www.MegaLab.it

[Mandrake]

Sicuramente molti conoscono il software complementare a windows live messenger, che sblocca alcune funzioni (stile msnplus), molto comodo dal mio punto d vista perché sblocca anche lo stato inattivo ( )
Fatto sta che l'ho utilizzato fino a circa un mesetto fa, poi per non so quale motivo l'ho disinstallato, ma avevo lasciato l'eseguibile dell'installer che avevo scaricato e collocato nell'aposita cartella "download".
Fino ad ora nn avevo mai avuto problemi, finchè con dei recenti aggiornamenti di antivir, mi rileva l'exe come backdoor trojan.
Invio il file a VirusTotal, e noto che solo pochi antivirus lo classificano come minaccia, se non erro erano 3 e kasperky e nod NON erano inclusi.
Perciò mi sorge il sospetto del falso positivo e per un periodo lascio stare...
Dopo un po' di giorni, Antivir mi blocca un tentativo di esecuzione di un altro trojan backdoor, che derivava dalla cartella "System Volume Information" e tramite le proprietà del file, noto che si trattava di un parente di Messenger discovery.
Al che disattivo la creazione dei punti di ripristino, faccio una scansione approfondita con antivir premium, hijackthis e per sicurezza anche gmer, ma non trovano nulla... decido di rendere visibile la cartella system volume information e ci faccio una scansione, esito... 2 altri .exe parenti, incriminati.
Preparo un bell'archivio inquinato da questi malware, o pseudo malware, insieme all'eseguibile della nuova versione di messenger discovery e lo invio a virustotal... ebbene ora anche altri antivirus lo rilevano, ma comunque ancora pochi, circa 6, 7 se non erro.
Mi ero promesso di fare altre verifiche dell'archivio, ma ho dovuto formattare (non per colpa del virus) dimenticandomi di salvarlo da qualche parte... però, state attenti a questo programmino!

Da questa "avventura" mi è sorta una domanda spontanea:
normalmente, cartelle tipo system volume information, non vengono incluse nelle scansioni degli antivirus finchè non le rendiamo visibili?

[ste_95]

Messenger Discovery Lite è un falso positivo di Avira, tant'è vero che lo ho mandato a loro sospettando di questo e guarda la loro risposta:

Please find a detailed report concerning each individual sample below:
Filename Result
MDL_1.3.0322.exe FALSE POSITIVE

The file 'MDL_1.3.0322.exe' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection will be removed from our virus definition file (VDF) with one of the next updates.
Filename Result
MessengerDiscover...ve.exe CLEAN

The file 'MessengerDiscovery Live.exe' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.
Filename Result
MessengerDiscover...ay.exe MALWARE

The file 'MessengerDiscoveryToday.exe' has been determined to be 'MALWARE'. Our analysts named the threat ADSPY/DiscoveryTo.A. The term "ADSPY/" denotes adware or spyware. This type of malware is able to change browser settings for example by manipulating registry settings or by using of NTFS-streams. Very often IEexploits are used to manipulate the browserhelp.dll.Detection is added to our virus definition file (VDF) starting with version 7.00.00.80.
Filename Result
MessengerDiscovery.dll CLEAN

The file 'MessengerDiscovery.dll' has been determined to be 'CLEAN'. Our analysts did not discovered any malicious content.

[Mandrake]

Ottimo...
infatti ieri notte, dopo aver scritto tutta quella pappardella, ho riscaricato il software ed antivir non lo rilevava più come minaccia...
l'ho rimandato a virustotal e... ancora 2 antivirus lo segnalano: AVG e Prevx

http://www.virustotal.com/it/analisis/c ... 17a4cb9b2c

[ste_95]

Non sono riuscito a trovare le loro e-mail, di conseguenza non glielo ho mandato...

[Mandrake]

Convinto si trattasse di un falso positivo, ho proceduto con l'installazione, ma in una fase intermedia antivir mi segnala un malware:



dunque ho riletto quanto ste95 ha citato e difatti indicava questo file come MALWARE:

MessengerDiscover...ay.exe MALWARE

The file 'MessengerDiscoveryToday.exe' has been determined to be 'MALWARE'. Our analysts named the threat ADSPY/DiscoveryTo.A. The term "ADSPY/" denotes adware or spyware.

siamo stati alquanto distratti... quindi la fregatura c'è! Attenzione...

PS. riguardo la domanda che avevo posto?

Da questa "avventura" mi è sorta una domanda spontanea:
normalmente, cartelle tipo system volume information, non vengono incluse nelle scansioni degli antivirus finchè non le rendiamo visibili?

[ste_95]

La risposta alla domanda è no.

Vai tranquillo con l'installazione, avevo kaspersky e non mi segnalò nulla.

[Mandrake]

che kaspersky non lo segnali non significa che è sicuro (e poi lo avevo detto citando anche nod, e precisando che sono segnalazioni recenti che in tempi remoti nemmeno avira mi segnalava)...
io per ora mi fido dell'analisi approfondita degli esperti di avira..

[ste_95]

Già il fatto che siano due gli antivirus che vedono come infetto il file vuol dire che probabilmente hanno preso un granchio...

Poi ADSPY sta per Adware/Spyware, nulla di nocivo, io lo ho provato e non successe nulla... E' un po' come l'adware di nero 8...

[ste_95]

Date un occhiata a questo:

http://www.fedemarkez.com/msn_messenger ... overy.html

Vogliamo anche segnalarvi che il programma, viene segnalato da alcuni Antivirus come nocivo. Il sito ufficiale assicura che il programma è libero da virus e da spyware, ma i dubbi sollevati sono piu' di uno. Quindi se decidete di installarlo, sarà a vostro rischio e pericolo! A dimostrazione di questo, vi lascio uno screenshot di quello che accade quando scaricate il programma se utilizzate come antivirus, AVG

[Mandrake]

Ti faccio notare che avg segnala come "nocivo" l'eseguibile di installazione...
lo stesso era segnalato anche da altri antivirus, compreso antivir, in precedenza...
considerando il possibile falso positivo, gli esperti di avira hanno esaminato il programma ed hanno spiegato quanto tu hai citato nel secondo post...
a loro risulta che: il file d'installazione è pulito, ma installa MessengerDiscoveryToday.exe che risulta essere un malware... NON MDL_1.3.0322.exe

ricapitolando:
MDL_1.3.0322.exe - FALSO POSITIVO
MessengerDiscoveryToday.exe - ADSPY/DiscoveryTo.A. (MALWARE)

ora sta a te crederci o no... io preferisco fidarmi di un'analisi approfondita degli esperti...

Anche Kaaza ai tempi era sicuro, era stato utilizzato per svariato tempo senza alcun sospetto... e poi si è rivelato quello che tutti sappiamo...

[ste_95]

Già dal nome del file deduco la sua funzione: Aprire un pop-up con vari servizi, meteo, eventi, news e quant'altro, e il fatto che Antivir lo classifichi come Adware/Spyware e non come trojan, virus, worm o chissà cosa, mi fa credere ancor di più che non sia qualcosa di così tanto nocivo...

[Mandrake]

Già dal nome del file deduco la sua funzione: Aprire un pop-up con vari servizi, meteo, eventi, news e quant'altro, e il fatto che Antivir lo classifichi come Adware/Spyware e non come trojan, virus, worm o chissà cosa, mi fa credere ancor di più che non sia qualcosa di così tanto nocivo...

nocivo o non nocivo, è una rogna che preferisco non avere...