M'è arrivata una mail...

[lucas84]

Guarda,secondo me,questo trojan non ha niente di particolare,la rimozione anche manuale è semplice,forse,l'unica cosa è la larga diffusione in pochi giorni.

1-Se nessuno spedisce il file alle aziende,difficilmente le aziende possono aggiungere la firma per questo malware
A-Elimini i files e le chiavi in modalità provvisoria,o ti affidi ai tanti forums che ci sono
B-Monti ha fatti il clener,ma l'aggiornamento penso che venga distribuito dalla sede "centrale",quindi ci vuole + tempo,sarà lui a risponderti dettagliatamente.

La situazione,è stata trattata con "superficialità" perchè non è un malware così complesso,oltre al fatto che le dovuto misure sono state prese subito,con il cleaner di Monti,che è in continuo aggiornamento.

Eh poi non penso che sia stato trattao con tutta questa superficialità,all'autore del thread ho postato tutte le istruzioni per la rimozione completa,di + penso che non si possa fare.

Ciao

[pmonti]

Quote:

Originariamente inviato da Eliat

Maggiormente utile sarebbe, al contrario, che sia Paolo Monti che Eraser, oltre a rilasciare informazioni relative ai continui aggiornamenti dei proprii tools di rimozione, spiegassero, con concetti semplici, il reale comportamento del “worm” in questione (fermo restando che i tools in questione fanno il loro lavoro).

Lo abbiamo fatto entrambi: sia io che Marco, sui nostri rispettivi siti web, abbiamo rilasciato delle analisi sul comportamento di questo malware.
L'analisi fatta da Marco è particolarmente completa e dettagliata. Quella pubblicata nella nostra rassegna stampa, invece, è un sunto di quella inviata a una mailing list di sicurezza privata indirizzata principalmente alle banche, per cui lavoro. Questo malware, come scrive anche Lucas, non è particolarmente complesso: fondamentalmente, è un trojan downloader che installa una DLL sotto forma di Browser Helper Object per Internet Explorer, ovvero un modulo che viene eseguito ad ogni avvio di Internet Explorer. Di malware di questo tipo ne vengono scritti a decine ogni giorno: rappresentano la forma piu' semplice di spyware.

Quote:

B) se non sapessi rimuoverlo manualmente, dovrei fare ricorso ad un tool realizzato da uno sviluppatore Eset che distribuisce in Italia Nod32, quando, per logica, proprio per l'elevato livello alto di allerta, sia il produttore di Nod32 che gli altri produttori di antivirus, dovrebbero aver aggiornato i loro Dbase al fine di rilevare, direttamente, quel worm, bloccarlo e rimuoverlo;

Con gli ultimi aggiornamenti NOD32 individua tutte le varianti. Il cleaner non sostituisce l'antivirus in alcun modo: piuttosto, rappresenta un modo veloce e completamente gratuito per risolvere il problema nel caso in cui l'utente (nostro, come di altri produttori antivirus) abbia infettato il sistema eseguendo il malware in questione quando l'antivirus ancora non lo riconosceva.

ciao,
Paolo.

[giannola]

Quote:

Originariamente inviato da Eliat

Ho seguito il thread con interesse e la mia impressione è che si stia perdendo di vista il problema reale, evidenziando, esclusivamente, il diffondersi di questo worm (e sue varianti).
In primis ritengo sia quanto mai inutile, riportare, continuamente, all’interno del thread, il testo della mail (anche se cambia il senso del testo non cambia il “concetto”: scaricare quel software comporta l’installazione del worm).
Maggiormente utile sarebbe, al contrario, che sia Paolo Monti che Eraser, oltre a rilasciare informazioni relative ai continui aggiornamenti dei proprii tools di rimozione, spiegassero, con concetti semplici, il reale comportamento del “worm” in questione (fermo restando che i tools in questione fanno il loro lavoro).
E' no serve continuare ad insistere sul fatto che non si debba “cadere” nella trappola proposta dalla mail in questione, per la semplice ragione che chi sta seguendo questo thread ci è “cascato” ed ha necessità di capire come risolvere la questione (indipendentemente dal fatto che siano disponibili dei tools di rimozione).

non credo che sia così semplice la cosa.
A parte il fatto che stiamo parlando di un troian, quindi nella sua definizione sono implicite le caratteristiche (molte).
In ogni caso esistono delle varianti quindi non è che si possono conoscere i comportamenti specifici per ogni variante.
Questo presupporrebbe in ogni utente una conoscenza approfondita dei meccanismi informatici per cui verrebbe meno il "cascare" in un tranello.
Dunque si può al massimo rimanere sul vago dicendo che il troian installa una libreria, che magari si salva nel registro come bho e qualche altra cosa ma poi cosa realmente facciano le varianti bisognerebbe analizzarlo caso per caso.
Cmq sono d'accordo con te che non ha nessun senso postare sempre la stessa mail con piccole variazioni, ma questo è lavoro per i mod.

Quote:

Originariamente inviato da Eliat

Premesso questo, ci sono due aspetti che mi stupiscono:
1) l’allarme generato da questa mail è, ormai, da considerarsi di alto livello: non capisco come mai, ad oggi, la maggioranza delle case produttrici di antivirus, non si siano attivate affinché il problema venga risolto alla fonte; io uso Nod32 come antivirus, allo stato, se “cascassi” nel giochino proposto dalla mail, venissi infettato da quel worm:
A) dovrei rimuoverlo, manualmente (cosa che farei);
B) se non sapessi rimuoverlo manualmente, dovrei fare ricorso ad un tool realizzato da uno sviluppatore Eset che distribuisce in Italia Nod32, quando, per logica, proprio per l'elevato livello alto di allerta, sia il produttore di Nod32 che gli altri produttori di antivirus, dovrebbero aver aggiornato i loro Dbase al fine di rilevare, direttamente, quel worm, bloccarlo e rimuoverlo;
2) il “metodo” con cui, nel contesto di questo thread, è stata trattata la questione: da una parte utenti infettati che chiedono aiuto, dall’altra i cosiddetti “esperti” che “cazzuolano” quelli meno esperti solo per il fatto di essere caduti nel “trabocchetto”.
Se questo è il modo per risolvere la questione, mi spiace, ma non ci siamo, davvero.

Perfettamente d'accordo sul discorso dei sw antivirus che continuano ad avere un approccio ottocentesco rispetto alle minacce incombenti.
Sono come pompieri che arrivano sul luogo dell'incendio a casa bruciata.
Meno per quanto riguarda la tua difesa degli utenti inesperti.
Perchè nella vita e dunque anche nel mondo di internet basta un pò di buon senso, ricordarsi di quando i nostri genitori ci dicevano di non accettare caramelle dagli sconosciuti, di guardare sempre dallo spioncino prima di aprire e soprattutto di non aprire mai ad un estraneo, ecc.
Se viene mosso un rimprovero è perchè si deve capire che è proprio dal singolo utente sprovveduto che poi le infezioni si diffondono a macchia d'olio nella rete, quindi se si infetta tizio può essere un problema che riguarda tutti noi visto che siamo interconnessi.

Quote:

Originariamente inviato da Eliat

Se volessi trattare la questione allo stesso modo in cui è stata trattata finora (con presunzione e superficialità) dovrei sottolineare come, sarebbe necessario un corso accelerato, in favore di tutti, su come “costruirsi un “account” di posta elettronica che non possa essere individuato o, comunque, difficilmente, individuato, dagli spambot; non sarà solo per un “colpo di culo” che, in 10 anni, non mi sia mai accaduto di ricevere un solo messaggio di spam in una delle tre caselle di posta che utilizzo.
Mi pare, al contrario, evidente, che una lezione del genere, NON servirebbe a nessuno e, all'atto pratico, non risolverebbe il problema che, allo stato, vede coinvolti diversi utenti di questo forum.
Infine, per evitare che si "scatenino" i pruriti" di alcuni, voglio sottolineare come questa non sia una critica ma una semplice considerazione di massima.
E, per favore, si eviti di rispondermi dicendo: "se hai la soluzione al problema" postala: mi pare che qui, di esperti o presunti tali ce ne siano da vendere: per quanto attiene ai primi, non servirebbe aggiungerne un altro alla lista.
I medici, di norma, non dovrebbero curare i malati ma curare le malattie; questa è la differenza tra un bravo medico ed un medico qualunque.

Beh, non puoi negare che per la maggior parte è culo.
Perchè gran parte dello spam che ho iniziato a ricevere è stato solo dopo aver distribuito la mia mail a gente che quando spedisce lo fa utilizzando copie carbone in chiaro, perchè non si pone minimamente il problema della privacy e perchè non hanno la minima conoscenza informatica riguardo alla sicurezza per cui si fanno infettare da worm e schifezze varie che catturano gli indirizzi nelle loro rubriche (compreso il mio) e poi a ricevere lo spam sono io.

[lucas84]

Aspetta,un pò di "colpa" va anche agli antivirus,kaspersky ha riconosciuto sempre la stessa variante perchè è riuscito a decomprimere quella compressa con exe32pack,mentre le altre aziende(non tutte)bisognava rispedirli il file.
Il discorso è sempre lo stesso,l'antivirus perfetto non esiste

[giannola]

Quote:

Originariamente inviato da lucas84

Aspetta,un pò di "colpa" va anche agli antivirus,kaspersky ha riconosciuto sempre la stessa variante perchè è riuscito a decomprimere quella compressa con exe32pack,mentre le altre aziende(non tutte)bisognava rispedirli il file.
Il discorso è sempre lo stesso,l'antivirus perfetto non esiste

si ma un antivirus meno stupido è possibile.
Esattamente come questi criminali s'ingegnano a trovare falle è anche possibile prevenirle.
E' una questione di cervello, fin'ora loro hanno dimostrato di averne di più

[lucas84]

Inteliggenti?prima del mp1 era pieno di piccoli bugs,piccoli ma pur sempre bugs,inoltre un bug abbastanza importante è stato corretto poco fa.
http://labs.idefense.com/intelligenc...lay.php?id=425
http://www.kaspersky.com/technews?id=203038678

[giannola]

Quote:

Originariamente inviato da lucas84

Inteliggenti ?prima del mp1 era pieno di piccoli bugs,piccoli ma pur sempre bugs,inoltre un bug abbastanza importante è stato corretto poco fa.
http://labs.idefense.com/intelligenc...lay.php?id=425
http://www.kaspersky.com/technews?id=203038678

[Eliat]

Quote:

Originariamente inviato da pmonti

Lo abbiamo fatto entrambi: sia io che Marco, sui nostri rispettivi siti web, abbiamo rilasciato delle analisi sul comportamento di questo malware.

Per carità Paolo, non cadiamo nello scontato; sai quanto me che gli utenti che hanno segnalato questo problema (in questo forum) avrebbero preferito leggere quelle analisi nel contesto di questo Forum e non sul sito di Eset Italia o su quello di Eraser (che, ai più, potrebbero, pure, essere degli emeriti sconosciuti).
Capisco anche che tu non passi la giornata su un Forum ma, come hai trovato il tempo di seguire la discussione e segnalare il fatto di aver realizzato un tool apposito, credo non ti avrebbe portato via molto tempo fare un semplice copia / incolla di quella analisi ed aggiungerla alle discussione.
Ovviamente, questo è il mio punto di vista.

Quote:

Originariamente inviato da pmonti

Con gli ultimi aggiornamenti NOD32 individua tutte le varianti. Il cleaner non sostituisce l'antivirus in alcun modo: piuttosto, rappresenta un modo veloce e completamente gratuito per risolvere il problema nel caso in cui l'utente (nostro, come di altri produttori antivirus) abbia infettato il sistema eseguendo il malware in questione quando l'antivirus ancora non lo riconosceva.

Meritevole l’osservazione Paolo ma, quanto mai inutile.
Il mio era il più classico degli esempi in relazione al fatto che, ad oggi, diversi produttori di antivirus, non hanno, rispetto al worm in argomento, aggiornato i loro Dbase.
Sai, non è un caso se, a suo tempo, dovendo acquistare un prodotto antivirus, ho scelto Nod32.

Quote:

Originariamente inviato da giannola

Beh, non puoi negare che per la maggior parte è culo.
Perchè gran parte dello spam che ho iniziato a ricevere è stato solo dopo aver distribuito la mia mail a gente che quando spedisce lo fa utilizzando copie carbone in chiaro, perchè non si pone minimamente il problema della privacy e perchè non hanno la minima conoscenza informatica riguardo alla sicurezza per cui si fanno infettare da worm e schifezze varie che catturano gli indirizzi nelle loro rubriche (compreso il mio) e poi a ricevere lo spam sono io.

Premetto che non è culo, ma più semplicemente, parecchia accortezza nel uso che faccio delle caselle di posta.
Tu segnali un comportamento che è legato essenzialmente a quelle che sono le cattive abitudini ed attitudini degli utenti quando utilizzano il loro client di posta.
Quando parlo di spam è ovvio che non mi riferisco solo ad un problema derivante dal cattivo utilizzo delle liste di distribuzione dei propri contatti ma a qualcosa di diverso e più complesso.
Se da una parte gli spambot sono talmente evoluti da riuscire a ricostruire migliaia di indirizzi di posta elettronica in pochi minuti, dall’altra non escludo che, con gli account di posta elettronica, ci sia chi ci “gioca sporco”, mettendoli sul “mercato”.
La mail di cui abbiamo trattato si è diffusa, rapidamente, soprattutto attraverso caselle di posta elettronica fornite da Hotmail e da Telecom (Alice) e, questo, non mi stupisce affatto.
Non credo, comunque, sia questo il thread in cui approfondire questa mia impressione.

Quote:

Originariamente inviato da lucas84

Aspetta,un pò di "colpa" va anche agli antivirus,kaspersky ha riconosciuto sempre la stessa variante perchè è riuscito a decomprimere quella compressa con exe32pack,mentre le altre aziende(non tutte)bisognava rispedirli il file.
Il discorso è sempre lo stesso,l'antivirus perfetto non esiste.

Guarda Lucas, è vero che l’antivirus perfetto non esiste, così come non esiste il browser perfetto o il sistema operativo perfetto ma, restando sull’argomento, di fronte ad una infezione così diffusa e su larga scala (tanto che, e credo sia la prima volta, se ne sono occupati i telegiornali, i quotidiani di informazione, e addirittura, in merito, i Centri Informatici degli apparati ministeriali hanno rilasciato precise disposizioni ai propri impiegati e funzionari sul territorio nazionale) i produttori di antivirus (in particolare di quelli a pagamento, dai quali, proprio per questa ragione, ci si attenderebbe servizi attendibili e rapidi) avrebbero dovuto aggiornare i loro Dbase non dico dopo 12 ore la diffusione del problema ma neppure, come si sta verificando, dopo 5 giorni.
E non mi venire a dire che questo è accaduto perché non sono stati invasi dalle segnalazioni degli utenti: sarebbe una “giustificazione” colossale, nella stessa misura in cui è colossale la "bufala" della mail in questione.

[jumpjack]

Quote:

Originariamente inviato da Eliat

2) il “metodo” con cui, nel contesto di questo thread, è stata trattata la questione: da una parte utenti infettati che chiedono aiuto, dall’altra i cosiddetti “esperti” che “cazzuolano” quelli meno esperti solo per il fatto di essere caduti nel “trabocchetto”.

Non stiamo "cazzuolando" nessuno, stiamo solo insegnango agli... ingenui come fare per evitare di cadere in questi ed ALTRI trucchi di cui oggi la rete, ahime, abbonda&straripa.
In altre parole, non è uno sfoggio di conoscenza (almeno, da parte mia) ma un tentativo di aiutare che non sia limitato a "oggi" e a "questo virus".

[giannola]

Quote:

Originariamente inviato da jumpjack

Non stiamo "cazzuolando" nessuno, stiamo solo insegnango agli... ingenui come fare per evitare di cadere in questi ed ALTRI trucchi di cui oggi la rete, ahime, abbonda&straripa.
In altre parole, non è uno sfoggio di conoscenza (almeno, da parte mia) ma un tentativo di aiutare che non sia limitato a "oggi" e a "questo virus".

[lucas84]

Quote:

.....restando sull’argomento, di fronte ad una infezione così diffusa e su larga scala (tanto che, e credo sia la prima volta, se ne sono occupati i telegiornali, i quotidiani di informazione, e addirittura, in merito, i Centri Informatici degli apparati ministeriali hanno rilasciato precise disposizioni ai propri impiegati e funzionari sul territorio nazionale) i produttori di antivirus (in particolare di quelli a pagamento, dai quali, proprio per questa ragione, ci si attenderebbe servizi attendibili e rapidi) avrebbero dovuto aggiornare i loro Dbase non dico dopo 12 ore la diffusione del problema ma neppure, come si sta verificando, dopo 5 giorni.
E non mi venire a dire che questo è accaduto perché non sono stati invasi dalle segnalazioni degli utenti: sarebbe una “giustificazione” colossale, nella stessa misura in cui è colossale la "bufala" della mail in questione.

Si,ma nel mondo non ci siamo solo noi,come ha detto Monti, di malware uguali a questi se ne vedono tutti i giorni,è inutile creare allarmismi,i database si aggiornano se il file arriva o li viene "ceduto" da un altra azienda,se io ho la mia azienda in Cina e quindi il mio mercato è localizzato li,è inutile che mi affretto ad inserire un malware che probabilmente in Cina non circolerà mai,ma,mi focalizzo nell'aggiungere malware particolarmente attivi in Cina e così via,un motivo potrebbe essere questo per giustificare il "ritardo" delle società,se ci sono altri motivi non li so

Ciao

[pentium one]

allora stessa e-mail arrivata anche a me: cambia solo l'indirizzo e il nome dello studio legale se no x il resto e pari pari...

Eccola

Gentile utente mia e-mail,


sono l'avvocato Roberto Meinwald titolare dell'omonimo studio Legale,
mi trovo costretto a riscriverle perchè continuano ad arrivarmi
dal suo indirizzo di posta elettronica (mia-email) messaggi dal contenuto esplicito.
La rimando a tal proposito a visionare l'ultimo arrivato,
che riporto in coda a questo messaggio.


Non sono un esperto in materia, tuttavia il tecnico del nostro
studio afferma che questi invii da parte sua sono forse
involontari e causati da un virus informatico.
Dice inoltre che è possibile rimuovere questo virus con il disinstallatore
scaricabile da questo sito http://www.spywaremurderer.com


Io non ho nè le competenze nè il tempo per verificare l'esattezza
di questa ipotesi, purtroppo mi trovo cosyretto a DIFFIDARLA dal
continuare questi invii indesiderati alla mia posta di lavoro.
Se riceverò UN SOLO ALTRO MESSAGGIO di questo genere procederò
a denunciarla senza ulteriore avviso.

interrompa questi invii o, se si tratta di un virus virus, lo disinstalli
al più presto perchè probabilmente non sono il solo che sta ricevendo questa
immondizia da lei.

Le ricordo che i reparti di polizia informatica hanno gli strumenti
per rintracciare la vera identità del proprietario di
un indirizzo di posta, per quanto registrato con dati di fantasia o
internazionale. Per cui non creda di poter continuare
a infestare la mia casella email con queste cose.


in attesa di un suo urgente riscontro,
cordiali saluti

Stud. Legale
Roberto Meinwald e associati
Via Pascanella 12
Arezzo

Riassumendo come avete riosolto l'email è falsa giusto???????

[FOXYLADY]

Come già detto chiaramente è falsa, cestinala e basta senza cliccare sul link.

Ciao

[naso]

risolto cosa?
se hai ricevuto la mail, nn ci puoi fare nulla se nn cancellarla..
se invece hai aperto il link e sopratutto aperto e installato il "prg" ci sono i link x risolvere

[pentium one]

ok grazie mille volevo solo sapere se nn rischiavo nulla a ignorarla come ho fatto

Grazie x l'aiuto

[black92]

Quote:

Originariamente inviato da pentium one

ok grazie mille volevo solo sapere se nn rischiavo nulla a ignorarla come ho fatto

Grazie x l'aiuto

ovvio che non rischi nulla, come già detto 1000 volte nessuno manda comunicazioni del genere, o addirittura minacce via e-mail.

[jumpjack]

Qualche post fa ho fatto il paragone tra "il regalo della nonna" e "il regalo dello sconosciuto".
Per non fuorviare i meno esperti che leggono questo thread, devo fare una precisazione:
ormai QUALUNQUE virus in circolazione è in grado di inviarsi tramite email che risultano inviate DA INDIRIZZI FASULLI, o meglio, indirizzi ESISTENTI, ma che non sono i reali mittenti delle virus-mail.
Ergo, potrebbe scoppiarvi in faccia anche il pacco regalo arrivato dalla Nonna!
Il vero trucco per non farsi fregare è : non aprire nessun pacco se nessuno ti ha avvisato che ti mandava il pacco! Un... bombarolo ci mette poco ad appiccicare sulla bomba diretta a voi un'etichetta con scritto "Mittente: tua nonna"! ;-)

[lucas84]

Quote:

Originariamente inviato da jumpjack

...............
ormai QUALUNQUE virus in circolazione è in grado di inviarsi tramite email..............

[jumpjack]

Quote:

Originariamente inviato da lucas84

se quoti solo un pezzo, non si capisce: il punto non è la capacità di inviarsi via email, ma la capacita' di inviarsi A NOME DI QUALCUN ALTRO!

La frase corretta sarebbe:
"qualunque virus in grado di inviarsi via email puo' farlo falsificando l'indirizzo del mittente".
Meglio?

[lucas84]

Bravo,sei un amore
ho quotato quel pezzo,perchè non è esatta come affermazione,non tutti i malware hanno la capacità descritta da te

Regards