www.MegaLab.it

[EntropheaR]

Questa discussione ha il compito di raccogliere tutte le segnalazioni inerenti virus ed, exploit presenti su siti che sono stati attaccati **recentemente** e a fornire i consigli per una rapida soluzione del problema.

Non sono articoli ne news, il taglio deve essere breve, anzi brevissimo.

Una segnalazione dovrà contenere il *nome del virus* o della cosa trattata, una breve *descrizione* di quello di cui si sta parlando, e *uno o più link a guide e tool per la rimozione.* (meglio sarebbe se assieme alla segnalazione scriveste un articolo da pubblicare su mli per rimuovere il problema di turno)

Segnalazioni incomplete saranno rimosse (salvo diversamente specificato).

Ribadisco: non vogliamo dirottare sul forum contenuti del portale, per cui, se avete scritto una guida per rimuovere il problema di turno è molto più gradita ed utile la pubblicazione sul sito rispetto ad una segnalazione in questa discussione.
Nulla vi vieta di fare entrambe ;)

Se il virus lo avevamo a disposizione, riportiamo anche il link delle analisi del file infetto su VirusTotal.com.

Ultimo puno: 1 Messaggio ==> 1 Segnalazione

[ste_95]

Trojan Zlob, Nuova Variante
E' da pochi giorni disponibile in rete una nuova variante del rinomato Trojan Zlob, il malware che si spaccia per un codec per installarsi nel computer dell'ignota vittima.
Il principale compito del trojan è l'installazione di altri software malevoli, principalmente rogue antivirus, proprio per questo visualizza spesso messaggi che dovrebbero convincere l'utente a installare decine di software nocivo.
Per la sua rimozione possiamo affidarci a Rogue Remover Free o ad Avenger se vogliamo rimuovere il trojan manualmente.

Il file che da origine all'infezione è attualmente riconosciuto da 20 antivirus su 32 come Trojan Zlob, come si può notare in questa analisi di VirusoTotal.com

In questo articolo prendiamo in esame il trojan e approfondiamo la sua rimozione.

[ste_95]

Sito vincolante Istant Access
Questo sito propone al download il rinomato dialer Istant Access, giriamo assolutamente alla larga da esso!

L'analisi del trojan e la guida alla sua rimozione è disponibile in questo articolo.

Il trojan è attualmente riconosciuto da 17 antivirus su 32, come indica l'analisi su VirusTotal.com.

[ste_95]

MessengerSkinner, virus contagioso
Rimane online e funzionante il sito di MessengerSkinner, che continua a vincolare il suo programma che oltre a fornire emoticon viste e vecchie, installa un rootkit nel computer, precisamente una variante di CiD mascherata appunto da rootkit.

Il sintomo più evidente è proprio la comparsa persistente di finestre pop-up indesiderate.

Sfortunatamente molti siti importanti (ImageShack...) si sono affiliati con MessengerSkinner senza conoscere i danni di questo software, raccomando quindi di non scaricare MessengerSkinner da nessun sito ve lo proponga.

Attualmente solo 6 antivirus su 32 riconoscono il file come infetto: Avira Antivir, Avast, GData, Ikarus, Sunbelt e Webwasher-Gateway.

In questo articolo analizziamo il programma, il rootkit e vediamo come rimuoverlo efficacemente.

[ste_95]

Nuova variante Bagle
Prendo oggi come data simbolica dell'uscita della nuova variante del Virus/Worm/Rootkit Bagle.
La sua propagazione avviene tramite canali P2P, eMule in primis, la diffusione avviene ancora promettendo crack/programmi piratati.
Il file eseguibile è contenuto in un archivio all'interno del quale vi è sempre anche un file di nome cracked.nfo.

I sintomi rimangono gli stessi, e per la rimozione, potete affidarvi alle istruzioni dettate da questo articolo che, almeno per ora, rimane valido.

Il file che genera l'infezione è attualmente riconosciuto da soli 6 antivirus su 32, come si può notare in questa analisi. In ogni caso ho appena provveduto a inviare il file infetto ai laboratori Avira.

La raccomandazione rimane sempre la stessa, scansionare i file (Soprattutto se si tratta di crack/keygen) scaricati da eMule su VirusTotal.com!

[The King of GnG]

Nuova variante Bagle

Ehm, ste, "Worm.Bagle.ZZA.Gen!Pac" è evidentemente una firma generica, utilizzata dagli antivirus già quasi un mese fa....

Io credo che, piuttosto che concentrarsi su nuove varianti di malware ben noti - di Bagle esce una variante ogni pochi giorni - il thread sarebbe utile per segnalare infezioni effettivamente nuove.

Altrimenti il risultato è uno stillicidio di informazioni e "warning!" ridondanti non particolarmente produttivo o utile ad alcunché....

[ste_95]

Italian.Eazel
Segnalo il sito Italian.Eazel.Com. Il sito distribuisce installazioni di programmi assolutamente legittimi ma che vengono modificati dallo stesso sito che setta Italian.Eazel come pagina iniziale e installa adware/spyware nel computer.

Tutto quello che lì viene proposto è assolutamente da evitare, esistono i siti ufficiali dai quali scaricare senza correre nessun rischio.

[Max01]

italian.ircfast.com
Così come italian.eazel.com, anche italian.ircfast.com è assolutamente da evitare.

[cops]

10-06-08

kaspersky trova

Codice: Seleziona tutto

Virus.Win32.Gpcode.ak

Bisogna stare allerti!!! Per info clickare QUI!!!

http://www.viruslist.com/en/alerts?alertid=203996088

[ste_95]

new-messenger.com
Sembra un sosia di MessengerSkinner, a giudicare dalla licenza.

Attualmente, solo The Hacker lo identifica come Trojan/DNSChanger.dat:

http://www.virustotal.com/it/analisis/7 ... fbeab5fdcd

Viene proposto al download cercando Messenger e i suoi derivati. Pesa 111 kb e non è di certo il vero Messenger.
Ho appena spedito il sample ad Avira.

[ste_95]

new-messenger.com
Sembra un sosia di MessengerSkinner, a giudicare dalla licenza.

Attualmente, solo The Hacker lo identifica come Trojan/DNSChanger.dat:

http://www.virustotal.com/it/analisis/7 ... fbeab5fdcd

Viene proposto al download cercando Messenger e i suoi derivati. Pesa 111 kb e non è di certo il vero Messenger.
Ho appena spedito il sample ad Avira.

Che sia questo nuovo DNSChanger, come dice TheHacker?

[ste_95]

10-06-08

kaspersky trova

Codice: Seleziona tutto

Virus.Win32.Gpcode.ak

Credo di essere in grado di dare maggiori informazioni.

Il virus cripta il contenuto di ogni file con determinato formato e ne cancella l'originale, ponendo nella cartella un file con richiesta di riscatto per ottenere la chiave che attualmente è l'unica cosa in grado di decriptare i file cifrati.
Per debellare l'infezione è necessario ricorrere a specifici tool per recuperare i file originali eliminati dal virus, e ridare a essi il loro nome.

Domani lo provo staccando tutti gli hard disk e le memorie di massa e vedo come funziona, in arrivo l'articolo.

[ste_95]

Attenzione al phishing via Messenger
Ecco che una nuova forma di phising prende piede sul circuito di messaggistica istantanea Microsoft, proponendo false schermate di login.

Potrebbero arrivarvi in questi giorni messaggi spediti apparentemente da un contatto non in linea, contenenti un semplice link. Il sito di destinazione propone un falso form di login per effettuare l'accesso con il proprio account Windows Live Messenger oppure Yahoo! Messenger.

Leggi la news.

[ste_95]

Firefox Ultimate Optimizer
Sembra un plug-in per Mozilla, e lo è, solo che contiene un adware che 10 antivirus su 32 riconoscono.

Da non installare.

Qui le analisi su VirusTotal.com

PS. Il file è stato inviato ad Avira.

[Pacopas]

Cercate di mantenere il post pulito per favore.
E' un post di segnalazione.
Per discutere ci sono le apposite sezioni, o i MP.
Vi ringrazio per la collaborazione

[ballacoilupi72]

PANDA ANTIVIRUS 2008
Ho trovato in rete un malware ancora poco conosciuto, su Virus Total è identificato solo da 6 antivirus come Adware/Casinò Online o simile...
la denominazione del file è Panda Antivirus 2008.exe, per cui imita il file originale di setup di Panda Antivirus.
Attenzione quindi!
questi i risultati su Virus Total
ho già provveduto a mandarlo a Panda Security.

[ZaC]

Salve a tutti!
Scrivo questo post perché spero possa essere d'aiuto a quanti come me subiscono gli influssi di uno strano virus.
Preciso che non conosco ne' il nome del virus, ne' se la soluzione che vi propongo sia completa.

Sintomi visibili dell'"infezione":
- chiusura di explorer se si tenta di accedere a molti dei siti di sicurezza informatica;
- chiusura di explorer se si effettua una ricerca su motori come google di determinati termini inerenti l'ambito della sicurezza informatica (es.: "kaspersky", "antivirus", "remove virus" etc etc);
- impossibilità di installare determinati antivirus (l'unico che sono riuscito ad installare è stato avg free edition il quale però non ha trovato nulla);
- malfunzionamento di programmi antispyware come Spybot S&D;

Soluzione:
- disattivare il Ripristino configurazione di sistema;
- scaricare ed aprire gmer (stranamente non inibito);
- cliccare sulla task ">>";
- in "Processes" individuare il processo "winlogon.exe" (tipicamente C:\WINDOWS\system32\winlogon.exe) e cliccarci sù;
- nella task "Libraries" individuare una libreria (file con estensione .dll) "anomala"; (leggere NOTA 1)
- prendere nota del nome e del percorso della dll (nel mio caso era sempre C:\WINDOWS\system32);

- LEGGERE NOTA 1 prima di proseguire!!! Più avanti si dovrà eliminare questa dll, scegliere quella sbagliata vorrebbe dire rendere inutilizzabile il processo winlogon, necessario per le politiche di autenticazione del windows

- scaricare ed avviare il programma undll, utility dell'antivirus nod32 ottima per eliminare dll indesiderate e chiavi di registro inerenti;
- cliccare "Select infected DLL";
- inserire il percorso ed il nome della dll (ad esempio io ho dovuto scrivere "C:\windows\system32\cbaaaaded.dll");
- se si sarà scelto la giusta dll (e me lo auguro fortemente) apparirà una finestra con messaggio "The selected file doesn't have a standard DLL executable format. Do you want to continue?" cliccare su "Yes" ed attendere che il programma faccia il suo lavoro;
- riavviare windows (ammesso che non lo abbia già fatto automaticamente il programma);
- riattivare il "Ripristino configurazione di sistema";

Adesso finalmente si potranno installare tutti gli antivirus possibili ed immaginabili, visitare tutti i siti di sicurezza informatica che si voglia ed eventualmente fare una bella scansione online!

Spero di essere stato d'aiuto... per capire dove fosse il problema ho perso due giorni della mia vita!!!

PS: chiunque sappia di che virus si tratti e voglia integrare quanto da me scritto è ben accetto. Purtroppo non ho avuto modo di fare una copia della dll poichè non avevo i permessi sufficienti (nonostante fossi loggato da amministratore...) ne' di farne una scansione online visto che anche virustotal era inaccessibile... tra l'altro nessun antivirus ha rilevato nulla dopo l'eliminazione di questa fastidiosissima dll.

NOTA 1: purtroppo non posso dare molte indicazioni sul nome di questa dll poiché composto da lettere random (nel mio caso era cebaaaaded.dll), l'unico consiglio per scegliere opportunamente la libreria che causa tutti questi problemi è di individuare un nome senza significato e cercarlo su un motore di ricerca. Ad esempio la dll iphlpapi potrebbe sembrare senza significato ma in realtà non lo è (IP Helper API) e se se ne effettua una ricerca su qualsiasi motore si troveranno diversi link relativi a questa libreriria. Se non trovate alcun risultato molto probabilmente è la dll da eliminare.

[ste_95]

Da un'intervento sul blog di Kaspersky, sembra sia spuntata una nuova variante del ransomware GpCode, il celeberrimo virus che cripta i dati contenuti nelle unità e chiede un riscatto in denaro per avere la chiave di decriptazione. Non sono troppo consistenti le novità portate dalla nuova varianti, ma vale la pena parlarne.

Sono alla ricerca del sample per aggiornare l'articolo.

[clic]

Da ZDNet un allarme per un metodo di diffusione del malware tramite Flash (l'ennesimo). Sfruttando una funzione di Flash (lo odio) che le permette di interagire con la clipboard di sistema, il codice presente nel banner forgiato ad arte, costringe l'utente (hijacking) all'unica azione possibile che è quella di installare un fake antivirus. Tali banner sono stati rilevati in siti commerciali di un certo peso (Newsweek, Digg e MSNBC.com.)

Fonte in inglese
http://blogs.zdnet.com/security/?p=1733

E' da circa un mese che rilevo questo comportamento in alcuni computer che gestisco e tutti durante la navigazione su siti al di sopra di ogni sospetto. Fortunatamente vengo sempre chiamato prima che l'attacco vada a buon fine (le mie pecorelle chiamano allarmate e non toccano più nulla, le ho addestrate bene ) e ciò mi permette di verificare, dopo aver semplicemente killato con il taskmanager il browser) se effettivamente sono stati visitati siti sospetti.
La maggior parte delle chiamate mi è arrivata da chi ha ancora Windows 2000 e quindi IE6. L'unico caso in cui l'attacco è andato a segno si trattava di un furbone che avevo fatto amministratore della macchina (mea culpa) e che aveva a bordo XP.
Non so se ciò è correlato con la tecnica di cui si parla nella notizia che ho riportato, ma sta di fatto che l'attacco termina con il tentativo di installazione di un fantomatico Vista Antivirus 2008 o 2009 (va a giornate ) e che al riavvio presenta all'utente un desktop privo di qualsiasi accesso a strumenti amministrativi (taskmanager, regedit, Esegui... ecc.)
Rimane comunque il fatto che sul piano della sicurezza non è interessante tanto il malware inoculato quanto la tecnica ed il vettore usato per l'attacco.

[ste_95]

www.ircdown.com
Si tratta di un altro sito molto simile a italian.eazel che distribuisce falsi installer dei più svariati programmi freeware per Windows. Io ho trovato Avast navigando in giro, ma accedendo all'homepage troviamo di tutto.

Si tratta di un sito spagnolo i cui installer sono riconosciuti da una buona parte di antivirus, come è possibile vedere in questa analisi. Si tratta comunque di programmi relativamente innocui, a parte cambiare l'homepage e fare qualche modifica alla navigazione non dovrebbero fare.