Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Gira roba strana su msn!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Gira roba strana su msn!

Messaggioda darthrevan » dom apr 01, 2007 10:53 pm

Ciao a tutti, in questi giorni su msn girano file strani ovvero i miei contatti (solo quelli infetti dal "virus" in questione)mi mandano involontariamente un file compresso intitolato photoalbum2007 questo file è un file .pif che se accetti la condivisione ti va a finire nei file di windows dopodichè è impossibile rimuoverlo tranne che con l'eliminazione tramite dos(cosa che ho fatto), però nonostante non ci sia più traccia del file riscontro sempre dei problemi ovvero: il mio contatto continua a mandare messaggi strani(in inlgese) ai miei contatti e ogni tanto mi si blocca la freccetta del mouse(probabilmente non riguarda uesto problema),ho provato a fare la scanzione anche con spybot search and destroy e con avast ma non hanno trovato niente.Facendo ricerche su internet alla voce "photoalbum2007.pif" ho trovato un sito cinese http://www.cisrt.org/blog/ .Se cercate con google ne dovreste trovare altri.comunque ora proverò a usare altri antivirus tipo AVG. Voi cosa ne pensate? Cosa mi consigliate di fare? Se volete altre informazione chiedete e ve le darò.

Aspetto le vostre risposte e grazie in anticipo ;)
Avatar utente
darthrevan
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: mer mar 15, 2006 6:59 pm

Messaggioda M@ttia » dom apr 01, 2007 11:17 pm

Anche a me oggi uno l'ha mandato (una mia amica che l'inglese nemmeno lo parla [:D]), ed avendo l'autoaccettazione dei files l'ho scaricato sul desktop, un file.zip che poi ho cancellato...
</IE><FIREFOX>
Avatar utente
M@ttia
Moderatore
Moderatore
 
Messaggi: 8363
Iscritto il: lun giu 09, 2003 2:18 pm
Località: Ticino - Estero

Messaggioda The King of GnG » dom apr 01, 2007 11:59 pm

E' una backdoor.

La presenza del file "photo album.zip" sul sistema implica che il malware dovrebbe già essere entrato in funzione.

http://www.cisrt.org/enblog/read.php?63
Ultima modifica di The King of GnG il lun apr 02, 2007 12:00 am, modificato 1 volta in totale.
People should just buy a cd and rip it. You are legal then" - William Henry Gates III (detto "Bill")
Avatar utente
The King of GnG
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 11144
Iscritto il: mer mar 02, 2005 8:24 pm
Località: La Biblioteca di Babele


Messaggioda Xero » lun apr 02, 2007 12:00 am

Avantieri sera hanno rotto le scatole tutti i miei contatti.

Gli intelligentoni, ce ne fosse uno che abbia rinunciato il file! [:D]

Comunque uno di essi lo ha ricevuto e mi ha detto che l'antivirus ha fatto tutto da se. Onestamente non ricordo se abbia Nod32 o Avast!
Quest'ultimo avrei dovuto installarglielo molto tempo fa, ma mi pare vada avanti ancora con Nod. (mi parlava dello splashscreen rompiballe all'avvio)
twitter → http://twitter.com/Maurizio_D

«L'innovazione è una questione di priscio.» A. D'elia
Avatar utente
Xero
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 5145
Iscritto il: mar giu 27, 2006 8:37 pm
Località: Provincia Di Matera / Bari

Messaggioda St. Alex » lun apr 02, 2007 12:37 am

io l'ho rinunciato subito. Pensate: il contatto dice di mandare un fotoalbum, giusto? quindi due o più immagini, giusto? ma il pacco è di 27kb = massimo una foto di 200x200.
Sarò intelligente o no? [:D] [:D] skerzo

ma comunque ho avuto quel pensiero, e ho subito rifiutato file
Avatar utente
St. Alex
Senior Member
Senior Member
 
Messaggi: 257
Iscritto il: mer feb 28, 2007 12:22 am
Località: Napoli

Messaggioda Amantide » lun apr 02, 2007 12:27 pm

Vedi se ti può essere d'aiuto, forse non sei riuscito a trovare ed eliminare proprio tutto tutto.
http://www.p2pforum.it/forum/showthread.php?t=174815
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda darthrevan » lun apr 02, 2007 3:32 pm

OK grazie mille proverò a usare i vostri consigli. La cosa che mi ha fregato è che io stavo veramente aspettando un album fotografico da un mio amico, per quanto riguarda la dimensione del file me ne sono accorto troppo dopo-.-.
Maledetta autoaccettazzione di msn !
Avatar utente
darthrevan
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: mer mar 15, 2006 6:59 pm

Messaggioda Amantide » lun apr 02, 2007 3:37 pm

darthrevan ha scritto:Maledetta autoaccettazzione di msn !

Naaa... maledetta pigrizia [fischio]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda H.J » lun apr 02, 2007 5:06 pm

Un'analisi del file Photoalbum.zip eseguita su VirusTotal

AhnLab-V3 2007.3.31.0 04.01.2007 Win32/ShadoBot.worm.24772
AntiVir 7.3.1.47 04.01.2007 TR/Agent.24772
Authentium 4.93.8 03.31.2007 no virus found
Avast 4.7.936.0 03.31.2007 no virus found
AVG 7.5.0.447 03.31.2007 Worm/Generic.BAG
BitDefender 7.2 04.01.2007 Worm.Sedoubot.A
CAT-QuickHeal 9.00 03.31.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.01.2007 Trojan.IRCBot-967
DrWeb 4.33 04.01.2007 BackDoor.IRC.Shadowbot
eSafe 7.0.15.0 03.31.2007 suspicious Trojan/Worm
eTrust-Vet 30.6.3527 03.31.2007 no virus found
Ewido 4.0 04.01.2007 Backdoor.IRCBot.aaq
FileAdvisor 1 04.01.2007 no virus found
Fortinet 2.85.0.0 04.01.2007 W32/Parite.fam
F-Prot 4.3.1.45 03.30.2007 no virus found
F-Secure 6.70.13030.0 04.01.2007 Backdoor.Win32.IRCBot.aaq
Ikarus T3.1.1.3 04.01.2007 Win32.SuspectCrc
Kaspersky 4.0.2.24 04.01.2007 Backdoor.Win32.IRCBot.aaq
McAfee 4997 03.31.2007 no virus found
Microsoft 1.2306 04.01.2007 no virus found
NOD32v2 2160 03.31.2007 a variant of Win32/IRCBot.WO
Norman 5.80.02 03.31.2007 W32/Malware.NKD
Panda 9.0.0.4 04.01.2007 no virus found
Prevx1 V2 04.01.2007 no virus found
Sophos 4.16.0 03.30.2007 no virus found
Sunbelt 2.2.907.0 03.31.2007 VIPRE.Suspicious
Symantec 10 04.01.2007 no virus found
TheHacker 6.1.6.083 03.30.2007 no virus found
UNA 1.83 03.16.2007 no virus found
VBA32 3.11.3 04.01.2007 suspected of Trojan-PSW.Pinch.130 (paranoid heuristics)
VirusBuster 4.3.7:9 03.31.2007 no virus found
Webwasher-Gateway 6.0.1 04.01.2007 Trojan.Agent.24772
Trend Micro 8.310-1002 TROJ_IRCBOT.ST

Se lo volete scaricare lo trovate qui:


Ciao H.J [^]
Avatar utente
H.J
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: lun feb 05, 2007 5:03 pm

Messaggioda The King of GnG » lun apr 02, 2007 5:14 pm

Io direi che quel link sarebbe da rimuovere, e pure in fretta......
People should just buy a cd and rip it. You are legal then" - William Henry Gates III (detto "Bill")
Avatar utente
The King of GnG
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 11144
Iscritto il: mer mar 02, 2005 8:24 pm
Località: La Biblioteca di Babele

Messaggioda crazy.cat » lun apr 02, 2007 5:19 pm

The King of GnG ha scritto:Io direi che quel link sarebbe da rimuovere, e pure in fretta......

Fatto.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda BilloKenobi » lun apr 02, 2007 5:45 pm

lo stiamo analizzando su suspectfile, per ora ecco quello che io e lucass abbiamo ricacciato

inettatosi in explorer.exe, aggiunge i seguenti files:
%windows%\photo album.zip
%windows%\rdihost.dll

Esegui i comandi per disattivare il centro sicurezza e il firewall di windows in questo modo modifica anche i valori nel registro riferiti a questi servizi
net stop "Security Center"
net stop SharedAccess

Aggiunge queste chiavi e valori

HKEY_CLASSES_ROOT\CLSID\{random}

HKEY_CLASSES_ROOT\CLSID\{random}\InProcServer32
@="rdihost.dll"
HKEY_CURRENT_USER\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\rdihost
Ultima modifica di BilloKenobi il mar apr 03, 2007 12:20 am, modificato 1 volta in totale.
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda M@ttia » lun apr 02, 2007 7:07 pm

Scusa l'ignoranza, ma come può il salvataggi odi un file .zip immediatamente infettare Windos senza che sia stato né aperto né cliccato né nulla? (intendo per quelli che hanno autoaccettato il file)?
</IE><FIREFOX>
Avatar utente
M@ttia
Moderatore
Moderatore
 
Messaggi: 8363
Iscritto il: lun giu 09, 2003 2:18 pm
Località: Ticino - Estero

Messaggioda BilloKenobi » lun apr 02, 2007 8:24 pm

infatti deve essere eseguito il file .pif contenuto all'interno [;)]
Begun the Clone War has
Avatar utente
BilloKenobi
Senior Member
Senior Member
 
Messaggi: 453
Iscritto il: gio ago 10, 2006 11:06 am

Messaggioda M@ttia » lun apr 02, 2007 9:37 pm

BilloKenobi ha scritto:infatti deve essere eseguito il file .pif contenuto all'interno [;)]
Ah appunto, l'avevo unzippato per curiosità e poi cancellato, ma non capivo come potesse aver comunque agito... [^]
</IE><FIREFOX>
Avatar utente
M@ttia
Moderatore
Moderatore
 
Messaggi: 8363
Iscritto il: lun giu 09, 2003 2:18 pm
Località: Ticino - Estero

Messaggioda darthrevan » lun apr 02, 2007 10:05 pm

Ecco fatto, backdoor rimosso. Grazie a tutti, un particolare ringraziamento a Amantide, il forum che mi hai linkato mi è stato molto utile anche se delle chiavi di registro li elencate non le ho trovate, spero soltanto che i problemi non ritornino, grazie ancora.Ciao al prossimo post [;)]
Avatar utente
darthrevan
Neo Iscritto
Neo Iscritto
 
Messaggi: 8
Iscritto il: mer mar 15, 2006 6:59 pm

Messaggioda gimli » ven apr 06, 2007 1:56 pm

avete notizia di questo nick contenente virus che gira su msn... dadecarlo@hotmail it





da quel che m'han detto sembra che formatti il pc e inoltre si autoesegue anche se non l'accettate, basta che uno dei vostri contatti l' accetti e automaticamente venite infettati anche voi
Avatar utente
gimli
Aficionado
Aficionado
 
Messaggi: 109
Iscritto il: gio feb 22, 2007 11:16 am

Messaggioda Amantide » ven apr 06, 2007 2:00 pm

gimli ha scritto:avete notizia di questo nick contenente virus che gira su msn... dadecarlo@hotmail it





da quel che m'han detto sembra che formatti il pc e inoltre si autoesegue anche se non l'accettate, basta che uno dei vostri contatti l' accetti e automaticamente venite infettati anche voi

[acc2]
Ma come fate a credere a tutte queste bufale? [nonono]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Messaggioda gimli » ven apr 06, 2007 2:05 pm

non essendo esperti in materia? [:D] [fischio]
Avatar utente
gimli
Aficionado
Aficionado
 
Messaggi: 109
Iscritto il: gio feb 22, 2007 11:16 am

Messaggioda Amantide » ven apr 06, 2007 2:19 pm

gimli ha scritto:non essendo esperti in materia? [:D] [fischio]

Il buon senso, no?
Hai mai sentito dire qualcuno che un file ricevuto tramite MSN ha formattato il pc? NO! Mai letto qualcosa del genere in rete? NO!
Quindi? [fischio]

http://www.attivissimo.net/antibufala/a ... ovirus.htm
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising