www.MegaLab.it

[Vily]

Grazie, grazie, grazie 1000.
ciao, vily.

[Max01]

Ha rilevato il setup di un rogue che ho trovato ieri per la rete

Te lo ha rilevato Prevx?

Mi sembra davvero ottimo (hai mai pensato di scriverci un articolo?)

Il programma è ottimo ma è praticamente semisconosciuto all'utente medio, per cui farci un articolo per dargli maggiore visibilità non sarebbe una cattiva idea.
Purtroppo il programma non è gratuito, anche se si ha la possibilità di attivare la licenza trial solo in caso di reale infezione.

l'unica critica che posso fargli è che mi ha rilevato Combofix come trojan ; ma è un errore che fanno in molti

Credo che sia un errore che fanno praticamente tutti gli antivirus.

[Pct]

No, non me lo ha rilevato prevx (almeno secondo Virustotal; anche se i limiti di Virustotal sono parecchi nel caso di alcuni antivirus che utilizzano anche tecnologie HIPS e simili,come appunto prevx): solo Hitman Pro e Dr.web lo vedevano ; adesso lo vede anche Avira perché gliel'ho inviato; cmnq sono davvero ancora pochi quelli che lo vedono con il database ufficiale .

[Max01]

Forse mi sono spiegato male io: facendo la scansione con Hitman quale software te lo ha rilevato tra quelli presenti (G-Data, Prevx, Nod32, ecc.)?

[Pct]

Forse mi sono spiegato male io: facendo la scansione con Hitman quale software te lo ha rilevato tra quelli presenti (G-Data, Prevx, Nod32, ecc.)?

Non ci ho fatto caso; avevo fatto uno screen dello scan e non mi dava informazioni a riguardo (non sapevo avesse 4 motori) ; ti posto lo screen; comunque ora riscarico il rogue e rifaccio lo scan, e vedo se mi dà informazioni aggiuntive! Per caso mi puoi spiegare come faccio a vedere con che programma me lo rileva? Nel caso non riuscissi a capirlo io. (è questo il programma,no? Mi viene il dubbio di aver scaricato un altro hitman xD)

[Max01]

Non ci ho fatto caso; avevo fatto uno screen dello scan e non mi dava informazioni a riguardo (non sapevo avesse 4 motori)

Hitman Pro si avvale di 5 motori di scansione: G-Data, Nod32, Prevx, A-Squared ed Avira.
In pratica come funziona: esegue scansioni utilizzando la tecnologia cloud, quindi senza firme da scaricare (e questo lo avevi già accennato te in precedenza), dopodichè effettua un primo controllo alla ricerca di malware appoggiandosi su un database centrale online, se trova qualcosa di sospetto lo scansiona con i motori a cui facevo riferimento.

Per caso mi puoi spiegare come faccio a vedere con che programma me lo rileva? Nel caso non riuscissi a capirlo io.

Se non è cambiato qualcosa con le ultime build (attualmente non lo sto utilizzando), nel momento in cui esegue il controllo del file sospetto (o una volta individuato adesso non ricordo), ti viene fuori il programma.

(è questo il programma,no? Mi viene il dubbio di aver scaricato un altro hitman xD)

Si si è quello.

[Pct]

Purtroppo a parte quella schermata che ti ho postato, non mi dà ulteriori informazioni, non mi dice con che motore lo rileva

[Max01]

Ma cliccando sulla minaccia trovata non ti appare niente?

[Pct]

Ci avevo cliccato, mi pare comparisse la scritta con il ! giallo, ma nessun motore di scansione. Adesso rifaccio lo scan di nuovo, ma è probabile che ora me lo rilevi con Avira,visto che poi ho inviato il rogue ad Avira e ora lo rileva come trojan scareware

[Pct]

Infatti, se ci clicco sopra, Hitman pro me lo indica con un semplice "Infected" accompagnato dall'icona di Hitman Pro, e non di uno dei motori di scansione utilizzati dal programma (Vedi immagine) . Strano perché ora dovrebbe indicarmelo rilevato almeno da Avira . Questo mi ha sorpreso, perché in grado di rilevarlo quando il database di quasi nessun normale programma antivirus ci riusciva/riesce (sono curioso di provare con altri programmi,però mi sa che dovrò tentare di installarlo il rogue, quindi spero che sto rogue non infetti troppo il pc)

[Max01]

Infatti, se ci clicco sopra, Hitman pro me lo indica con un semplice "Infected" accompagnato dall'icona di Hitman Pro, e non di uno dei motori di scansione utilizzati dal programma (Vedi immagine) .

Evidentemente viene rilevato come sospetto dal server centrale, ma non viene ancora riconosciuto dai motori presenti.

(sono curioso di provare con altri programmi,però mi sa che dovrò tentare di installarlo il rogue, quindi spero che sto rogue non infetti troppo il pc)

Prova e fammi sapere: al limite puoi testarlo in virtual machine o sotto Returnil se hai dei timori.

[Pct]

Prova e fammi sapere: al limite puoi testarlo in virtual machine o sotto Returnil se hai dei timori.

Per primo ho provato Threatfire,che secondo Virustotal non doveva rilevarlo.

Mi sembra molto migliorato rispetto alle vecchie versioni; non mi ha dato problemi di compatibilià, è abbastanza leggero e veloce. Il consumo di CPU a riposo è quasi nullo, il consumo di ram si aggira intorno agli 8 - 10 MB di ram .

Durante la scansione il consumo di ram si mantiene basso,su questi livelli (8 - 12 MB), la CPU sale invece a 30 - 50%.

Durante la rimozione il consumo di ram si mantiene basso, su questi livelli; la CPU invece viene utilizzata tra il 40 - 50% .

Non rileva il rogue durante l'installazione (come invece speravo che facesse;solitamente Spyware Doctor Con antivirus blocca tutti i rogue,anche quelli che non ha nel database,durante l'installazione,rilevandoli come "Application.Maybe_RogueAV"),che riesce a installarsi sul pc. Appena finisce l'installazione e il rogue viene lanciato però, Threatfire mi avvisa che un file del suddetto (rnupdate.exe) sta tentando di connettersi a internet in maniera sospetta o inaspettata: gli dò quindi l'ok per la rimozione.
Davvero ottima la rimozione : non si limita a mettere in quarantena il file RNUPDATE.exe che ha rilevato come sospetto, ma rimuove ed elimina completamente tutto il rogue,tutti i file che lo compongono e ad esso associati e perfino l'installer che non aveva rilevato durante l'installazione.

C'è qualche altro programmino che sarebbe interessante provare ? (in effetti mi piacerebbe provare a vedere se Hitman sarebbe in grado di eliminare completamente il rogue una volta installato; non so cosa faccia però quest'ultimo se lo lascio connettere a internet) Però che sia leggero.. il mio netbook ci mette già una vita a partire senza alcun antivirus; ho disinstallato anche Avira per provare TF nel caso quest'ultimo avesse lasciato passare il rogue.

[Pct]

Per curiosità ho provato anche Eset 4 e superantispyware, così ne ho approfittato per inviare i file principali del rogue/scareware a virustotal

Allora,per quanto riguarda Nod32 4 :

a riposo il consumo di ram si presenta attorno ai 60 MB ; praticamente nullo il consumo di CPU.

In scansione il consumo di Ram sale di poco, intorno ai 65 MB ; il consumo di CPU sale invece attorno ai 45 %,con picchi di 60%; il netbook si utilizza ancora abbastanza bene in ogni caso.

Per quanto riguarda il rogue , non lo rileva;non rileva nè l'installer, ne i vari componenti, neanche se li faccio scansionare uno per uno.

Anche Superantispyware non rileva il rogue , nè l'installer nè i suoi componenti, esattamente come Malwarebytes antimalware.

Eccellente invece Hitman Pro : rileva non solo l'installer, ma anche 2 file principali del rogue , uno con il database centrale, l'altro con il database di A-squared,anche se non rileva l'eseguibile del fakeav.

Queste le scan con virustotal : http://www.virustotal.com/it/analisis/e ... 1275226444

http://www.virustotal.com/it/analisis/d ... 1275227208

Se interessano delle immagini : http://www.mediafire.com/?sharekey=4c98 ... 1159cb81ee

[Max01]

Intanto grazie per aver condiviso le tue prove, che sicuramente torneranno utili a qualche utente.

C'è qualche altro programmino che sarebbe interessante provare ?

Come antispyware da provare ti consiglio Counterspy che è ottimo, come antivirus invece ho installato proprio adesso G-Data 2011 in italiano (era un paio di settimane che lo attendevo): vediamo se continua il trend positivo delle versioni precedenti sul minor consumo di risorse, visto che come affidabilità ed efficacia è al top.

[Pct]

Come antispyware da provare ti consiglio Counterspy che è ottimo, come antivirus invece ho installato proprio adesso G-Data 2011 in italiano (era un paio di settimane che lo attendevo): vediamo se continua il trend positivo delle versioni precedenti sul minor consumo di risorse, visto che come affidabilità ed efficacia è al top.

Entrambi molto interessanti, per ora non posso provarli sul netbook perché temo (se non ricordo male) che siano troppo pesanti, ma non appena avrò un pc tutto mio li proverò sicuramente, anche perché mi incuriosciscono da molto.

Gdata volevo provare anche il Netbook security, ma purtroppo, come tutte le Netbook security di tutte le case, non esiste neanche una versione di prova; bisogna per forza comprare direttamente il programma