sembrato un po' brusco anche io. Non era mia intenzione, davvero... è che mentre replico qui sto anche scrivendo un cleaner per una variante molto fastidiosa di Brontok, che ha letteralmente messo in ginocchio una grossa azienda in Cile. Il multitasking cerebrale a volte va a discapito della completezza

ciao,
Paolo.

[lucas84]

Ma capirai, è un piacere litigare con te
Ciao

[eraser]

sto lavorando con un altro ricercatore che era riuscito a scrivere un driver che si caricava molto presto all'avvio del sistema, poi ha scoperto perche non funzionava....si caricava troppo presto

L'ha riscritto, poi si caricava troppo tardi

Paolo, se puoi accendi icq

[Teliqalipukt]

Quote:

Originariamente inviato da eraser

sto lavorando con un altro ricercatore che era riuscito a scrivere un driver che si caricava molto presto all'avvio del sistema, poi ha scoperto perche non funzionava....si caricava troppo presto

L'ha riscritto, poi si caricava troppo tardi

Paolo, se puoi accendi icq

Ho trovato la soluzione

DIGLI CHE DEVE FARE IN MODO CHE SI CARICA A META'