Repubblica.it mi ha scaricato un virus ???!!!

[tzr]

pazzesco, è successo poco fa leggendo le notizie su www.repubblica.it

questi i siti che sono nella history del mio browser: la url con setup/file.php scarica un eseguibile !

Codice:

http://www.repubblica.it/interstitial/interstitial1069662.html
http://www.repubblica.it/2008/01/motori/motori-gennaio-2008/motori-inchiesta-velocita-08/motori-inchiesta-velocita-08.html
http://www.repubblica.it/interstitial/interstitial1069756.html
http://www.repubblica.it/2007/10/sezioni/politica/costi-politica/flavia-prodi-regali/flavia-prodi-regali.html
http://scanner2.malware-scan.com/setup/file.php?xid=_ZXVyMDRlYW5fbWExOF9tYjE_aW50bA_a2V5aW4_
http://borgomeo.blogautore.repubblica.it/2008/01/10/licenza-di-correre/
http://newbieadguide.com/statsg.php?campaign=eur04ean&u=1199952742468
http://scanner2.malware-scan.com/18_swp/?tmn=null&aid=&lid=&affid=&ax=&ed=&aid=eur04ean_ma18_mb1&lid=intl&affid=&ax=1&ed=2&mt_info=3958_0_12903
http://scanner2.malware-scan.com/18_swp/scan.php?tmn=null&aid=&lid=&affid=&ax=&ed=&aid=eur04ean_ma18_mb1&lid=intl&affid=&ax=1&ed=2&mt_info=3958_0_12903

[tzr]

con google ho trovato questo
http://www.dynamoo.com/diary/malware...com-hijack.htm

descrive abbastanza precisamente quanto successo...
e se si apre il ,exe con un editor, ci sono delle stringhe poco simpatiche

/madownload.php?&advid=00000000&u=%u&p=%u&lang=________&vs=%u&swp=1&apx=%s HTTP/1.0
Host: download.%s.com

69.50.175.181 GET http://download.%s.com/madownload.ph...u&swp=1&apx=%s HTTP/1.0
Host: download.%s.com

[Chill-Out]

ADS infetto ormai è diventata una consuetudine purtroppo, usi IE vero?

[tzr]

Quote:

Originariamente inviato da Chill-Out

ADS infetto ormai è diventata una consuetudine purtroppo, usi IE vero?

per chi mi hai preso ? IE non lo uso più circa dal 2000... uso solo Opera, fin dalle sue primissime versioni, che non ricordo nemmeno più finora mai un problema e non uso antivirus

comunque riguardo al topic, questa è la prima esperienza che mi sta facendo perdere la mattinata
la cosa pazzesca che mi ha preso alla sprovvista è che il troian mi è arrivato da un sito conosciuto come LaRepubblica ! non mi sembra di aver cliccato su nulla, non ho nulla nei registri, nulla nello startup... consigli ?

[Riverside]

Quote:

Originariamente inviato da tzr

... consigli ?

Un paio di scansioni di controllo (dopo aver pulito la cache, ecc):

scarica KASPERSKY VIRUS REMOVAL TOOL (non richiede l’installazione)
clicca qui per il download

● scarica la versione del tool più aggiornata rispetto alla data di pubblicazione
● crea una apposta Cartella sul Desktop ed al suo interno posiziona il file
● lancia il tool
● imposta le aree che intendi scansionare (non è possibile eseguire la scansione di specifiche cartelle)
● al termine della scansione sarà possibile rimuovere e/o mettere in quarantena i file infetti rilevati
Salva ed allega, il log che verrà rilasciato
Note: Il tool è incompatibile se si hanno già prodotti Kaspersky installati.

BITDEFENDER ONLINE SCANNER
● esegui una scansione online da: clicca qui per lo scan online
● una volta aperta la pagina, clicca I AGREE: ti farà scaricare un activex, tu segui la procedura guidata.
allega il Report che verrà rilasciato

[Chill-Out]

Quote:

per chi mi hai preso ?

non mi meraviglio più di niente da un bel pezzo

Quote:

IE non lo uso più circa dal 2000... uso solo Opera, fin dalle sue primissime versioni, che non ricordo nemmeno più finora mai un problema e non uso antivirus

allora questo è strano

Quote:

comunque riguardo al topic, questa è la prima esperienza che mi sta facendo perdere la mattinata
la cosa pazzesca che mi ha preso alla sprovvista è che il troian mi è arrivato da un sito conosciuto come LaRepubblica ! non mi sembra di aver cliccato su nulla, non ho nulla nei registri, nulla nello startup... consigli ?

come sopra ADS infetto, oltre al consiglio di Riverside potresti fare questo controllo, verifica all'interno del file c:\windows\system32\drivers\hosts che cosa c'è, ciao.

[xcdegasp]

Quote:

Originariamente inviato da tzr

per chi mi hai preso ? IE non lo uso più circa dal 2000... uso solo Opera, fin dalle sue primissime versioni, che non ricordo nemmeno più finora mai un problema e non uso antivirus

comunque riguardo al topic, questa è la prima esperienza che mi sta facendo perdere la mattinata
la cosa pazzesca che mi ha preso alla sprovvista è che il troian mi è arrivato da un sito conosciuto come LaRepubblica ! non mi sembra di aver cliccato su nulla, non ho nulla nei registri, nulla nello startup... consigli ?

gromozon ti dice nulla?
se la risposta è no allora la tua convinzione di non voler adottare un antivirus è assolutamente superficiale e poco conforme con la reale situazione..

se la risposta è sì allora mi stupisco che tu non abbia preso altre contromisure..

[tzr]

ho verificato a mano, e mi sembra tutto ok, poi mi sono ricordato che avevo già un Avira PE, quindi l'ho aggiornato e fatto girare: il sistema è pulito, ovviamente mi riconosce l'swf infetto ancora nella cache:

[DETECTION] Contains the SWF virus SWF/Dldr.Gida.A
scaricato da qui in automatico (non scaricatevelo )
http:// newbieadguide .com /swf/gnida.swf?campaign=eur04ean&u=1199952742468

e purtroppo ho cercato a lungo nei file in cache, ma fra i 15 tab che tengo aperti in opera, non ho capito quale pagina mi ha scaricato l'ad maledetto

Quote:

Originariamente inviato da xcdegasp

gromozon ti dice nulla?
se la risposta è no allora la tua convinzione di non voler adottare un antivirus è assolutamente superficiale e poco conforme con la reale situazione..

se la risposta è sì allora mi stupisco che tu non abbia preso altre contromisure..

innanzitutto grazie a te, a Chill-Out, e Riverside in questo forum sono nella tana del leone ma io detesto tutto ciò che rallenta la macchina. Usando solo Opera, un firewall, e un controllo assoluto delle mie azioni, in tanti anni non ho mai avuto problemi (e toccando ferro è andata bene anche adesso ). Al massimo faccio girare un antivirus prima di lanciare un eseguibile scaricato e non sicuro.

ad esempio adesso Avira mi sta segnalando una infintà di falsi positivi, che sono solo una gran perdita di tempo...


comunque, tornando al Topic:
non sono riuscito neanche a capire chi ha provato a scaricare l'ads con il flash maledetto. Mi sembra che l'unica difesa verso questi attacchi sia di farli filtrare tutti da un antivirus ? su Firefox forse si potrà fare con un plugin ? e con opera ?

una soluzione l'ho trovata qui
http://forum.avira.com/print.php?thr...e6ef8eed83237e
cioè mettere in "C:\WINDOWS\SYSTEM32\DRIVERS\etc" tutti i siti maledetti...
ma il giorno che quei disonesti cambiano nome, siamo da capo

che palle

[tzr]

qui una descrizione dell'ad fetente:
http://www.f-secure.com/v-descs/troj...f_gida_a.shtml

Summary
Trojan-Downloader.SWF.Gida.A is detection of Adobe Flash files that have seen served over Hypertext Transfer Protocol (HTTP) and linked from advertisement sites.
It injects additional HTML content to the viewed webpage which then serves malicious content.

Detailed Description
The trojan contains an Adobe Flash ActiveScript which injects JavaScript code into the viewed webpage. Malicious JavaScript adds HTML to the currently viewed webpage.

Results include Drive-by downloads, Pop-up ads, and JavaScript alerts.
Several of the advertisements have been aimed at promoting rogue antispyware applications.

While Adobe Flash is a multi-platform application, the end infection is directed towards the Win32 (Windows) platform.

Adobe Flash is a common media container for banner advertisements. The trojan have been observed on several large News websites where the Flash have been shown from advertisement networks. The News sites have reacted quickly to remove such malicious Flash files.

[lancetta]

Banner infetti,iframe,script maligni...quante ne vuoi????
Aggiungici S.O. non aggiornato (eventuali exploit e vulnerabilità)
Parco soft non aggiornato...tanto per dirtene una Adobe ha una falla aperta che ancora deve turare ed in giro nella rete ci sono già exploit che stanno facendo danni.......

Saluti

(ps. disattiva se non lo hai già fatto gli script in Opera)

[tzr]

Quote:

Originariamente inviato da lancetta

Banner infetti,iframe,script maligni...quante ne vuoi????
Aggiungici S.O. non aggiornato (eventuali exploit e vulnerabilità)
Parco soft non aggiornato...tanto per dirtene una Adobe ha una falla aperta che ancora deve turare ed in giro nella rete ci sono già exploit che stanno facendo danni.......

Saluti

(ps. disattiva se non lo hai già fatto gli script in Opera)

mi state facendo un mazzo così... ( scherzo, grazie )

ma dici disabilitare il javascript ? ma come si fa a non usarlo... non esistono pagine senza javascript... persino questo forum è inutilizzabile...

[lancetta]

Quote:

Originariamente inviato da tzr

mi state facendo un mazzo così... ( scherzo, grazie )

ma dici disabilitare il javascript ? ma come si fa a non usarlo... non esistono pagine senza javascript... persino questo forum è inutilizzabile...

veramente il "mazzo alle webschifezze" lo presti tu (si scherza )
giusto per stare in tema,c'era anche un infezione che sfruttava l'S.O. non pachato adeguatamente
quella dei file "ani" ma pensa te....

fai così F12 "modifica le preferenze per questo sito"...tab "scripting" e attivi solo dove ti interessa...però con sti banner che compaiono fai attenzione

comunque antivir non è pesante io lo terrei,tanto per gli FP se sai gestire non ci sono problemi....

[Riverside]

Quote:

Originariamente inviato da lancetta

comunque antivir non è pesante io lo terrei,tanto per gli FP se sai gestire non ci sono problemi....

magari installando, anche, un firewall software ...... sai mai che non serva

[xcdegasp]

Quote:

Originariamente inviato da tzr

mi state facendo un mazzo così... ( scherzo, grazie )

ma dici disabilitare il javascript ? ma come si fa a non usarlo... non esistono pagine senza javascript... persino questo forum è inutilizzabile...

hem.. qui ti devo contraddire.. se disabiliti i javascript questo forum è utilizzabile ma per inserire le emoticons nei messaggi dovrai farlo tramite url-immagine o inserire il codice a mano esempio ": muro :" (senza spazi) per visualizzare

è vero opera non è proprio immediato in questo senso, mentre Firefox con l'aggiunta di NoScript e Adblock diventa molto duttile e dimestichevole oltre che semplicissimo... sopratutto perchè abiliti i javascript per funzionalità e non come opera che non ti suggerisce cosa è bloccato e cosa sbloccare di volta in volta...

in ogni caso farà cambiare le abitudini e quindi inizialmente, come dice mio padre, si esclamerà "non si può tornare a come era prima senza dover stare lì a diventare scemo a sbloccare ovunque la barra gialla?"
in realtà l'allert giallo di NoScript va letto solo se appunto il sito che si visita risultasse inutilizzabile....

purtroppo molti webmaster hanno avvallato le richieste dei clienti che volevano dei cartoni animati come loro sito obbligando l'utente visitatore a eseguire codice nascosto e attendere il caricamento di tutto il filmato per sapere che non c'è una mazza di quel che volevi sapere e che era solo una vetrina stagnante...
ma questo è il web2.0 tanto venerato e idiolatrato. compresi i javascript malevoli

[lancetta]

Quote:

Originariamente inviato da xcdegasp

purtroppo molti webmaster hanno avvallato le richieste dei clienti che volevano dei cartoni animati come loro sito obbligando l'utente visitatore a eseguire codice nascosto e attendere il caricamento di tutto il filmato per sapere che non c'è una mazza di quel che volevi sapere e che era solo una vetrina stagnante...
ma questo è il web2.0 tanto venerato e idiolatrato. compresi i javascript malevoli

QUOTISSIMO!!!
sopratutto quei siti del c@@zo fatti in flash

ma quanto li odio

[Chill-Out]

Quote:

ma questo è il web2.0 tanto venerato e idiolatrato. compresi i javascript malevoli

si salvi chi può