www.MegaLab.it

[csf0137]

che poi uno dice.. "mi prendo il migliore antivirus e sono a posto".
ma guardar qui i risultati dei vari antivirus per il maledetto:

cominciamo col suo prodotto: un file chiamato JNAM

questo e' quello che vedono i vari antivirus:

http://www.webalice.it/csf0137/vir1.jpg

DrWeb, Kaspersky e Panda lo vendono come virus.. pochi altri non ne sono certi e la maggioranza (compreso McAfee) pensano che sia una utility di Peter Norton per vedere se la ram e' macchiata di caffellatte.

il file viene prodotto assieme ad un file .bat ed uno .tmp
(probabilmente il file .tmp e' il -generatore- perche' contiene per esteso e criptato in blando modo il file JNAM.)

pero' guardate cosa dicono i vari antivirus:

http://www.webalice.it/csf0137/vir2.jpg

pur con tutto che il file CONTIENE il virus sopra citato, solo Antivir vede una qualche cosa al suo interno. Tutti gli altri (Kaspersy compreso!) non riconoscono NIENTE!!!
Fa eccezione Panda .. che si insospettisce!
All'anima del motore euristico di AVP/Kaspersky.. agile come una caffettiera napoletana in questo caso.

per inciso il virus crea pure una libreria in3.dll che e' riconosciuta come
virus/worm/malware da qualche antivirus in piu' rispetto alle magre figure fatte fino ad ora [da notare pero' che quasi nessuno e' d'accordo sulla natura del virus stesso]

http://www.webalice.it/csf0137/vir3.jpg

STUPENDO McAfee che lo riconosce come virus ma me lo lascia passare indisturbato!?!?!?

con tutto cio'?..

con tutto cio' pensavo di passare a Kaspersky ma vedo che a questo punto va bene anche McAfee tanto uno vale l'altro quando e' il momento della bisogna. O mi sbaglio?

[Califano]

Mcafee non lo blocca nemmeno a me, non sembra neppure averlo trovato. Come facciamo a liquidarlo?

[csf0137]

Mcafee non lo blocca nemmeno a me, non sembra neppure averlo trovato. Come facciamo a liquidarlo?

tenendo presente pero' che "liquidarlo" serve a poco perche' e' un worm che si autoinstalla direttamente quando sei connesso sfruttando un exploit per il sistema xp (w2000,nt, e similaria).
Il tizio che infesta la rete con questa roba ovviamente si e' fatto un programma che scansiona un range di ip random e quando trova "qualcosa" a cui applicare l'exploit ci prova e vede se la procedura va a buon fine (il programmetto avvisa la casa madre aprendo una specie di ftp sulla porta 20 via UDP in barba al firewall di microsoft).
Nel caso la procedura sia andata a buon fine il tuo ip viene inserito in una lista di "papabili". La prossima volta eleggono i papabili come indirizzi privilegati per ritentare il giochino.
"Ma io ho un ip dinamico!!!"... certo, ma solitamente l'ip chi ti viene assegnato dal tuo provider cambia solo nella classe finale e il programmetto fa una scansione appunto su quella o random su i due ultimi numeri... essendo in automatico il "tempo da perdere" non e' un poblema.

comunque liquidarlo e' abbastanza semplice.
Bisogna innanzitutto disattivare il ripristino di sistema.
poi con Kaspersky o Panda on line fare una scansione sull'intera directory
c:\windows (o il tuo folder di installazione del sistema)
e segnarsi i file infetti.
aprire msconfig e dall'avvio elminare le chiamate che puntano ai file infetti trovati dall'antivirus
poi e' necessario terminare i task relativi al virus provando prima con tak manager. Se il virus si e' installato come semplice processo si elimina con un semplice delete. Se il virus si e' installato come servizio di sistema il task mamnager serve a poco. Anche l'amministrazione dei servizi nelle opzioni di amministrazione e' praticamente inutile perche' questi worm si attivano restando pero' praticamente invisibili alle comuni periferiche di gestione amministrativa di xp.
Si puo' provare a mandare una api di "terminazione" se si sa programmare oppure si puo' usare programmi tipo DTaskManager (che fanno appunto la cosa sopra citata)
In ongi caso si eliminano successivamente i file infettati dal virus in c:\windows\temp e nelle altre cartelle trovate dagi antivirus online.
A questo punto si riavvia il sistema. Si riattiva il ripristino di sistema e si va tranquilli fino alla prossima "scansione" del maledetto %-)

sono da fare le seguenti considerazioni:

1. Per fortuna il virus non sembrerebbe modificare altri programmi..

2. Sicuramente l'exploit e' da addebitarsi a qualcosa -in piu'- o -in meno- rispetto ad una installazione xp standard:
es: la mancanza di SP2, activex relativi ad un aggiornamento java, ecc..

3. ho notato che il worm infetta il "mio" computer quasi sempre alla stessa ora.. il pomeriggio tra le 16 e le 17. [e sono connesso 24 ore su 24]
L dico con certezza perche' mi sono fatto un programmino che quando riscontra la presenza del dannato si segna l'ora e esegue automaticamente le procedure sopra riportate.

4. il virus mi ha infettato 4 volte in 15 giorni. Ho salvato tutti e quattro gli eseguibili. I primi 3 erano uguali.. il quarto ha un codice "migliorato".. il tizio che lo distribuisce ci sta lavorando su apportando delle modifiche. %-)
Non e' comunque un programmatore molto avveduto perche' nella versione 4, ritenendo -plausibilmente- difficile che qualche antivirus possa aver aggiornato i proprio database in cosi' poco tempo, viene "maggiormente" riconosciuto dagli algoritmi di ricerca euristica come "elemento dannoso" anche se classificato in maniera piu' indeterminata rispetto ai precedenti.
Solo Kaspersky e Panda mantengono la loro definizione.. che comunque tra loro differisce. :)
Kasperky lo chiama win32.Agent.fw mentre Panda lo classifica come Goldun.ju .. in ambedue i casi non ci sono ne info piu' dettagliate ne accorgimenti per la rimozione.

[Califano]

Grazie per la spiegazione tecnica e gli hint per rimuoverlo, io sono una sega completa con i pc e ho sempre paura a mettere le mani su cose che non conosco. Se levarlo è inutile, data la sua natura, lo lascio dov'è tanto da quel che ho capito non è particolarmente dannoso e non crea casini con altri programmi...

[csf0137]

un difetto ce l'ha a dire il vero.
A me ad esempio esegue un servizio usando la console CMD, con questa apre un servizio che cerca di dialogare con un sever esterno.
Quando, quasi sempre, non ci riesce va in loopback e comincia ad occupare le risorse in maniera preoccupante rallentando la macchina.
Mi sono accorto la prima volta che qualcosa non andava usando ebay. :)
Per dare i feedback (do sempre i soliti) uso il completamento automatico di explorer.. premendo sulle caselle (col mouse) la casella combo con le opzioni di completamento mi scendeva non piu' immediatamente (come al solito) ma dopo N (troppi) secondi.
Era colpa del virus.. l'esecuzione di cmd come servizio in loop occupava la cpu per valori prossimi al 100% quasi perennemente. %-\

ps. pure oggi il virus si e' ripresentato.. verso le 17:00 appunto.
Di sicuro non e' un worm inglese.. a quell'ora prendono il tea.

[Califano]

Si è capitato anche a me di vedere tutte le risorse occupate in maniera anomala mentre non stavo praticamente usando nessuna applicazione, questo è un bel problema...

[csf0137]

poi ho scoperto un altra cosa della quale prima non mi ero accorto. %-!
Il virus aggiunge ai miei users un utente dal nome strano (probabilmente sono caratteri random).
Guarda anche tu se hai qualcosa di simile.
Appare in document setting ma non nella lista utenti.
Ovviamente e' presente nella gestione amministrativa come user con privilegi limitati.
Potrebbe anche trattarsi di un user farlocco creato per errore di completamento da defrag.. comunque io lo levo e lui riappare al riavvio.
Mi sono preparato preventvamente con un bello sniffer preso da sysinternals :) [in pratica ho attivato un sever proxy e mi connetto a quello, tutto il traffico dati che passa per il server lo salvo su file di testo.. spero mi basti un hd vuoto da 200gb. %-) ] , oggi dopo le 19 (visto le tendenze monotone del worm) sapro' se e' da quell'account che il virus cerca di entrare. Saputo questo il vaccino e' a portata di mano. ;-)

[Califano]

Ho controllato nella cartella document settings e non trovo nessun nuovo utente (c'è solo il mio account, l'alluser e il default user quando vado a visualizzare i file e le cartelle nascoste), oggi lascio acceso il pc così vedo se stasera appare qualcosa di sospetto.

[Jho]

A questo punto ti conviene verificare se nei servizi ne hai qualcuno che non ha come connessione "sistema locale"

poi ho scoperto un altra cosa della quale prima non mi ero accorto. %-!
Il virus aggiunge ai miei users un utente dal nome strano (probabilmente sono caratteri random).
Guarda anche tu se hai qualcosa di simile.
Appare in document setting ma non nella lista utenti.
Ovviamente e' presente nella gestione amministrativa come user con privilegi limitati.
Potrebbe anche trattarsi di un user farlocco creato per errore di completamento da defrag.. comunque io lo levo e lui riappare al riavvio.
Mi sono preparato preventvamente con un bello sniffer preso da sysinternals :) [in pratica ho attivato un sever proxy e mi connetto a quello, tutto il traffico dati che passa per il server lo salvo su file di testo.. spero mi basti un hd vuoto da 200gb. %-) ] , oggi dopo le 19 (visto le tendenze monotone del worm) sapro' se e' da quell'account che il virus cerca di entrare. Saputo questo il vaccino e' a portata di mano. ;-)

[csf0137]

A questo punto ti conviene verificare se nei servizi ne hai qualcuno che non ha come connessione "sistema locale"

si, lo avevo fatto precedentemente. Tra t'altro tra i tools di sysinternals ce n'e' uno che lista tutte i processi di sistema con le info collegate comprese le connessioni tcp/udp in/outbound. [meglio che controllarli uno a uno a mano con il system admin di xp %-)]

Il file JNAM si collocava esso stesso come servizio e da locale puntava a vari ip esterni.
Nessuno di questi pero' era attivo (da quali il loopback continuo).
Ho provato di tutto, resolve, nslookup, whois.. :) .. niente!

Ha cercato perfino di connettersi agli ip della mia rete locale per trasferirsi e replicare se stesso. Se non fosse per la noie causate sentirei anche un certo moto di (moderata) simpatia tecnologica per l'autore... peccato per il programma scritto in Delphi.. un 'untore' che si rispetti (secondo me) programma in C++. [ai miei tempi (negli anni '70] programmava in assembler o al massimo in ansi c seguendo lo standard di Kernighan e Richie! :) eh eh]


ps. Aggiornamento definitivo:
Lo user "farlocco" era appunto la porta di ingresso del maledetto Win32.Agent.fw
Una volta cancellato lo user [e ricancellato dal ripristino di sistema altrimenti quel balordo di xp lo resuscita al prossimo riavvio] il virus non entra piu'.
Aveva riprovato ad entrare verso le 18:10 .. un po' in ritardo questo pomeriggio, stavolta e' dovuto passare oltre. %-)

ppss. Dopo un attento esame di alcuni file jar contenuti nella cache della JRE JAVA SUN ho notato che il virus e' stato caricato da un applet Java.. non so pero' ne dove ne quando l'ho caricato su.
Avrei dovuto tenere dei log piu' aggiornati .. lo so.. mea culpa ma: rom necesse est. ;-)

[gigaspeed]

Ciao a tutti,

e se vi dicessi che a me all'improvviso a smesso di funzionare pure explorer.....non prova nemmeno a cercare le pagine come se non esistesse connessione.....ma se provo a fare un ping mi risolve pure il nome dei siti.
Che sfiga.....ho un cliente che mi rifila sempre dei problemi che non ho mai visto.

Mo' che faccio ?

[csf0137]

Ciao a tutti,

e se vi dicessi che a me all'improvviso a smesso di funzionare pure explorer.....non prova nemmeno a cercare le pagine come se non esistesse connessione.....ma se provo a fare un ping mi risolve pure il nome dei siti.
Che sfiga.....ho un cliente che mi rifila sempre dei problemi che non ho mai visto.

Mo' che faccio ?

hai gia' provato ad eliminare il processo Mcvsescn.exe dalla task list ?

[Califano]

csf: quell'exe è lo stesso che mi genera il problema su outlook express, ma cercando in rete ho visto che è parte di Mcafee( http://www.neuber.com/taskmanager/proce ... n.exe.html ), tu che consigli di fare? A ogni riavvio il processo riparte in automatico, c'è modo di disabilitarlo o di bypassare questo conflitto con la posta? Grazie in anticipo

[csf0137]

come ti ho detto io ho risolto inizialmente terminando il processo dalla task list.
-> CTRL-ALT-CANC per aprire il tak manager e poi si punta il task che ha il nome Mcvsescn.exe e si preme su "termina processo".
A questo punto Outlook funziona correttamente e explorer torna a rivedere la connessione in maniera diretta.
Il programma di McAfee infatti si intromette fra i programmi che si connettono a qualcosa e la connessione stessa (un po' come fa uno sniffer) per ottemperare a delle funzioni di controllo.
Questa soluzione pero', da sola, per quanto sufficiente a eliminare il problema del mancato-funzionamento, non e' sufficiente a risolvere il problema definitivamente perche' al riavvio si ripresentera' per colpa del virus.
Importante e' non cancellare il file Mcvsescn.exe perche' appunto non solo fa parte della installazione standard di McAfee ma sopratutto e' da considerare che non viene infettato da nulla [ho controllato il file su una macchina infetta e su una sicuramente pulita.. non subisce modifiche di sorta] quindi levarlo non rappresenta un passo della soluzione e crea invece un ulteriore problema al riavvio!

Nel mio caso, ma non e' detto che per tutti valga la stessa cosa, per levare il virus ho fatto cosi':

ho disattivato la funziona di ripristino del sistema.
[proprieta' su risorse del computer, tab "ripristino del sistema", disattiva]

ho poi killato il processo dalla task list provando usando Process Explorer di sysinternals.org (valgono ugualmente programmi come dtaskmanager. i plugin system view e proc monitor di Total Commander, ecc..)
.. non mi era sufficiente fare "termina processo" data l'impossibilita' di terminare da task manager un processo attivo come "servizio di sistema"

ho cercato con Kaspersky antivirus online (e/o con Panda online) i richiami del virus nella diretory di installazione di windows [ c:\windows\ nel mio caso] e nei folder c:\programmi, c:\program files e c:\documents and settings.. eliminando successivamente tutti i file incriminati.

ho aperto msconfig [start esegui msconfig ] eliminando dal menu avvio la chaimata al file JNAM1.exe che altrimenti sarebbe ripartito al riavvio.

ho eliminato dentro document settings uno user che aveva un nome di 10 caratteri random a me non noto. [per gli altri: levare qualunque user non si riconosca come "attivato con le proprie manine sante"]

ho rinominato in c:\windows il programma dialer.exe in dialer.old e ho staccato dalla spina sopra il filtro adsl il cavetto del modem interno.
Il programma in questione (ed altri) cercano di connettersi a numeri strani della provincia di Cuba e/o di Marte per farvi spendere soldi.
Se non si devono ricevere fax o se non si eì presi dal desiderio masochistico di connettersi a 56k il modem interno non serve a niente.. e' solo motivo di preoccupazione.

ho controllato la connessione adsl verificando il firewall e chiudendo le porte che prima avevo lasciato aperte:
nel mio caso: le due porte di emule.. , le porte di skype e sopcast webtv, la porta del desktop remoto e la porta dplaysvr.

ale' .. ho resettato la macchina e ho ho riattivato ripristino di sistema.

a questo punto il virus non si e' piu' ripresentato, mcafee e il suo programma Mcvsescn.exe si sono rimessi a funzionare correttamente (con tutto che al momento non sono in grado di riconoscere minimamente il virus Trojan.Win32.Agent.fw)

Per quanto riguarda la protezione successiva: attualmente solo Kaspersky e Panda offrirebbero (sempre secondo me) una decente soluzione al problema agent.fw. Qualche giorno fa mi ero orientato su Kaspersky ma oggi ho visto che Panda offre per 29 euro un tool di protezione che si integra con McAfee !
Personalmente prendero' il tool di panda anche perche' di Kaspersky 6.0 a parte il prezzo piu' elevato e la indiscutibile magnificenza nel riconoscimento dei virus rispetto agli altri prodotti) ho letto in rete cose che mi hanno preoccupato tipo la eccessiva occupazione di risorse (meno della versione 5 ma comunque molto elevata) e una documentata certa frequenza agli schermi blu.. :-|

ps. Ma alla McAfee quando si decidono ad aggiornare?
Gli ho scritto 2 VOLTE avvisandoli del problema.. manco si sono degnati di darmi una risposta! mah..

[Califano]

come ti ho detto io ho risolto inizialmente terminando il processo dalla task list.
-> CTRL-ALT-CANC per aprire il tak manager e poi si punta il task che ha il nome Mcvsescn.exe e si preme su "termina processo".
A questo punto Outlook funziona correttamente e explorer torna a rivedere la connessione in maniera diretta.
Il programma di McAfee infatti si intromette fra i programmi che si connettono a qualcosa e la connessione stessa (un po' come fa uno sniffer) per ottemperare a delle funzioni di controllo.
Questa soluzione pero', da sola, per quanto sufficiente a eliminare il problema del mancato-funzionamento, non e' sufficiente a risolvere il problema definitivamente perche' al riavvio si ripresentera' per colpa del virus.
Importante e' non cancellare il file Mcvsescn.exe perche' appunto non solo fa parte della installazione standard di McAfee ma sopratutto e' da considerare che non viene infettato da nulla [ho controllato il file su una macchina infetta e su una sicuramente pulita.. non subisce modifiche di sorta] quindi levarlo non rappresenta un passo della soluzione e crea invece un ulteriore problema al riavvio!

Nel mio caso, ma non e' detto che per tutti valga la stessa cosa, per levare il virus ho fatto cosi':

ho disattivato la funziona di ripristino del sistema.
[proprieta' su risorse del computer, tab "ripristino del sistema", disattiva]

ho poi killato il processo dalla task list provando usando Process Explorer di sysinternals.org (valgono ugualmente programmi come dtaskmanager. i plugin system view e proc monitor di Total Commander, ecc..)
.. non mi era sufficiente fare "termina processo" data l'impossibilita' di terminare da task manager un processo attivo come "servizio di sistema"

Questi passaggi li avevo già fatti anche io, usando security task manager mi chiudeva il processo tra l'altro. Ora ho dato anche una pulita ai processi e servizi attivi in modo da risparmiare un po' di risorse, poi vedrò di fare tutti i passaggi restanti per liberarmi dell'amico indesiderato

[csf0137]

c'e' pure un altro aggiornamento.

Ho ritrovato il file incriminato in System File Information! In effetti con disattiva ripristino di sistema non si elimina completamente perche' l'eseguibile ha una protezione particolare.

Per toglierlo bisogna innanzitutto poter accedere al folder "System Volume information"

per farlo si chiamano le proprieta' della cartella col pulsante destro del mouse.
si va sul tab Protezione e sotto "utenti e gruppi" si clicca su aggiungi.
Poi su avanzate e quindi trova.
Nella casella con le opzioni tra i vari nomi utenti si sceglie quello relativo allo user amministratore che si sta usando e si aggiunge agli utenti cliccando poi sulla checkbox "controllo completo" per avere l'accesso.

poi si esegue kaspersky on line e di seguito si eliminano TUTTI i file incriminati.

se un file non si riesce ad eliminare bisgna settare nelle proprieta' la protezione esattamente come si e' fatto per la cartella "system volume information" e quindi provare a cancellarlo di nuovo.. stavolta si cancellera'!

quindi si disattiva ripristino di sistema e lo si riattiva subito dopo.

Cosi' TUTTE le chiamate al virus vengono DEFINITIVAMENTE (e veramente) eliminate. ;-)

[Califano]

Che mi dici di fxdac1.dll? E' localizzato in C:\WINDOWS\fxdac1.dll, sospetto eh?

[csf0137]

ogni programma carica delle sue librerie che chiama in modo univoco rispetto alle altre ed anche rispetto alle "altre di altri programmi".
Di certo non e' niente di standard rispetto alla installazione di un normale xp.

prima di citare il nome sul portale di pacman a sysinternals

http://www.sysinfo.org/startuplist.php

li sai subito se il nome di quella applicazione e' qualcosa di conosciuto, se e' il nome di una applicazione tipica windows, di qualche programma shareware, se e' un virus, ecc...

poi fai un controllo del file on-line con virustotal

http://www.virustotal.com/en/indexf.html

il file viene passato a tutti i migliori antivirus e ti danno una lista con i vari risultati.


se poi uno si vuole levare lo sghiribizzo di vedere cosa cavolo fa quella squintassapipperi di libreria ti conviene caricare un programma di monitoraggio tipo file monitor o api monitor di sysinternals.
Qaando windows e' in esecuzione il progrmma registra un log con l'attivita' di tutti i programmi e di tutte le librerie e ti dice cosa sta funzionando, chi chiama cosa, chi fa partire cosa da dove, cosa sta facendo chi a chi altro, ecc...
Alla fine ti ritrovi registrato un file che solo dopo pochi minuti di esecuzione e' svariati Mb ma l'importante e che tra i milioni di chiamate a programmai consueti e librerie di base c'e' anche la chiamata a quella libreria li (sempre ammesso che in durante il tempo di monitoraggio abbia avuto una qualche attivita').
Da li vedi da chi quella libreria e' chiamata e cosa va a modificare.

Altro sistema sarebbe il debuggin della dll stessa.
Una prima lettura con un hex editor sarebbe di rito.. poi ci vorrebbe una sommaria decompilazione per poter capire i processi interessati.
Di solito a volte basta la lettura del testo presente nella dll (una volta decompressa se ottimizzata con tools tipo upx o aspack32) per capire le "intenzioni".

Insomma i sistemi sono tanti.. dipende pero' sempre dai casi specifici.
Nel tuo caso ti consiglio di cominciare con virustotal, su pacman il nome l'ho gia' passato io e non lo riconosce: questo primo segno non e' un gran che positivo comunque non e' detto che "perche' non lo riconosce" sia necessariamente qualcosa di negativo.

Un passaggio di virustotal e' d'obbligo.

http://www.virustotal.com/en/indexf.html

[Califano]

Niente, virustotal mi dice che non è un virus e con process explorer nemmeno lo vedo quel fxdac1.dll, invece con security task manager si e mi da una pericolosità dal 100%, sembra una dll di IE e dice che si tratta di un estensione del browser....non ho trovato commenti su tale file googlando, neanche negli archivi di security task manager appunto.
Boh comunque io il JNAM1.exe non ce l'ho, non mi sono comparsi username strani in windows e non credo nemmeno di aver beccato il virus agent eppure quel file di Mcafee continua ad essere in conflitto con outlook

[Jho]

Per ora l'unico modo e' killare il processo oppure cambiare antivirus..sigh

Io ho ripulito il sistema da cima a fondo ma continuo ad avere il problema con mcvsescn
Quelli di Mcafee mi hanno detto di scaricare il nuovo motore antivirus (versione beta che uscira' ad agosto).
Ho provato ma ho lo stesso problema
Ora mi hanno detto che hanno spostato la mia pratica alla Mcafee Olanda (non chiedetemi perche'...)
Aspetto risposte

Bye

Niente, virustotal mi dice che non è un virus e con process explorer nemmeno lo vedo quel fxdac1.dll, invece con security task manager si e mi da una pericolosità dal 100%, sembra una dll di IE e dice che si tratta di un estensione del browser....non ho trovato commenti su tale file googlando, neanche negli archivi di security task manager appunto.
Boh comunque io il JNAM1.exe non ce l'ho, non mi sono comparsi username strani in windows e non credo nemmeno di aver beccato il virus agent eppure quel file di Mcafee continua ad essere in conflitto con outlook