www.MegaLab.it

[csf0137]

Allora: mi arriva una mail su un mio account gmail.
La mail (in spagnolo) dice: (traduco a sentimento enfatizzando un po'..)

"ciao mi chiamo Amanda, sono un bella ragazza spagnola leggermente baldrac.. leggermente aperta di vedute e sono qui sul mio bel lettino senza scarpe, senza occhiali e soprattutto senza quel filo interdentale che mi ostino ancora cocciutamente a chiamare mutande. Mi sto facendo una foto allo specchio con uno zoom da cronista di novella 2000 per vedere di semplificare la vita al mio ginecologo miope permettendogli di controllare parallelamente alla mia astrausffhwagen pelundenn le infiammazioni del mio cavo orofaringeo. Scommetto che vuoi vedere anche tu la mia "astrausffhwagen pelundenn" (n.d.t. : frase di difficile traduzione.. penso sia l'equivalente femminile di uno Swainstuker - "cit: Frankenstain JR.").

Dato, dopo 17 anni di matrimonio, il mio totale disinteresse per le astrausffhwagen pelundenn altrui ho evitato di aprire il link che citava un file JPG ma che scaricava un bell'eseguibile mascherato da screen saver e l'ho salvato su hd passandolo a virustotal.

risultato:
---------------------------------------------------------------------------------
STATUS: FINISHEDComplete scanning result of "foto00251.virus", received in VirusTotal at 07.17.2006, 15:39:08 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.21 07.17.2006 TR/Delphi.Downloader.Gen
Authentium 4.93.8 07.14.2006 no virus found
Avast 4.7.844.0 07.14.2006 no virus found
AVG 386 07.14.2006 Downloader.Delf.11.AS
BitDefender 7.2 07.17.2006 Trojan.Downloader.Delf.MK
CAT-QuickHeal 8.00 07.13.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 07.15.2006 no virus found
DrWeb 4.33 07.17.2006 no virus found
eTrust-InoculateIT 23.72.70 07.16.2006 no virus found
eTrust-Vet 12.6.2298 07.17.2006 no virus found
Ewido 4.0 07.17.2006 no virus found
Fortinet 2.77.0.0 07.16.2006 W32/Delf.ACC!tr.dldr
F-Prot 3.16f 07.17.2006 no virus found
F-Prot4 4.2.1.29 07.17.2006 Delfin32.pe
Ikarus 0.2.65.0 07.17.2006 no virus found
Kaspersky 4.0.2.24 07.17.2006 Trojan-Downloader.Win32.Delf.acc
McAfee 4807 07.14.2006 no virus found
Microsoft 1.1508 07.17.2006 no virus found
NOD32v2 1.1663 07.16.2006 probably unknown NewHeur_PE virus
Norman 5.90.23 07.17.2006 W32/Downloader
Panda 9.0.0.4 07.16.2006 Suspicious file
Sophos 4.07.0 07.17.2006 W32/Download.tr
Symantec 8.0 07.17.2006 no virus found
TheHacker 5.9.8.176 07.17.2006 no virus found
UNA 1.83 07.14.2006 no virus found
VBA32 3.11.0 07.17.2006 Trojan-Downloader.Win32.Delf.acc
VirusBuster 4.3.7:9 07.16.2006 no virus found

Aditional Information
File size: 22384 bytes
MD5: c328c6f51d16a23cfdb0e2e97087218a
SHA1: 9adf504eb3a761ba72b7523918bbcc7af72fc7b9
packers: UPack
Norman SandBox:
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* File length: 22384 bytes.

[ Changes to filesystem ]
* Creates file C:Windowsmstray.exe.

[ Network services ]
* Downloads file from http://www yourfreespace net/users/orkutmessenger/skill3rs.com as c:Windowsmstray.exe.

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Process/window information ]
* Attemps to NULL http://www orkut.com .
* Attemps to NULL c:Windowsmstray.exe .

-------------------------------------------------------------------------------


e quindi mi chiedo..

ma e' possibile che un uno PAGHI dei bei soldoni per un antivirus tipo McAfee e che poi quest'ultimo non gli riconosca nemmeno un virus che onestamente avevo riconosciuto io a colpo d'occhio senza neanche passarlo all'antivirus???

Tra l'altro viene riconosciuto da antivirus "di cacca" COMPRESO FPROT!!!


.. e da McAfee no!!!!!!!

... ma e' mai possibile??

McAfee.. ma che se lo andassero a reperire in quel posto poco battuto dal sole col quale sono soliti fare quotidianamente un uso anomalo.
PENECEFALI!!!


ps: che poi tra l'altro "Amanda" manco e' spagnola..
dal suo ip si ricava che e' uruguaiana..
-------------------------------------------------------------------------
rgName: Latin American and Caribbean IP address Regional Registry
OrgID: LACNIC
Address: Potosi 1517
City: Montevideo
StateProv:
PostalCode: 11500
Country: UY
NetRange: 200.0.0.0 - 200.255.255.255
CIDR: 200.0.0.0/8
NetName: LACNIC-200
NetHandle: NET-200-0-0-0-1
Parent:
NetType: Allocated to LACNIC
NameServer: nostro.LACNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: NS-SEC.RIPE.NET
NameServer: SEC3.APNIC.NET
NameServer: NS2.DNS.BR
NameServer: NS1.AFRINIC.NET
Comment: This IP address range is under LACNIC responsibility for further
Comment: allocations to users in LACNIC region.
Comment: Please see http://www.lacnic.net/ for further details, or check the
Comment: WHOIS server located at whois.lacnic.net
RegDate: 2002-07-27
Updated: 2005-12-05
OrgTechHandle: LACNIC-ARIN
OrgName: Latin American and Caribbean IP address Regional Registry
OrgID: LACNIC
Address: Potosi 1517
City: Montevideo
StateProv:
PostalCode: 11500
Country: UY
Comment:
RegDate: 2002-07-27
Updated: 2004-03-01
-------------------------------------------------------------------------
non che faccia molta differenza ma insomma... la precisione..

[Mr.TFM]

Un'altra volta impari a leggere le nostre recensioni e ad usare antivirus gratis!

[Zane]

(traduco a sentimento enfatizzando un po'..)

Eheh, bellissima la traduzione

[Califano]

Heheh il thread è uno spasso da leggere, il problema è che anche io uso Mcafee quindi la cosa diventa un po' meno divertente.
Sarà ora di passare a qualcosa di più affidabile.

[EntropheaR]

Traduzione favolosa!

comunque il mio conisglio spassionato: avast!

[Xero]

complimenti per l'enfatizzazione ahhaah

ma come hai fatto a ricavare quelle info dall'ip?

comunque passa ad antivirus migliori....NOD32

ci sono parecchie discussioni sull'argomento antivirus...

[csf0137]

ma come hai fatto a ricavare quelle info dall'ip?

il tremendo potere del whois.

comunque per quanto riguarda gli antivirus:

Avast e Nod32 esattamente come McAfee (purtroppo) non mi hanno riconosciuto gli ultimi 10 file infetti che gli ho passatto tramite virustotal.
Solo nod32 ha dato per "incerti" un paio di file su 10 dicendo "forse sono virus".. una percentuale i rilevazione troppo scarsa per potersi fidare.

Tra i "free" invece Bitdefender si e' comportato non benissimo ma sicuramente merita la sufficienza.
Piu' che sufficienti i commerciali Panda e Kasperky con quest'ultimo mezzo gradino piu' in alto.

NESSUN antivirus riconosce il 100% dei file infetti. Perfino Kaspersky (che comunque, secondo me e sulle lunghe distanze, e' in assoluto il MIGLIORE) in un caso ha lasciato passare un file che invece altri (compreso McAfee! ) hanno riconosciuto.

L'unica cosa per essere veramente sicuri al 100% e' quella di usare assieme il proprio antivirus una bella e costante dose di "buon senso" cercando di tenere (come diceva mio nonno parlando di come era sopravvissuto in trincea nella guerra del 15/18) tre occhi aperti quando si dorme e sei quando si e' svegli. ;-)

[Xero]

ma come hai fatto a ricavare quelle info dall'ip?

il tremendo potere del whois.

no aspè, la questione mi incuriosisce, cioè tu come hai ricavato l'ip dalla mail e il whois sull'ip? io so solo fare il whois con i client tipo mirc (e quello lo sanno fare anche i bambini )

[Kgiulio]

dal suo ip si ricava che e' uruguaiana..

secondo me potrebbe essere in qualunque parte dell'america latina...

a me (con il mio IP) credo il tuo stesso sito ha dato questo:

OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

che è l'indirizzo della RIPE, ma io sono di Roma

leggermente off-topic... sorry

rimanendo in-topic:

Avast 4.7.844.0 07.14.2006 no virus found

cavolo...

[csf0137]

ma come hai fatto a ricavare quelle info dall'ip?

il tremendo potere del whois.

no aspè, la questione mi incuriosisce, cioè tu come hai ricavato l'ip dalla mail e il whois sull'ip? io so solo fare il whois con i client tipo mirc (e quello lo sanno fare anche i bambini )

fai il whois da www.samspade.org usando il server "magic"

[csf0137]

dal suo ip si ricava che e' uruguaiana..

secondo me potrebbe essere in qualunque parte dell'america latina...

a me (con il mio IP) credo il tuo stesso sito ha dato questo:

OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

che è l'indirizzo della RIPE, ma io sono di Roma

leggermente off-topic... sorry

rimanendo in-topic:

Avast 4.7.844.0 07.14.2006 no virus found

cavolo...

beh poi oltre a whois si possono fare anche altre cose, tipo un traceroute, una visualizzazione dell'identificativo di area geografica (se c'e'), nslookup, un portscan su quell'ip e alla reti collegati, un netbios scan per vedere se ci sono particolari nomi di macchine connesse e qualche riferimento geografico, ecc....
UNa indagine approfondita richiederebbe tempo.
In ogni caso anche Visualroute (senza ulteriori indagini) da immediatamente diversi parametri utili alla localizzazione.

[Robby78]

AntiVir 6.35.0.21 07.17.2006 TR/Delphi.Downloader.Gen

io continuo a votare x questo!

[csf0137]

AntiVir 6.35.0.21 07.17.2006 TR/Delphi.Downloader.Gen

io continuo a votare x questo!

..almeno AntiVir grazie all'ultimo upgrade ha cominciato a riconscere il virus jnam tema dominante di questo thread.



ho segnato in giallo gli antivirus che ancora non lo riconoscono nonostante l'avvenuto upgrade e nonostante la documentata diffusione del maledetto.

McAfee invece.. brancola ancora nel buio in compagnia di BitDefender.

[Xero]

dal suo ip si ricava che e' uruguaiana..

secondo me potrebbe essere in qualunque parte dell'america latina...

a me (con il mio IP) credo il tuo stesso sito ha dato questo:

OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

che è l'indirizzo della RIPE, ma io sono di Roma

leggermente off-topic... sorry

rimanendo in-topic:

Avast 4.7.844.0 07.14.2006 no virus found

cavolo...

beh poi oltre a whois si possono fare anche altre cose, tipo un traceroute, una visualizzazione dell'identificativo di area geografica (se c'e'), nslookup, un portscan su quell'ip e alla reti collegati, un netbios scan per vedere se ci sono particolari nomi di macchine connesse e qualche riferimento geografico, ecc....
UNa indagine approfondita richiederebbe tempo.
In ogni caso anche Visualroute (senza ulteriori indagini) da immediatamente diversi parametri utili alla localizzazione.

grazie mille!!! mi tornerà utile, ne sono certo

[crazy.cat]

Solo nod32 ha dato per "incerti" un paio di file su 10 dicendo "forse sono virus".. una percentuale i rilevazione troppo scarsa per potersi fidare.

Nod è troppo incerto, troppi virus sconosciuti anche con roba molto vecchia.

Codice: Seleziona tutto

Tra i "free" invece Bitdefender si e' comportato non benissimo ma sicuramente merita la sufficienza.

a me è piaciuto molto.

Codice: Seleziona tutto

Piu' che sufficienti i commerciali Panda e Kasperky con quest'ultimo mezzo gradino piu' in alto.

Panda bello, ma se non hai un giga di ram è dura farlo girare su un pc, è un mangiatore di ram mica da ridere.

Codice: Seleziona tutto

NESSUN antivirus riconosce il 100% dei file infetti. Perfino Kaspersky (che comunque, secondo me e sulle lunghe distanze, e' in assoluto il MIGLIORE) in un caso ha lasciato passare un file che invece altri (compreso McAfee!  [sbigot] ) hanno riconosciuto.

Kaspersky su 400 virus (quando ho fatto la prova) ne ha cannati 5 di cui uno abbastanza grave.

Codice: Seleziona tutto

L'unica cosa per essere veramente sicuri al 100% e' quella di usare assieme il proprio antivirus una bella e costante dose di "buon senso"

Il consiglio migliore.