Scaricato file malevolo

Life bringer · 08-07-2021, 17:54

Buonasera, purtroppo per una mia distrazione ho scaricato (ed eseguito) un file malevolo.
Il risultato del file installato su virustotal è questo: https://www.virustotal.com/gui/file/...aa71/detection

Dopo averlo eseguito è partita una richiesta uac, subito dopo è uscito il messaggio che il pc si sarebbe riavviato entro 1 minuto (in quel momento ho realizzato della sciocchezza fatta e ho brutalmente spento il pc).
Ora son con il portatile, visto che nel caso mi sia beccato un file che cripta e chiede il riscatto spero non abbia fatto troppi danni.

Come mi devo comportare?

Grazie!

Life bringer · 09-07-2021, 04:36

Grazie per la completa risposta.

Purtroppo non si trattava di un falso positivo ma bensì di un trojan che ha una dimansione random in modo da essere più stealth con gli antivirus.

Ho scaricato kaspersky anti-virus attivato la licenza di prova e ha proceduto alla rilevazione e rimozione del virus.
Rianalizzando il file ora su virustotal anch'esso lo riconosce come virus.

Ora sto facendo per maggior sicurezza una scansione totale del sistema, ma credo la situazione sia rientrata.

Purtroppo non potevo smontare l'hard disk in quanto trattasi di un ssd nvme e non ho altri pc dove montarlo.

Diciamo che mi sembra ridicola questa nuova feature degli antivirus che ti costringe a rimanere connesso per validare una licenza demo o per scaricare l'antivirus in se, fanno praticamente il gioco dei trojan, costringerti a stare online pur sapendo di essere infetto.

Edit: Secondo kaspersky l'infezione è risolta, ma purtroppo: windows update non funziona, restituendomi sempre questo errore: "Si sono verificati alcuni problemi durante l'installazione degli aggiornamenti, ma verrà eseguito un ulteriore tentativo più tardi. Se il messaggio viene visualizzato di nuovo e vuoi cercare ulteriori informazioni nel Web o contattare il supporto tecnico, questo può essere utile: (0x80070424)"

Il microsoft store non è più funzionante, se provo ad aprire l'app si chiude immediatamente.

Perseverance · 09-07-2021, 11:03

Il virus sarà anche estirpato ma le cicatrici te le ha lasciate. Chissà quanti altri strascichi troverai fra servizi disattivati e roba modificata. Sono anni, tanti anni, che io non rimuovo più virus a nessuno; chiedo cosa vogliono salvare (foto, password, video, musica, cronologia) eppoi formattone!

Coi sistemi operativi ed i virus odierni non hai più idea di cosa vadano a modificare, a iniettare, a inserire negli exe e nelle dll di sistema e non; magari riaprono buchi chiusi da aggiornamenti o inseriscono codice aggiuntivo da qualche parte. Con un sistema completamente chiuso come quello di microsoft che ti vuoi mettere a disinfettare?!

Riformatti e basta! No ripristino, proprio piallare e reinstallare.

Se l'antivirus lo metti prima può servire a qualcosa, ma se lo metti dopo l'infezione non serve quasi più a nulla.

Non voglio insegnare a usare il PC a nessuno ma servirebbe più che un antivirus una sana pratica di igiene e consapevolezza nell'utilizzo del PC; il solo creare e usare un account utente limitato ed uno amministrativo con password ti leva di torno la maggiorparte delle conseguenze gravi di virus e malware. Browser affidabile, blocco script e pubblicità fungono altrettanto bene come forma ulteriore di prevenzione. Eppoi backup esterno delle tue cose.

Life bringer · 09-07-2021, 16:13

Credo che il virus in se non fosse "nuovo".

Caricato su virustotal ha questi dettagli:
Creation Time 2020-03-15 06:37:31
First Seen In The Wild 2021-02-06 21:01:19

Visto che poi l'ho scaricato (ma senza eseguirlo ovviamente), sul portatile, per darlo in pasto a virus total, questo "coso", cambia nome ogni volta che viene scaricato, in più, viene scaricato un archivio in un archivio (con password contenuta in un semplice txt).

Le firme degli antivirus l'hanno riconosciuto subito, adwcleaner ha cercato di rimuoverlo in modo molto grezzo (senza risultati), kaspersky invece l'ha fatto a pezzettini.

Su virustotal alla voce behaviour, si possono trovare dei riferimenti su ciò che crea e distrugge e come si comporta, per fortuna è un "semplice" trojan, il suo scopo era rimanere in incognito e avere uno zombiepc in più.

Il simpaticone aveva cancellato totalmente i riferimenti al servizio wuauserv, con un file di registro l'ho reimpostato ed ora funziona tutto, aggiornamenti e microsoft store (per il poco che lo uso).

Per quanto concerne i consigli, li conosco, purtroppo ieri ho commesso una disattenzione dovuta alla fretta, il file era scaricato da una fonte sicura, ma il sito si è verificato malevolo, tanto che dopo la mia segnalazione è stato fatto sparire il link, nemmeno l'autore riusciva più a scaricare il proprio file, in più il sito in questione ha chiesto esplicitamente di disattivare ublock (che uso regolarmente), per poter scaricare il file. Insomma mea culpa senza scusanti.

Life bringer · 09-07-2021, 21:14

Purtroppo ieri quei file nella partizione nascosta non erano segnati.
Ho provato a controllarli, ti chiedo, se possibile di confrontarli con i tuoi:
Versione 21H1 (build SO 19043.1083)
EFI\Boot\EfiGuardDxe.efi -> file non presente.

EFI\Boot\bootx64.efi
Nome: bootx64.efi
Dimensione: 1558840 byte (1522 KiB)
CRC32: 1AF70B6F
CRC64: 160E1EE494502699
SHA256: 0CF115A72BB7F3AEA4535B5D3090A8B0E291D1C5CD1D1724E41754D82ECBD55C
SHA1: E458D5E1B326BE03E59478B7F26A157C7D8936A8
BLAKE2sp: F239A158B329284F43C9958EFA6E5AE72B33875B60026E66622F6689EB2BEDB3

EFI\Microsoft\Boot\bootmgfw.efi
Nome: bootmgfw.efi
Dimensione: 1558840 byte (1522 KiB)
CRC32: 1AF70B6F
CRC64: 160E1EE494502699
SHA256: 0CF115A72BB7F3AEA4535B5D3090A8B0E291D1C5CD1D1724E41754D82ECBD55C
SHA1: E458D5E1B326BE03E59478B7F26A157C7D8936A8
BLAKE2sp: F239A158B329284F43C9958EFA6E5AE72B33875B60026E66622F6689EB2BEDB3

Li avrei confrontati io stesso sul portatile pur utilizzando la stessa versione di 10 è stato installato in un altro modo e la partizione e i file non sono presenti.

Life bringer · 09-07-2021, 23:00

Ottima idea, non ci avevo pensato. Il primo file non è stato creato dal virus, essendo un'utility per disattivare i driver firmati, probabilmente il virus cerca di insinuarsi in esso nel caso sia installato.

Entrambi i file sembrano essere "puliti":
https://www.virustotal.com/gui/file/...d55c/detection

https://www.virustotal.com/gui/file/...d55c/detection

Per quanto riguarda la data di modifica, entrambi riportano il 23 giugno 2021, quando ho installato l'ultima versione di windows 10.

Life bringer · 12-07-2021, 15:25

Mh hai ragione, ho ricontrollato, i due file sono esattamente identici, pensavo di aver fatto casino con il copia incolla

08-07-2021, 17:54	#1
Life bringer Senior Member Iscritto dal: Jun 2001 Città: Varese Messaggi: 8425	Scaricato file malevolo Buonasera, purtroppo per una mia distrazione ho scaricato (ed eseguito) un file malevolo. Il risultato del file installato su virustotal è questo: https://www.virustotal.com/gui/file/...aa71/detection Dopo averlo eseguito è partita una richiesta uac, subito dopo è uscito il messaggio che il pc si sarebbe riavviato entro 1 minuto (in quel momento ho realizzato della sciocchezza fatta e ho brutalmente spento il pc). Ora son con il portatile, visto che nel caso mi sia beccato un file che cripta e chiede il riscatto spero non abbia fatto troppi danni. Come mi devo comportare? Grazie! __________________ Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)

09-07-2021, 04:36	#2
Life bringer Senior Member Iscritto dal: Jun 2001 Città: Varese Messaggi: 8425	Grazie per la completa risposta. Purtroppo non si trattava di un falso positivo ma bensì di un trojan che ha una dimansione random in modo da essere più stealth con gli antivirus. Ho scaricato kaspersky anti-virus attivato la licenza di prova e ha proceduto alla rilevazione e rimozione del virus. Rianalizzando il file ora su virustotal anch'esso lo riconosce come virus. Ora sto facendo per maggior sicurezza una scansione totale del sistema, ma credo la situazione sia rientrata. Purtroppo non potevo smontare l'hard disk in quanto trattasi di un ssd nvme e non ho altri pc dove montarlo. Diciamo che mi sembra ridicola questa nuova feature degli antivirus che ti costringe a rimanere connesso per validare una licenza demo o per scaricare l'antivirus in se, fanno praticamente il gioco dei trojan, costringerti a stare online pur sapendo di essere infetto. Edit: Secondo kaspersky l'infezione è risolta, ma purtroppo: windows update non funziona, restituendomi sempre questo errore: "Si sono verificati alcuni problemi durante l'installazione degli aggiornamenti, ma verrà eseguito un ulteriore tentativo più tardi. Se il messaggio viene visualizzato di nuovo e vuoi cercare ulteriori informazioni nel Web o contattare il supporto tecnico, questo può essere utile: (0x80070424)" Il microsoft store non è più funzionante, se provo ad aprire l'app si chiude immediatamente. __________________ Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!) Ultima modifica di Life bringer : 09-07-2021 alle 06:13.

09-07-2021, 11:03	#3
Perseverance Senior Member Iscritto dal: Jul 2008 Messaggi: 8243	Il virus sarà anche estirpato ma le cicatrici te le ha lasciate. Chissà quanti altri strascichi troverai fra servizi disattivati e roba modificata. Sono anni, tanti anni, che io non rimuovo più virus a nessuno; chiedo cosa vogliono salvare (foto, password, video, musica, cronologia) eppoi formattone! Coi sistemi operativi ed i virus odierni non hai più idea di cosa vadano a modificare, a iniettare, a inserire negli exe e nelle dll di sistema e non; magari riaprono buchi chiusi da aggiornamenti o inseriscono codice aggiuntivo da qualche parte. Con un sistema completamente chiuso come quello di microsoft che ti vuoi mettere a disinfettare?! Riformatti e basta! No ripristino, proprio piallare e reinstallare. Se l'antivirus lo metti prima può servire a qualcosa, ma se lo metti dopo l'infezione non serve quasi più a nulla. Non voglio insegnare a usare il PC a nessuno ma servirebbe più che un antivirus una sana pratica di igiene e consapevolezza nell'utilizzo del PC; il solo creare e usare un account utente limitato ed uno amministrativo con password ti leva di torno la maggiorparte delle conseguenze gravi di virus e malware. Browser affidabile, blocco script e pubblicità fungono altrettanto bene come forma ulteriore di prevenzione. Eppoi backup esterno delle tue cose. __________________ System Failure

09-07-2021, 16:13	#4
Life bringer Senior Member Iscritto dal: Jun 2001 Città: Varese Messaggi: 8425	Credo che il virus in se non fosse "nuovo". Caricato su virustotal ha questi dettagli: Creation Time 2020-03-15 06:37:31 First Seen In The Wild 2021-02-06 21:01:19 Visto che poi l'ho scaricato (ma senza eseguirlo ovviamente), sul portatile, per darlo in pasto a virus total, questo "coso", cambia nome ogni volta che viene scaricato, in più, viene scaricato un archivio in un archivio (con password contenuta in un semplice txt). Le firme degli antivirus l'hanno riconosciuto subito, adwcleaner ha cercato di rimuoverlo in modo molto grezzo (senza risultati), kaspersky invece l'ha fatto a pezzettini. Su virustotal alla voce behaviour, si possono trovare dei riferimenti su ciò che crea e distrugge e come si comporta, per fortuna è un "semplice" trojan, il suo scopo era rimanere in incognito e avere uno zombiepc in più. Il simpaticone aveva cancellato totalmente i riferimenti al servizio wuauserv, con un file di registro l'ho reimpostato ed ora funziona tutto, aggiornamenti e microsoft store (per il poco che lo uso). Per quanto concerne i consigli, li conosco, purtroppo ieri ho commesso una disattenzione dovuta alla fretta, il file era scaricato da una fonte sicura, ma il sito si è verificato malevolo, tanto che dopo la mia segnalazione è stato fatto sparire il link, nemmeno l'autore riusciva più a scaricare il proprio file, in più il sito in questione ha chiesto esplicitamente di disattivare ublock (che uso regolarmente), per poter scaricare il file. Insomma mea culpa senza scusanti. __________________ Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)

09-07-2021, 21:14	#5
Life bringer Senior Member Iscritto dal: Jun 2001 Città: Varese Messaggi: 8425	Purtroppo ieri quei file nella partizione nascosta non erano segnati. Ho provato a controllarli, ti chiedo, se possibile di confrontarli con i tuoi: Versione 21H1 (build SO 19043.1083) EFI\Boot\EfiGuardDxe.efi -> file non presente. EFI\Boot\bootx64.efi Nome: bootx64.efi Dimensione: 1558840 byte (1522 KiB) CRC32: 1AF70B6F CRC64: 160E1EE494502699 SHA256: 0CF115A72BB7F3AEA4535B5D3090A8B0E291D1C5CD1D1724E41754D82ECBD55C SHA1: E458D5E1B326BE03E59478B7F26A157C7D8936A8 BLAKE2sp: F239A158B329284F43C9958EFA6E5AE72B33875B60026E66622F6689EB2BEDB3 EFI\Microsoft\Boot\bootmgfw.efi Nome: bootmgfw.efi Dimensione: 1558840 byte (1522 KiB) CRC32: 1AF70B6F CRC64: 160E1EE494502699 SHA256: 0CF115A72BB7F3AEA4535B5D3090A8B0E291D1C5CD1D1724E41754D82ECBD55C SHA1: E458D5E1B326BE03E59478B7F26A157C7D8936A8 BLAKE2sp: F239A158B329284F43C9958EFA6E5AE72B33875B60026E66622F6689EB2BEDB3 Li avrei confrontati io stesso sul portatile pur utilizzando la stessa versione di 10 è stato installato in un altro modo e la partizione e i file non sono presenti. __________________ Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)

09-07-2021, 23:00	#6
Life bringer Senior Member Iscritto dal: Jun 2001 Città: Varese Messaggi: 8425	Ottima idea, non ci avevo pensato. Il primo file non è stato creato dal virus, essendo un'utility per disattivare i driver firmati, probabilmente il virus cerca di insinuarsi in esso nel caso sia installato. Entrambi i file sembrano essere "puliti": https://www.virustotal.com/gui/file/...d55c/detection https://www.virustotal.com/gui/file/...d55c/detection Per quanto riguarda la data di modifica, entrambi riportano il 23 giugno 2021, quando ho installato l'ultima versione di windows 10. __________________ Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)

12-07-2021, 15:25	#7
Life bringer Senior Member Iscritto dal: Jun 2001 Città: Varese Messaggi: 8425	Mh hai ragione, ho ricontrollato, i due file sono esattamente identici, pensavo di aver fatto casino con il copia incolla __________________ Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi e stampante laser (click!)

Strumenti
Mostra una versione stampabile Invia questa pagina per email