metodologie di infezione

Morpheus_/_Neo · 15-07-2006, 10:48

ciao, vorrei sapere se e' possibile che un host esterno SPEDISCA un virus o un malware al mio pc senza che io abbia richiesto una connessione con l'host inviante. Mi spiego: e' qualche giorno che avast mi da' questo avviso

http://85.255.117.124/users/rainy/web/images/two.jpg

nome malware: win32:Adan-094 [adw]

tipo malware: adware

il fatto e' che io in nessun modo ho aperto una connessione "volontaria" con tale host... vorrei capire come questo sia possibile

M_/_N

naso · 15-07-2006, 11:03

blaster e sasser come pensi che si diffondino... mica xchè qualcuno clicca o si collega ad un sito... semplicemente collegandosi ad internet...
firewall? cosa hai?

ps l'immagine nn si vede...

Morpheus_/_Neo · 15-07-2006, 11:10

ok, ma come avviene la trasmissione? scan di range di ip cercando vulnerabilita'? o altri metodi?

il link non era voluto, scusa, era solo la stringa indicata da avast per il nome del file

firewall: prima avevo avg 7.1 con firewall, ma me l'hanno bucato e mi sono preso un sacco di sporcizia che entrava in windows/system32 e aveva nomi tipo {xxxxxxxx-yyyy-zzzz-qqqq-bbbbbbbb}.exe e mi impedivano l'accesso a tale cartella (ho dovuto usare la console di ripristino).

ora purtroppo ho solo windows firewall (winXP sp2)

la cosastrana e' che ricevo avvisi ogni 30 secondi, e solo negli ultimi giorni, quando sono mesi che ho una connessione a banda larga

grazie per l'aiuto

M_/_N

naso · 15-07-2006, 11:16

Quote:

Originariamente inviato da Morpheus_/_Neo

ok, ma come avviene la trasmissione? scan di range di ip cercando vulnerabilita'?

credo proprio di sì.. esattamente come avviene x sasser e blaster...
cmq fatti un bel controllo con kaspersky.... (vedi anche 3d in rilievo)
nn si può escludere che tu abbia qualcosa dentro al pc che comunica con quel sito....

Morpheus_/_Neo · 15-07-2006, 11:33

grazie mille, ero solo curioso riguardo al modus operandi :-)

sto facendo una serie di test, il log di hijackthis e' ok, ewido mi ha trovado un downloader.agent e un trojan... direi che ho trovato il buco (forse)

mi viene allora da chiedere: ma avg 7.1 plus firewall (a pagamento) fa cosi' schifo? avevo settato la protezione in modo molto accurato, ma le schifezze sono passate lo stesso...

Marco P. · 15-07-2006, 11:55

Sicuramente ci sono antivirus superiori all'avg come Kaspersky 2006, Nod32, AntiVirusKit 2006!!!!! Ciao

lucadue · 15-07-2006, 11:57

come firewall molto meglio sygate o zone alarm free

Morpheus_/_Neo · 15-07-2006, 19:59

allora, ora ho un problema piu' grave: ewido mi trova delle minacce residenti in memoria ma non e' in grado di risolverle: sia cercando di cancellarle che di metterle in quarantena da' errore. Se le informazioni che ewido da' riguardo la locazione di memoria interessata sono quelle relative al PID del processo coinvolto, allora mi sono fottuto roba tipo winlogon, rundll32, il che mi sconvolge non poco... che faccio ora? come ripulire la cosa?

M_/_N

Morpheus_/_Neo · 15-07-2006, 20:00

ma soprattutto, con antivirus sempre aggiornato, come e' stato possibile un attacco di questa portata?

0sc0rpi0n0 · 16-07-2006, 11:43

Quote:

Originariamente inviato da Morpheus_/_Neo

ma soprattutto, con antivirus sempre aggiornato, come e' stato possibile un attacco di questa portata?

Purtroppo alcuni antivirus sono meno efficaci di altri , certe volte peccano di un aggiornamento virale immediato , altri per quanto riguarda l'euristica , il motore di scansione vero e proprio o anche per la protezione in realtime .

Morpheus_/_Neo · 16-07-2006, 12:45

aggiornamento.

sembra che io sia riuscito a sistemare tutto... boh, staremo a vedere...

dopo aver passato lo scanner online di kaspersky ho eliminato (a manina!!) un trojan in system32 (e avast, pur dicendogli esplicitamente di controllare quel file, non ha fatto una piega... va beh). Poi ho scoperto il tool anti-rootkit BlackLight di F-Secure che mi ha trovato 2 trojan nascosti. connettendomi a internet come amministratore ho negato, per sicurezza, al gruppo administrators i permessi di scrittura su tutta la cartella WINDOWS (!!!). almeno non mi sono ritrovato la cartella system32 infestata di sporcizia... in compenso se cercavo di aprire risorse del computer la finestra si piantava con la classica torcia, quella che indica la riceca dei contenuti... per fortuna sono riuscito ad accedere alla cartella windows tramite un collegamento che avevo sul desktop ad una cartella situata nel dir. Programmi e da li ho navigato fino a windows... boh, questa cosa non l'ho ben capita, ma ripristinando il controllo completo sulla cartella windows al gruppo administrators tutto e' tornato ok.

conclusione: passo ewido e stavolta non mi rileva nulla in memoria -> VITTORIA!!!!!!!!!!!

almeno fino al prossimo attacco... per fortuna sono riuscito a convincere mio fratello che connettersi come amministratore non e' una gran furbata e ora ci connettiamo solo come user.

ciao,
M_/_N

PS: non vedo l'ora che kaspersky 6.0 esca in italia (ma e' possibile comprarlo online sul sito kaspersky anche in inglese?)

naso · 16-07-2006, 16:06

Quote:

Originariamente inviato da Morpheus_/_Neo

PS: non vedo l'ora che kaspersky 6.0 esca in italia (ma e' possibile comprarlo online sul sito kaspersky anche in inglese?)

certo...

15-07-2006, 10:48	#1
Morpheus_/_Neo Member Iscritto dal: Aug 2002 Messaggi: 154	metodologie di infezione ciao, vorrei sapere se e' possibile che un host esterno SPEDISCA un virus o un malware al mio pc senza che io abbia richiesto una connessione con l'host inviante. Mi spiego: e' qualche giorno che avast mi da' questo avviso http://85.255.117.124/users/rainy/web/images/two.jpg nome malware: win32:Adan-094 [adw] tipo malware: adware il fatto e' che io in nessun modo ho aperto una connessione "volontaria" con tale host... vorrei capire come questo sia possibile M_/_N

15-07-2006, 11:03	#2
naso Senior Member Iscritto dal: Jun 2002 Città: ALTARE Messaggi: 12419	blaster e sasser come pensi che si diffondino... mica xchè qualcuno clicca o si collega ad un sito... semplicemente collegandosi ad internet... firewall? cosa hai? ps l'immagine nn si vede... __________________ Scusate se dico le cose come credo che stiano. Lunga vita e prosperità! /Naso San Home Page***www.AdrianaLima.it

15-07-2006, 11:10	#3
Morpheus_/_Neo Member Iscritto dal: Aug 2002 Messaggi: 154	ok, ma come avviene la trasmissione? scan di range di ip cercando vulnerabilita'? o altri metodi? il link non era voluto, scusa, era solo la stringa indicata da avast per il nome del file firewall: prima avevo avg 7.1 con firewall, ma me l'hanno bucato e mi sono preso un sacco di sporcizia che entrava in windows/system32 e aveva nomi tipo {xxxxxxxx-yyyy-zzzz-qqqq-bbbbbbbb}.exe e mi impedivano l'accesso a tale cartella (ho dovuto usare la console di ripristino). ora purtroppo ho solo windows firewall (winXP sp2) la cosastrana e' che ricevo avvisi ogni 30 secondi, e solo negli ultimi giorni, quando sono mesi che ho una connessione a banda larga grazie per l'aiuto M_/_N

15-07-2006, 11:33	#5
Morpheus_/_Neo Member Iscritto dal: Aug 2002 Messaggi: 154	grazie mille, ero solo curioso riguardo al modus operandi :-) sto facendo una serie di test, il log di hijackthis e' ok, ewido mi ha trovado un downloader.agent e un trojan... direi che ho trovato il buco (forse) mi viene allora da chiedere: ma avg 7.1 plus firewall (a pagamento) fa cosi' schifo? avevo settato la protezione in modo molto accurato, ma le schifezze sono passate lo stesso...

15-07-2006, 11:55	#6
Marco P. Member Iscritto dal: Jan 2006 Città: Vicenza Messaggi: 141	Sicuramente ci sono antivirus superiori all'avg come Kaspersky 2006, Nod32, AntiVirusKit 2006!!!!! Ciao

15-07-2006, 11:57	#7
lucadue Senior Member Iscritto dal: Mar 2006 Città: Saluzzo (Cuneo) - Trattative ok: 51 Messaggi: 3656	come firewall molto meglio sygate o zone alarm free

15-07-2006, 19:59	#8
Morpheus_/_Neo Member Iscritto dal: Aug 2002 Messaggi: 154	allora, ora ho un problema piu' grave: ewido mi trova delle minacce residenti in memoria ma non e' in grado di risolverle: sia cercando di cancellarle che di metterle in quarantena da' errore. Se le informazioni che ewido da' riguardo la locazione di memoria interessata sono quelle relative al PID del processo coinvolto, allora mi sono fottuto roba tipo winlogon, rundll32, il che mi sconvolge non poco... che faccio ora? come ripulire la cosa? M_/_N

15-07-2006, 20:00	#9
Morpheus_/_Neo Member Iscritto dal: Aug 2002 Messaggi: 154	ma soprattutto, con antivirus sempre aggiornato, come e' stato possibile un attacco di questa portata?

16-07-2006, 12:45	#11
Morpheus_/_Neo Member Iscritto dal: Aug 2002 Messaggi: 154	aggiornamento. sembra che io sia riuscito a sistemare tutto... boh, staremo a vedere... dopo aver passato lo scanner online di kaspersky ho eliminato (a manina!!) un trojan in system32 (e avast, pur dicendogli esplicitamente di controllare quel file, non ha fatto una piega... va beh). Poi ho scoperto il tool anti-rootkit BlackLight di F-Secure che mi ha trovato 2 trojan nascosti. connettendomi a internet come amministratore ho negato, per sicurezza, al gruppo administrators i permessi di scrittura su tutta la cartella WINDOWS (!!!). almeno non mi sono ritrovato la cartella system32 infestata di sporcizia... in compenso se cercavo di aprire risorse del computer la finestra si piantava con la classica torcia, quella che indica la riceca dei contenuti... per fortuna sono riuscito ad accedere alla cartella windows tramite un collegamento che avevo sul desktop ad una cartella situata nel dir. Programmi e da li ho navigato fino a windows... boh, questa cosa non l'ho ben capita, ma ripristinando il controllo completo sulla cartella windows al gruppo administrators tutto e' tornato ok. conclusione: passo ewido e stavolta non mi rileva nulla in memoria -> VITTORIA!!!!!!!!!!! almeno fino al prossimo attacco... per fortuna sono riuscito a convincere mio fratello che connettersi come amministratore non e' una gran furbata e ora ci connettiamo solo come user. ciao, M_/_N PS: non vedo l'ora che kaspersky 6.0 esca in italia (ma e' possibile comprarlo online sul sito kaspersky anche in inglese?)

Strumenti
Mostra una versione stampabile Invia questa pagina per email