Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

MLI Virus News

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

MLI Virus News

Messaggioda EntropheaR » mar mag 13, 2008 11:34 pm

Questa discussione ha il compito di raccogliere tutte le segnalazioni inerenti virus ed, exploit presenti su siti che sono stati attaccati **recentemente** e a fornire i consigli per una rapida soluzione del problema.

Non sono articoli ne news, il taglio deve essere breve, anzi brevissimo.

Una segnalazione dovrà contenere il *nome del virus* o della cosa trattata, una breve *descrizione* di quello di cui si sta parlando, e *uno o più link a guide e tool per la rimozione.* (meglio sarebbe se assieme alla segnalazione scriveste un articolo da pubblicare su mli per rimuovere il problema di turno)

Segnalazioni incomplete saranno rimosse (salvo diversamente specificato).

Ribadisco: non vogliamo dirottare sul forum contenuti del portale, per cui, se avete scritto una guida per rimuovere il problema di turno è molto più gradita ed utile la pubblicazione sul sito rispetto ad una segnalazione in questa discussione.
Nulla vi vieta di fare entrambe ;)

Se il virus lo avevamo a disposizione, riportiamo anche il link delle analisi del file infetto su VirusTotal.com.

Ultimo puno: 1 Messaggio ==> 1 Segnalazione
Ultima modifica di EntropheaR il mer lug 23, 2008 9:34 am, modificato 1 volta in totale.
Avatar utente
EntropheaR
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 12742
Iscritto il: gio feb 20, 2003 11:31 pm
Località: Zena

Trojan Zlob, Nuova Variante

Messaggioda ste_95 » mer mag 14, 2008 6:01 am

Trojan Zlob, Nuova Variante
E' da pochi giorni disponibile in rete una nuova variante del rinomato Trojan Zlob, il malware che si spaccia per un codec per installarsi nel computer dell'ignota vittima.
Il principale compito del trojan è l'installazione di altri software malevoli, principalmente rogue antivirus, proprio per questo visualizza spesso messaggi che dovrebbero convincere l'utente a installare decine di software nocivo.
Per la sua rimozione possiamo affidarci a Rogue Remover Free o ad Avenger se vogliamo rimuovere il trojan manualmente.

Il file che da origine all'infezione è attualmente riconosciuto da 20 antivirus su 32 come Trojan Zlob, come si può notare in questa analisi di VirusoTotal.com

In questo articolo prendiamo in esame il trojan e approfondiamo la sua rimozione.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Sito vincolante Istant Access

Messaggioda ste_95 » mer mag 14, 2008 8:38 pm

Sito vincolante Istant Access
Questo sito propone al download il rinomato dialer Istant Access, giriamo assolutamente alla larga da esso!

L'analisi del trojan e la guida alla sua rimozione è disponibile in questo articolo.

Il trojan è attualmente riconosciuto da 17 antivirus su 32, come indica l'analisi su VirusTotal.com.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


MessengerSkinner, virus contagioso

Messaggioda ste_95 » gio mag 15, 2008 6:14 am

MessengerSkinner, virus contagioso
Rimane online e funzionante il sito di MessengerSkinner, che continua a vincolare il suo programma che oltre a fornire emoticon viste e vecchie, installa un rootkit nel computer, precisamente una variante di CiD mascherata appunto da rootkit.

Il sintomo più evidente è proprio la comparsa persistente di finestre pop-up indesiderate.

Sfortunatamente molti siti importanti (ImageShack...) si sono affiliati con MessengerSkinner senza conoscere i danni di questo software, raccomando quindi di non scaricare MessengerSkinner da nessun sito ve lo proponga.

Attualmente solo 6 antivirus su 32 riconoscono il file come infetto: Avira Antivir, Avast, GData, Ikarus, Sunbelt e Webwasher-Gateway.

In questo articolo analizziamo il programma, il rootkit e vediamo come rimuoverlo efficacemente.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Nuova variante Bagle

Messaggioda ste_95 » gio mag 15, 2008 4:55 pm

Nuova variante Bagle
Prendo oggi come data simbolica dell'uscita della nuova variante del Virus/Worm/Rootkit Bagle.
La sua propagazione avviene tramite canali P2P, eMule in primis, la diffusione avviene ancora promettendo crack/programmi piratati.
Il file eseguibile è contenuto in un archivio all'interno del quale vi è sempre anche un file di nome cracked.nfo.

I sintomi rimangono gli stessi, e per la rimozione, potete affidarvi alle istruzioni dettate da questo articolo che, almeno per ora, rimane valido.

Il file che genera l'infezione è attualmente riconosciuto da soli 6 antivirus su 32, come si può notare in questa analisi. In ogni caso ho appena provveduto a inviare il file infetto ai laboratori Avira.

La raccomandazione rimane sempre la stessa, scansionare i file (Soprattutto se si tratta di crack/keygen) scaricati da eMule su VirusTotal.com!
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Nuova variante Bagle

Messaggioda The King of GnG » gio mag 15, 2008 5:38 pm

ste_95 ha scritto:Nuova variante Bagle


Ehm, ste, "Worm.Bagle.ZZA.Gen!Pac" è evidentemente una firma generica, utilizzata dagli antivirus già quasi un mese fa....

Io credo che, piuttosto che concentrarsi su nuove varianti di malware ben noti - di Bagle esce una variante ogni pochi giorni - il thread sarebbe utile per segnalare infezioni effettivamente nuove.

Altrimenti il risultato è uno stillicidio di informazioni e "warning!" ridondanti non particolarmente produttivo o utile ad alcunché....
People should just buy a cd and rip it. You are legal then" - William Henry Gates III (detto "Bill")
Avatar utente
The King of GnG
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 11144
Iscritto il: mer mar 02, 2005 8:24 pm
Località: La Biblioteca di Babele

Italian.Eazel

Messaggioda ste_95 » mar mag 27, 2008 7:35 pm

Italian.Eazel
Segnalo il sito Italian.Eazel.Com. Il sito distribuisce installazioni di programmi assolutamente legittimi ma che vengono modificati dallo stesso sito che setta Italian.Eazel come pagina iniziale e installa adware/spyware nel computer.

Tutto quello che lì viene proposto è assolutamente da evitare, esistono i siti ufficiali dai quali scaricare senza correre nessun rischio.
Ultima modifica di ste_95 il gio giu 19, 2008 8:43 pm, modificato 1 volta in totale.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Max01 » mar mag 27, 2008 8:28 pm

italian.ircfast.com
Così come italian.eazel.com, anche italian.ircfast.com è assolutamente da evitare.
"Vederselo davanti è un’esperienza che non si dimentica. Il Maine Coon è davvero un gatto enorme, imponente e regale.
Avatar utente
Max01
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1975
Iscritto il: sab feb 23, 2008 3:00 pm
Località: Firenze

Messaggioda cops » mar giu 10, 2008 10:51 am

10-06-08

kaspersky trova

Codice: Seleziona tutto
Virus.Win32.Gpcode.ak


Bisogna stare allerti!!! Per info clickare QUI!!!

http://www.viruslist.com/en/alerts?alertid=203996088
La lotta ai virus informatici è più dura di quelli biologici.
Avatar utente
cops
Neo Iscritto
Neo Iscritto
 
Messaggi: 10
Iscritto il: sab giu 07, 2008 7:22 pm

new-messenger.com

Messaggioda ste_95 » mer giu 18, 2008 6:38 am

new-messenger.com
Sembra un sosia di MessengerSkinner, a giudicare dalla licenza.

Attualmente, solo The Hacker lo identifica come Trojan/DNSChanger.dat:

http://www.virustotal.com/it/analisis/7 ... fbeab5fdcd

Viene proposto al download cercando Messenger e i suoi derivati. Pesa 111 kb e non è di certo il vero Messenger.
Ho appena spedito il sample ad Avira.
Ultima modifica di ste_95 il gio giu 19, 2008 8:43 pm, modificato 1 volta in totale.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda ste_95 » mer giu 18, 2008 2:50 pm

ste_95 ha scritto:new-messenger.com
Sembra un sosia di MessengerSkinner, a giudicare dalla licenza.

Attualmente, solo The Hacker lo identifica come Trojan/DNSChanger.dat:

http://www.virustotal.com/it/analisis/7 ... fbeab5fdcd

Viene proposto al download cercando Messenger e i suoi derivati. Pesa 111 kb e non è di certo il vero Messenger.
Ho appena spedito il sample ad Avira.

Che sia questo nuovo DNSChanger, come dice TheHacker? [uhm]
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Virus.Win32.Gpcode.ak

Messaggioda ste_95 » gio giu 19, 2008 8:42 pm

cops ha scritto:10-06-08

kaspersky trova

Codice: Seleziona tutto
Virus.Win32.Gpcode.ak

Credo di essere in grado di dare maggiori informazioni.

Il virus cripta il contenuto di ogni file con determinato formato e ne cancella l'originale, ponendo nella cartella un file con richiesta di riscatto per ottenere la chiave che attualmente è l'unica cosa in grado di decriptare i file cifrati.
Per debellare l'infezione è necessario ricorrere a specifici tool per recuperare i file originali eliminati dal virus, e ridare a essi il loro nome.

Domani lo provo staccando tutti gli hard disk e le memorie di massa e vedo come funziona, in arrivo l'articolo.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Attenzione al phishing via Messenger

Messaggioda ste_95 » dom giu 29, 2008 7:11 am

Attenzione al phishing via Messenger
Ecco che una nuova forma di phising prende piede sul circuito di messaggistica istantanea Microsoft, proponendo false schermate di login.

Potrebbero arrivarvi in questi giorni messaggi spediti apparentemente da un contatto non in linea, contenenti un semplice link. Il sito di destinazione propone un falso form di login per effettuare l'accesso con il proprio account Windows Live Messenger oppure Yahoo! Messenger.

Leggi la news.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Firefox Ultimate Optimizer

Messaggioda ste_95 » ven lug 04, 2008 12:27 pm

Firefox Ultimate Optimizer
Sembra un plug-in per Mozilla, e lo è, solo che contiene un adware che 10 antivirus su 32 riconoscono.

Da non installare.

Qui le analisi su VirusTotal.com

PS. Il file è stato inviato ad Avira.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda Pacopas » sab lug 05, 2008 2:48 pm

Cercate di mantenere il post pulito per favore.
E' un post di segnalazione.
Per discutere ci sono le apposite sezioni, o i MP.
Vi ringrazio per la collaborazione
[grazie]
alla fine... ogni uomo considera i limiti della propria visione personale come i limiti del mondo...
Avatar utente
Pacopas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6708
Iscritto il: mer ott 05, 2005 12:44 am

Messaggioda ballacoilupi72 » sab lug 05, 2008 3:40 pm

PANDA ANTIVIRUS 2008
Ho trovato in rete un malware ancora poco conosciuto, su Virus Total è identificato solo da 6 antivirus come Adware/Casinò Online o simile...
la denominazione del file è Panda Antivirus 2008.exe, per cui imita il file originale di setup di Panda Antivirus.
Attenzione quindi!
questi i risultati su Virus Total
[;)] [^] ho già provveduto a mandarlo a Panda Security.
la MUSICA è l'unica promessa mantenuta!
Avatar utente
ballacoilupi72
Silver Member
Silver Member
 
Messaggi: 1293
Iscritto il: lun gen 02, 2006 6:56 pm
Località: Savignano Sul Rubicone

Si chiude explorer se solo tenti di cercare un antivirus?

Messaggioda ZaC » ven lug 25, 2008 1:03 am

Salve a tutti!
Scrivo questo post perché spero possa essere d'aiuto a quanti come me subiscono gli influssi di uno strano virus.
Preciso che non conosco ne' il nome del virus, ne' se la soluzione che vi propongo sia completa.

Sintomi visibili dell'"infezione":
- chiusura di explorer se si tenta di accedere a molti dei siti di sicurezza informatica;
- chiusura di explorer se si effettua una ricerca su motori come google di determinati termini inerenti l'ambito della sicurezza informatica (es.: "kaspersky", "antivirus", "remove virus" etc etc);
- impossibilità di installare determinati antivirus (l'unico che sono riuscito ad installare è stato avg free edition il quale però non ha trovato nulla);
- malfunzionamento di programmi antispyware come Spybot S&D;

Soluzione:
- disattivare il Ripristino configurazione di sistema;
- scaricare ed aprire gmer (stranamente non inibito);
- cliccare sulla task ">>";
- in "Processes" individuare il processo "winlogon.exe" (tipicamente C:\WINDOWS\system32\winlogon.exe) e cliccarci sù;
- nella task "Libraries" individuare una libreria (file con estensione .dll) "anomala"; (leggere NOTA 1)
- prendere nota del nome e del percorso della dll (nel mio caso era sempre C:\WINDOWS\system32);

- LEGGERE NOTA 1 prima di proseguire!!! Più avanti si dovrà eliminare questa dll, scegliere quella sbagliata vorrebbe dire rendere inutilizzabile il processo winlogon, necessario per le politiche di autenticazione del windows

- scaricare ed avviare il programma undll, utility dell'antivirus nod32 ottima per eliminare dll indesiderate e chiavi di registro inerenti;
- cliccare "Select infected DLL";
- inserire il percorso ed il nome della dll (ad esempio io ho dovuto scrivere "C:\windows\system32\cbaaaaded.dll");
- se si sarà scelto la giusta dll (e me lo auguro fortemente) apparirà una finestra con messaggio "The selected file doesn't have a standard DLL executable format. Do you want to continue?" cliccare su "Yes" ed attendere che il programma faccia il suo lavoro;
- riavviare windows (ammesso che non lo abbia già fatto automaticamente il programma);
- riattivare il "Ripristino configurazione di sistema";

Adesso finalmente si potranno installare tutti gli antivirus possibili ed immaginabili, visitare tutti i siti di sicurezza informatica che si voglia ed eventualmente fare una bella scansione online!

Spero di essere stato d'aiuto... per capire dove fosse il problema ho perso due giorni della mia vita!!! [rolleyes]

PS: chiunque sappia di che virus si tratti e voglia integrare quanto da me scritto è ben accetto. Purtroppo non ho avuto modo di fare una copia della dll poichè non avevo i permessi sufficienti (nonostante fossi loggato da amministratore...) ne' di farne una scansione online visto che anche virustotal era inaccessibile... tra l'altro nessun antivirus ha rilevato nulla dopo l'eliminazione di questa fastidiosissima dll.

NOTA 1: purtroppo non posso dare molte indicazioni sul nome di questa dll poiché composto da lettere random (nel mio caso era cebaaaaded.dll), l'unico consiglio per scegliere opportunamente la libreria che causa tutti questi problemi è di individuare un nome senza significato e cercarlo su un motore di ricerca. Ad esempio la dll iphlpapi potrebbe sembrare senza significato ma in realtà non lo è (IP Helper API) e se se ne effettua una ricerca su qualsiasi motore si troveranno diversi link relativi a questa libreriria. Se non trovate alcun risultato molto probabilmente è la dll da eliminare.
DISORDER THIS ORDER
Avatar utente
ZaC
Aficionado
Aficionado
 
Messaggi: 72
Iscritto il: lun lug 21, 2008 6:09 pm

GpCode, novità!

Messaggioda ste_95 » mar ago 12, 2008 11:14 am

Da un'intervento sul blog di Kaspersky, sembra sia spuntata una nuova variante del ransomware GpCode, il celeberrimo virus che cripta i dati contenuti nelle unità e chiede un riscatto in denaro per avere la chiave di decriptazione. Non sono troppo consistenti le novità portate dalla nuova varianti, ma vale la pena parlarne.

Sono alla ricerca del sample per aggiornare l'articolo.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda clic » mer ago 20, 2008 9:08 am

Da ZDNet un allarme per un metodo di diffusione del malware tramite Flash (l'ennesimo). Sfruttando una funzione di Flash (lo odio) che le permette di interagire con la clipboard di sistema, il codice presente nel banner forgiato ad arte, costringe l'utente (hijacking) all'unica azione possibile che è quella di installare un fake antivirus. Tali banner sono stati rilevati in siti commerciali di un certo peso (Newsweek, Digg e MSNBC.com.)

Fonte in inglese
http://blogs.zdnet.com/security/?p=1733

E' da circa un mese che rilevo questo comportamento in alcuni computer che gestisco e tutti durante la navigazione su siti al di sopra di ogni sospetto. Fortunatamente vengo sempre chiamato prima che l'attacco vada a buon fine (le mie pecorelle chiamano allarmate e non toccano più nulla, le ho addestrate bene [:D]) e ciò mi permette di verificare, dopo aver semplicemente killato con il taskmanager il browser) se effettivamente sono stati visitati siti sospetti.
La maggior parte delle chiamate mi è arrivata da chi ha ancora Windows 2000 e quindi IE6. L'unico caso in cui l'attacco è andato a segno si trattava di un furbone che avevo fatto amministratore della macchina (mea culpa) e che aveva a bordo XP.
Non so se ciò è correlato con la tecnica di cui si parla nella notizia che ho riportato, ma sta di fatto che l'attacco termina con il tentativo di installazione di un fantomatico Vista Antivirus 2008 o 2009 (va a giornate [...] ) e che al riavvio presenta all'utente un desktop privo di qualsiasi accesso a strumenti amministrativi (taskmanager, regedit, Esegui... ecc.)
Rimane comunque il fatto che sul piano della sicurezza non è interessante tanto il malware inoculato quanto la tecnica ed il vettore usato per l'attacco.
Avatar utente
clic
Bronze Member
Bronze Member
 
Messaggi: 931
Iscritto il: lun mar 17, 2008 9:03 pm

Re: MLI Virus News

Messaggioda ste_95 » dom set 14, 2008 1:26 pm

www.ircdown.com
Si tratta di un altro sito molto simile a italian.eazel che distribuisce falsi installer dei più svariati programmi freeware per Windows. Io ho trovato Avast navigando in giro, ma accedendo all'homepage troviamo di tutto.

Si tratta di un sito spagnolo i cui installer sono riconosciuti da una buona parte di antivirus, come è possibile vedere in questa analisi. Si tratta comunque di programmi relativamente innocui, a parte cambiare l'homepage e fare qualche modifica alla navigazione non dovrebbero fare.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising