www.MegaLab.it

[peolo_82]

Salve, questa mattina mi è arrivata una mail dove mi diceva che in allegato c'era una fattura di un pagamento in un file PDF. Dopo averlo scaricato ed aperto mi è iniziato a comparire ripetutamente un messaggio del mio antivirus nod32 dove mi blocca l'url. ho provato a fare scansioni con programmi anti spyware e malware ma la finestrella si apre ogni 10 minuti. Come posso fare per eliminarlo. Vi posto il messaggio del mio antivirus grazie a tutto lo staff di MegaLab. Ps non riesco a inviarvi l'immagine del messaggio del mio antivirus.

[Sabbb]

Colpisce solo Adobe Reader,o ance gli altri lettori pdf?

[peolo_82]

Non so il programma adobe reader x si apre e funziona regolarmene ma è questo attacco che l'antivirus rileva ogni 10 minuti e mi compare l'indirizzo ip e il nome dell'attacco che è duffiduffid.ru

[crazy.cat]

Vi posto il messaggio del mio antivirus grazie a tutto lo staff di MegaLab. Ps non riesco a inviarvi l'immagine del messaggio del mio antivirus.

http://www.MegaLab.it/2995/2

Posta anche un log della scansione di hijackthis così vediamo cosa gira nel tuo pc.

[peolo_82]

Ho risolto tutto facendo ripristina configurazione di sistema ho resettato il pc al 18 ottobre e il messaggio non è + comparso

[hashcat]

Penso di sapere di cosa si tratta, il messaggio si presenta così:

*********************************************************************************************************************************************************************************************

Mittente:PAY (VMyrick@[rimosso].net)

Oggetto: Pagamento 1XXX-XXX (XXX numeri casuali)

Messaggio:

Buongiorno,
Si prega di notare che hai una fattura.

hxxp://technofluid.ro/account/Fattura.zip?XXXX (X cifre casuali per il referer)

Tel./Fax.: +39 (39) 646 97 61

*********************************************************************************************************************************************************************************************

Ho studiato attentamente la modalità di diffusione e il comportamento del malware e probabilmente a breve pubblicherò un articolo / analisi.

Il file è recente, creato il 19 ottobre.

Report di Virustotal
Report di ThreatExpert

L'archivio zip scaricabile dall'indirizzo sopra indicato contiene il file eseguibile Fattura.Pdf__________________________________________________________________.exe celato da pdf (utilizzo massiccio di underscore per nascondere nascondere la reale estensione).

• Il file eseguibile crea un file di log in AppData identificativo del computer infetto con un numero di 5 cifre
• Vengono aggiunte delle eccezioni al Firewall di Windows per un determinato file.
• Viene creato un file eseguibile e messo in esecuzione automatica
• Connessione a due siti russi per scaricare la configurazione del virus ed altri componenti
• Funzionalità di Keylogger
• Maggiori informazioni saranno presenti nell'analisi

[sampei.nihira]

lo leggerò con piacere Has.
Anche se conoscendomi perché già da adesso mi stò facendo l'elenco dei "punti di prevenzione" sarò portato a leggere proprio ciò.

[hashcat]

Anche se conoscendomi perché già da adesso mi stò facendo l'elenco dei "punti di prevenzione" sarò portato a leggere proprio ciò.

Non ho ben capito questa frase ma sono felice che ti interessi l'analisi che elaborerò

[sampei.nihira]

Hai ragione spiego.
A me interessa la prevenzione,ciò non è un mistero per nessuno.
Mi piace occuparmi di prevenzione perché è sempre una sfida.
La sfida è quella di combattere un altro essere umano.
Chi crea malwares in fondo conosce molto bene i punti deboli degli essere umani che utilizzano un pc ed ovviamente li sfrutta.

Scrivo ciò perché ritengo utile per altri utilizzatori su MLI prendere coscienza dell'importanza di una "forma mentis".


Quindi gli exe mascherati.

Quanti utenti medi ci sono che usano un OS moderno Windows ed hanno cambiato l'impostazione di default per abilitare la visualizzazione delle estensioni conosciute ?
E poi da questo punto iniziale vado avanti......

Credo che hai capito,da dove nasce la lista.

[hashcat]

Pubblicata analisi dettagliata:

http://www.MegaLab.it/forum/topic74123.html

[sampei.nihira]

Pubblicata analisi dettagliata:

http://www.MegaLab.it/forum/topic74123.html

Has mi hai ricordato un film di 007 cioè "GoldenEye".
Complimenti, anche se parti del tuo trattato sono al di fuori della mia portata.
E questo dimostra la specificità dei settori di questa materia.