Salve a tutti,

dal momento che ho letto in altri thread che alcuni utenti hanno avuto problemi a rimuovere questo trojan, vi segnalo che ho scritto e rilasciato un cleaner dedicato. Il cleaner rimuove

1) il file infetto
2) la chiave di registro creata/usata dal trojan
3) l'account protetto con password creato/usato dal trojan
4) l'albero di directory creato dal trojan

Il cleaner (è un cleaner "puro", non uno scanner) richiede almeno Windows 2000 o S.O. superiori (ad es. Windows XP/2003) e puo' eliminare il trojan sia su filesystem NTFS (con o senza Encryption File System presente) che FAT32.

Il cleaner puo' essere prelevato qui

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

ciao,
Paolo.

Ciao Paolo,

ti ho scritto un'e-mail :) Ben fatto ;)

Sicuramente da provare,grazie,non per essere scettico ma dubito della completa efficacia,non per qualcosa, ma perchè le entrate del malware sono tutte random(servizi,files,chiavi di avvio,account utente, ecc ecc)

Grazie ancora

Sicuramente da provare,grazie,non per essere scettico ma dubito della completa efficacia,non per qualcosa, ma perchè le entrate del malware sono tutte random(servizi,files,chiavi di avvio,account utente, ecc ecc)

Grazie ancora

Non preocuparti riguardo a questo problema: il cleaner è stato scritto per gestire questa caratteristica. E' sufficiente selezionare il file infetto, al resto provvede il cleaner.

ciao,
Paolo.

Ciao Paolo,

ti ho scritto un'e-mail :) Ben fatto ;)

Grazie, Marco: e-mail letta e replica inviata :)

a presto,
Paolo.

Quindi non è un tool automatico :D :D
Si seleziona il file,appare la finestra, si clicca su ok ed esce la schermata con le operazioni effettuate(found/not found)
Rimozione account
Rimozione file selezionato
Rimozione chiavi
etc...

Si ho appena visto,di solito sono una 10 di files da eliminare,magari in una prossima release aggiungere l'opzione di + files da eliminare contemporaneamente senza riselezionarli di nuovo.

Grazie ancora per il tool :)

Quindi non è un tool automatico :D :D


Considera che, come scrivevo all'inizio del thread, non si tratta di uno scanner :) Non è possibile controllare il file del servizio sotto NTFS + EFS, dato che il file è cifrato attraverso un account protetto. Avrei potuto usare una procedura piu' euristica, diciamo cosi', ma piu' soggetta ad errori, quindi tutto sommato ho preferito lasciare all'utente una possibilita' di intervento diretta.


Si seleziona il file,appare la finestra, si clicca su ok ed esce la schermata con le operazioni effettuate(found/not found)


Esatto.


Si ho appena visto,di solito sono una 10 di files da eliminare,magari in una prossima release aggiungere l'opzione di + files da eliminare contemporaneamente senza riselezionarli di nuovo.


Sotto Windows 2000 / XP, in una sottodirectory scelta a caso sotto "File Comuni" (in genere, "System" o "Microsoft Shared") Agent.VP crea soltanto il file eseguibile del servizio, che modifica ad ogni nuovo startup del sistema. Tutti gli altri file, che possono essere svariate decine e sono diversi da sistema a sistema, sono creati in un albero di directory sotto "Document and Settings": il cleaner li elimina tutti.

ciao,
Paolo.

Da quello che ho visto io crea i file crittografati(verdi)con nome random in
C:\Programmi\File comuni\System
C:\Programmi\File comuni\Microsoft Shared
Come dicevi tu

Poi il servizio con nome random che riporta ai percorsi sopra citati,account utente aggiunto(cartella in documenti and setting\account aggiunto)
Files con nome riservati(com,lpt,nul,prn etc) di solito in Windows o Windows\System32 di solito questi file vengono caricati all'avvio con questa chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = \\?\C:\WINDOWS\system32\lpt6.lpl

Invisibile ad occhio nudo(gmer lo visualizza),nei sistemi ntfs usa gli ads sempre con quella chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = C:\WINDOWS\system32:autoftt.exe

Oppure ddl con nomi causali iniettate in:
Library C:\WINDOWS\aehpc1.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1384] 0x03850000 <-- ROOTKIT !!!
Library C:\WINDOWS\aehpc1.dll (*** hidden *** ) @ C:\Programmi\Internet Explorer\IEXPLORE.EXE [3144] 0x02AB0000 <-- ROOTKIT !!!

Ultimamente la rimozione degli ads è complicata dato che il file è bloccato da un altro programma(quale non lo so)so solo che sto linkoptimizer è un dannato :D

Grazie per l'attenzione :)

Da quello che ho visto io crea i file crittografati(verdi)con nome random in
C:\Programmi\File comuni\System
C:\Programmi\File comuni\Microsoft Shared
Come dicevi tu
[SNIP]


Hmmm... Sei del tutto certo che sia l'eseguibile di Agent.VP a creare quelle chiavi nascoste e gli ADS? Ho controllato i sistemi infetti sia con vari Rootkit scanners che con ADS revealers, e non risulta nulla del genere.

Marco mi scriveva che l'istallazione di Agent.VP viene effettuata anche da un trojan downloader che installa i rootkit da te descritti. Quindi il processo di infezione del sistema di cui parli è causato da vari elementi (mentre il cleaner è dedicato al solo trojan Agent.VP, non a LinkOptimizer).

Non ho usato GMER, comunque. In ogni caso, grazie mille per l'utilissima segnalazione, faro' qualche altro test anche con questo programma :)

ciao,
Paolo.

sinceramente sicuro al 100% no.
Nod non riconosce gli ads di cui ti parlo :)
forse non ti è capitata questa variante.
Guarda negli ultimi giorni ne ho visti molti di log infetti da sto dannato
http://www.suspectfile.com/forum/viewforum.php?f=4
per caso,hai avuto sotto mano il file google.com?
NOD32
Found probably unknown NewHeur_PE (probable variant)
pare che sia lui uno dei responsabili di tutto questo

Ciao :)

eh, se Dio vuole rilascio un pdf con analisi completa domani, ci sto lavorando da un paio di giorni.

é che lavoro meglio di notte :)

sinceramente sicuro al 100% no.
Nod non riconosce gli ads di cui ti parlo :)

magari non riconoscesse solo quelli :cry:

Pure io lavoro la notte :D :D :D

sinceramente sicuro al 100% no.
Nod non riconosce gli ads di cui ti parlo :)
forse non ti è capitata questa variante.
Guarda negli ultimi giorni ne ho visti molti di log infetti da sto dannato
http://www.suspectfile.com/forum/viewforum.php?f=4
per caso,hai avuto sotto mano il file google.com?


Me l'ha appena girato via e-mail un amico :-) Purtroppo, credo che ne esistano diverse varianti :muro:

Questa sera faccio qualche altro test su Agent.VP, cosi' stabiliamo quale elemento è il responsabile dei rootkit: ti/vi tengo informati sugli sviluppi.

ciao,
Paolo.

Buon lavoro :D
gli ads ti servono?

Ciao

Pure io lavoro la notte :D :D :D

Allora siamo in tre :cool:

ciao,
Paolo.

Buon lavoro :D
gli ads ti servono?

Ciao

Manda pure, grazie (paolo dot monti at nod32 dot it). Per favore, metti tutto dentro un file ZIP protetto con la password "infected".

ciao,
Paolo.

Paolo se ti servono info o scambi di idee sai dove trovarmi :)

Marco

ciao a tutti,
concordo con lucas84, credo impossibile creare un fix unico atto a rimuovere le tante varianti che il trojan installa.
Lo stesso Kaspersky 6 è inerme se il trojan è già residente, nonostante gli avessimo inviato un .exe (http://www.suspectfile.com/forum/viewtopic.php?t=240) e la Kaspersky Lab. avesse rilasciato le impronte virali, non è stato in grado di riconoscere il file ****1.exe (*=lettere random) presente in C:\Windows\Temp così come non è stato in grado di riconoscere il file ***.exe (lettere random) presente in C:\Programmi\File comuni\System\ (HKLM\SYSTEM\CurrentControlSet\Services\).

NB
Il riconoscimento del file ****1.exe ha avuto esito positivo su una macchina non infetta

Non credo vi sia, al momento almeno, un antivirus capace di riconoscere tutte le variabili che il trojan installa sulla macchina.
E credo infine che gli sforzi vadano indirizzati anche a favore di quelle persone poco esperte di computer, senza nulla togliere chiaramente al lavoro che P. Monti svolge da diverso tempo, bisogna infatti ringraziare anche lui se esistono tools gratuiti atti alla rimozione dei più "importanti" malware in senso generale.

Marco.

Per piacere, vedi se sono arrivati, non vorrei aver sbagliato indirizzo :D :D

:)

mi iscrivo per vedere gli sviluppi......

Tanto di cappello ai vostri sforzi.....

ciao a tutti,
concordo con lucas84, credo impossibile creare un fix unico atto a rimuovere le tante varianti che il trojan installa.


Scusami, stai parlando di Agent.VP o di LinkOptimizer? Del primo, non risultano varianti particolari. Del secondo, si'.

Ad ogni modo, Agent.VP non puo' essere rimosso attraverso identificazione, se si trova su NTFS + EFS: in una situazione del genere, lo scanner non puo' decifrare il file. Gli scanner possono solo segnalare che non sono riusciti ad accedere a un determinato file. In questi casi, la rimozione puo' essere affidata solo a cleaner che non usino tecniche di scansione, come il mio fix o altri strumenti sul tipo di The Avenger; quest'ultimo, pero', nel nostro caso eliminerebbe soltanto la chiave nel Registry e il file infetto, dato che si tratta di un programma generico e non di qualcosa di dedicato come il mio cleaner, richiedendo inoltre un'analisi preventiva del sistema per identificare il percorso della chiave di Registro e lo skill tecnico necessario a gestire gli script di The Avenger, cosa piuttosto ardua per l'utente medio.
In questo caso specifico, una volta che il trojan è impiantato nel sistema, il meglio che si puo' fare consiste solo nel minimizzare lo sforzo necessario a rimuovere il trojan. La serie degli Agent purtroppo è constellata di veri e propri "mostri" molto, molto difficili da eliminare. I loro autori usano molte tecniche diverse per raggiungere il massimo della persistenza su disco.


P. Monti svolge da diverso tempo, bisogna infatti ringraziare anche lui se esistono tools gratuiti atti alla rimozione dei più "importanti" malware in senso generale.
Marco.

Grazie, Marco. Non solo per le tue parole, ma soprattutto per l'attivita' che svolgi: ben nota ed apprezzata.

ciao,
Paolo.

Per piacere, vedi se sono arrivati, non vorrei aver sbagliato indirizzo :D :D

:)

Tutto OK, grazie! :)

ciao,
Paolo.

Ho alcune varianti di TR.Agent.VP (i nomi sono quelli di AVIRA)

TR.Agent.VP.2
TR.Agent.VP.3
TR.Agent.VP.22
TR.Agent.VP.25
TR.Agent.VP.33
TR.Spy.Agent.VP

Possono interessarti per migliorare il tool?

Alcune aziende, individuano i files del linkoptimizer come variante di trojan agent, quindi penso che non siano malware cosi distinti,forse uno è veicolo dell'altro,prego per i files :)

Scoperto qualcosa di nuovo? :D

Ciao

PS:Per esempio il file LinkOptimizer.dll viene identificato dalla nod come
prob. variante Win32/TrojanDownloader.Agent.BQ

eh, se Dio vuole rilascio un pdf con analisi completa domani, ci sto lavorando da un paio di giorni.


Da quello che ho potuto leggere in anteprima, mi sembra un lavoro ottimo: hai pensato di sottoporlo al Virus Bulletin?

ciao,
Paolo.

Ho alcune varianti di TR.Agent.VP (i nomi sono quelli di AVIRA)

TR.Agent.VP.2
TR.Agent.VP.3
TR.Agent.VP.22
TR.Agent.VP.25
TR.Agent.VP.33
TR.Spy.Agent.VP

Possono interessarti per migliorare il tool?

I nomi ci aiutano poco, purtroppo. Ho letto in giro delle analisi su Agent.VP che non c'entrano nulla con il "nostro" Agent.VP, proprio a causa dell'ingannevolezza del nome. Ad Eset, risulta un solo Agent.VP vero e proprio, che e' quello su cui sto lavorando e che presenta la nota sintomatologia. Hai provato a inviarli su VirusTotal per vedere come vengono identificati i file dai vari scanner?

ciao,
Paolo.

Da quello che ho potuto leggere in anteprima, mi sembra un lavoro ottimo: hai pensato di sottoporlo al Virus Bulletin?

ciao,
Paolo.

mi sputano in un occhio e poi in quell'altro se non mi sono ancora scansato :D

Alcune aziende, individuano i files del linkoptimizer come variante di trojan agent, quindi penso che non siano malware cosi distinti,forse uno è veicolo dell'altro,prego per i files :)


Sono interconnessi: estono malware che installano Agent.VP come parte della loro "catena di infezione". Un po' come avviene per il rootkit FU di Fuzen Op (aka James Butler), installato da moltissime varianti di trojan.downloader e spyware.


Scoperto qualcosa di nuovo? :D


No, non ho avuto ancora tempo :-) La replicazione di Agent.VP richiede un po' di tempo e attenzione: non puo' essere fatta sotto VMWare, dove sono riuscito a "forzarla" solo modificando il flusso delle istruzioni con un debugger, cosa di cui non mi fido per ottenere risultati certi.

Tutti gli altri test li ho fatti su "Live Machine", cioe' computer reali: ma ora mi trovo a lavorare in una altra sezione dell'ufficio, lontano dal mio laboratorio.

ciao,
Paolo.

mi sputano in un occhio e poi in quell'altro se non mi sono ancora scansato :D

Tranquilo, hombre: per quanto ne so nessuno li' fa di queste cammellate :) La prima parte è buona. Ora dipende tutto dalla seconda.

Ma, per fare una riflessione alla Kalisutra: se alla tua eta' non riesci a fare bene la seconda, mi sa che è la tua ragazza quella che ti sputa... per prima ;)

ciao,
Paolo.

P.S. E' piaciuto anche a Luca. Ma l'inglese va un po' rivisto :)))

Ma, per fare una riflessione alla Kalisutra: se alla tua eta' non riesci a fare bene la seconda, mi sa che è la tua ragazza quella che ti sputa... per prima

ah non ci sono problemi per questo...non mi sputa piú nessuno :cry:

PS: per l'inglese ti racconteró poi per e-mail o telefono se ci sentiamo, ti faccio ridere :D:D Salutami calorosamente Luca, é una vita che non mi sento manco con lui :)

Ho fatto un controllo con jotti (virustotal 25-37 minuti di attessa erano troppi) :D

il risultato è il seguente
Avira NOD
Trojan/Agent.VP.2 -> Win32/Agent.NBR
Trojan/Agent.VP.2 -> Win32/Agent.NBR
Trojan/Agent.VP.3 -> Win32/Agent.VP
Trojan/Agent.VP.22 -> Win32/Small.JF
Trojan/Agent.VP.25 -> Win32/Small.NBV
Trojan/Agent.VP.33 -> :mad:
Trojan/Spy.Agent.VP -> Win32/Agent.NCW

Kaspersky tutti Trojan.Win32.Agent.vp

complimenti per l'ottimo lavoro che state svolgendo..
paolo, (posso darti del tu?) vorrei chiederti una cosa, posso in pvt?(se non disturbo)..
grazie..

Ad Eset, risulta un solo Agent.VP vero e proprio, che e' quello su cui sto lavorando e che presenta la nota sintomatologia. Hai provato a inviarli su VirusTotal per vedere come vengono identificati i file dai vari scanner?

ciao,
Paolo.

Questo?
http://www.suspectfile.com/forum/viewtopic.php?t=198

Ciao :)

Scusami, stai parlando di Agent.VP o di LinkOptimizer? Del primo, non risultano varianti particolari. Del secondo, si'.

Credo che i due non differiscano di molto, stessa tecnica per infettare (WMF) simili aggiunte:
- nuovo servizio > HKLM\SYSTEM\CurrentControlSet\Services\ [in tutti e due i casi (Agent/LinkOptim.) il nome servizio è sempre composto da 6 lettere random e sempre la 1^ e la 4^ maiuscole es.] :
LogRks /*LogRks*/@
UpdLaz /*UpdLaz*/@
NetSlz /*NetSlz*/@
SrvTqx /*SrvTqx*/@
sempre la stessa directory sia per Agent che per LinkOptim.
C:\Programmi\File comuni\System\x (x = file .exe con lettere random il numero delle lettere varia da 3 a 6)
- uno o più nuovi Account utente aggiunti

Per LinkOptim.
- aggiunta in HKLM\..\Run del valore ****1.exe = C:\WINDOWS\Temp\****1.exe (* lettere random)
- aggiunta di uno o più file con nome riservato nella %WinDir%

-Per Agent
- aggiunta di BHO > HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
dove la .dll ha sempre la medesima caratteristica > *****1.dll (* = 5 lettere random)
- la .dll viene collocata nella %WinDir%
- generalmente si avranno almeno altre due librerie con il medesimo nome ma con estensione .del e una con nome riservato es. > .qju

In entrambi i casi vi è l'aggiunta di file.exe ( i famosi file color verde) con nome random nella directory
C:\Programmi\File comuni\System\

Spero d'essermi ricordato tutto, fra il cell che continuava a squillare e la testa che non è più quella di vent'anni fa avrò tralasciato sicuramente qualcosa. :D

Grazie, Marco. Non solo per le tue parole, ma soprattutto per l'attivita' che svolgi: ben nota ed apprezzata.

ciao,
Paolo.
Negli ultimi mesi sto avendo grosse soddisfazioni personali grazie al nuovo progetto di SuspectFile che insieme a lucas84 > lucass (Gianluca) e holifay (Alessia) abbiamo creato.
Essere consapevoli d'aver potuto aiutare qualcuno, in modo del tutto disinteressato, è la cosa che più conta per tutti noi.

Un saluto
Marco

Alcune aziende, individuano i files del linkoptimizer come variante di trojan agent, quindi penso che non siano malware cosi distinti,forse uno è veicolo dell'altro,prego per i files :)

Scoperto qualcosa di nuovo? :D


Dunque, ho infettato qualche altra macchina e fatto ulteriori test, usando anche Gmer durante la fase di forensic analysis: buone notizie, posso confermare quanto avevo gia' scritto. Il trojan Agent.VP NON è responsabile della creazione degli ADS o dell'iniezione delle DLL. Il trojan, di per se', fa esattamente quanto avevo affermato :) Evidentemente, gli altri file vengono creati da altri tipi di malware, forse scaricati dallo stesso Agent.VP, che tra l'altro è un trojandownloader.

Riguardo a Gmer: non lo conoscevo, un bel programmino. Riesce a rimuovere la chiave di Registro creata dal trojan, ma non riesce in alcun modo a cancellare il file, restituendo sempre un codice d'errore NTSTATUS (evidentemente usa le funzioni kernel ZwDeleteFile e/o ZwSetInformationFile con FileDispositionInformation) uguale a 0xC0000121, che nel file ntstatus.h del DDK corrisponde all'errore STATUS_CANNOT_DELETE.

Il mio cleaner non ha questo problema e riesce a rimuovere il file :cool:

ciao,
Paolo.

Senno come si spiega la presenza in tutti i casi del trojan agent da te citato?in ogni caso da me visto,quei files che il tuo tool rimuove sono sempre presenti(nessuna eccezione),quindi,come dici anche tu,ognuno è veicolo dell'altro,per me,non c'è altra spiegazione oppure nn ne arrivo ad altre :D ,per la cancellazione dei files,IceSword http://www.xfocus.net/tools/200605/IceSword1.18en.rar
dovrebbe riuscire,qui http://www.castlecops.com/t161249-Rootkit_removal_tools.html
alcune "potenzialità" del software.

Ciao

PS:Per la ddl che ti ho mandato hai notizie?grazie

PPS: :stordita: Già che ci sono,ti volevo chiedere se sai un modo per eliminare un ads che risulta bloccato,per adesso ho provato tutto ma niente,hai qualche consigli,arigrazie :)

Dunque, ho infettato qualche altra macchina e fatto ulteriori test, usando anche Gmer durante la fase di forensic analysis: buone notizie, posso confermare quanto avevo gia' scritto. Il trojan Agent.VP NON è responsabile della creazione degli ADS o dell'iniezione delle DLL. Il trojan, di per se', fa esattamente quanto avevo affermato :) Evidentemente, gli altri file vengono creati da altri tipi di malware, forse scaricati dallo stesso Agent.VP, che tra l'altro è un trojandownloader.

Riguardo a Gmer: non lo conoscevo, un bel programmino. Riesce a rimuovere la chiave di Registro creata dal trojan, ma non riesce in alcun modo a cancellare il file, restituendo sempre un codice d'errore NTSTATUS (evidentemente usa le funzioni kernel ZwDeleteFile e/o ZwSetInformationFile con FileDispositionInformation) uguale a 0xC0000121, che nel file ntstatus.h del DDK corrisponde all'errore STATUS_CANNOT_DELETE.

Il mio cleaner non ha questo problema e riesce a rimuovere il file :cool:

ciao,
Paolo.

Paolo,

in anteprima della mia seconda parte (sarebbe quasi pronta :D) ti anticipo che l'ultima versione del rootkit fa un checksum scanner per bloccare l'esecuzione di programmi quali The Avenger o Gmer ;) :)

Mi iscrivo al thread.

E ne approfitto per i complimenti al sig. Monti :)

E ne approfitto per i complimenti al sig. Monti :)

Guardate che è un onore avere Paolo qui sul forum e, soprattutto, avere uno come lui in Italia :) È veramente un mito :D

mi intrometto al volo, così mi iscrivo anche alla discussione :D .. volevo chiedere se ci sarebbe qualcuno così gentile da fornirmi un exe per potermi infettare con agent.. volevo fare alcune verifiche.. eventualmente vi passo l'indirizzo email in pvt..

Ma tanto,senza o con checksum un modo si trova sempre per eliminarlo,i files dalla console di ripristino,per le chiavi basta cambiarli i permessi e si eliminano,rimarra difficile la diagnosi :D

Eraser in base a cosa lo fa il cheksum?

Grazie

a quanto sembra un semplicissimo crc o md5

infatti basta cambiare qualche byte del programma bloccato (nel caso ho provato con The Avenger) e torna a funzionare tranquillamente

Perfetto, io ho la versione decompressa di avenger quindi dovrebbe bastare :)

Grazie per l'info :)

Ma tanto,senza o con checksum un modo si trova sempre per eliminarlo,i files dalla console di ripristino,per le chiavi basta cambiarli i permessi e si eliminano,rimarra difficile la diagnosi :D

Il problema di fondo e': farlo nel modo piu' semplice per l'utente... e per il supporto tecnico.
Per le chiavi di Registro non basta cambiare i permessi, prima devi prendere "possesso" delle chiavi - tutte le chiavi, cioe' anche la Enum e la Security, non solo quella principale con nome casuale - assicurandoti che nel token del programma sia abilitato il SeTakeownershipPrivilege. Con il Regedit di Windows XP e superiori si puo' fare, con quello di Windows 2000 no. Nemmeno se lo si fa partire sotto account LocalSystem tramite psexec o comando AT: semplicemente manca la funzione. Sotto LocalSystem puoi vedere le chiavi ma non puoi modificarle.

Molti utenti, inoltre, non hanno il CD di Windows XP, usano solo versioni OEM. Quindi la Recovery Console non è un'opzione. Insomma, aiutarli usando solo gli strumenti forniti da Windows è un vero problema.

ciao,
Paolo.

Quindi che si fa?si formatta?
Pare questa l'unica soluzione oppure si passa ad altro

Ciao

Quindi che si fa?si formatta?
Pare questa l'unica soluzione oppure si passa ad altro

Ciao

ehhh, dai...drastico :D

Vabbè,arrivato a questo punto, o si fa a meno dei porno e dei crack o si passa ad altri sistemi operativi :D :D :D

Senno come si spiega la presenza in tutti i casi del trojan agent da te citato?


Be', la risposta era gia' nelle mie repliche :) Agent.VP puo' essere usato come una sorta di anello in tutta la catena d'infezione, come gia' accade per FU o altri rootkit. Pero', di per se', non usa alcun ADS, rootkit o tecniche di DLL injection.


in ogni caso da me visto,quei files che il tuo tool rimuove sono sempre presenti(nessuna eccezione),quindi,come dici anche tu,ognuno è veicolo dell'altro,per me,non c'è altra spiegazione oppure nn ne arrivo ad altre


Si', non c'e' dubbio: Agent.VP viene certamente usato insieme ad altri malware.


:D ,per la cancellazione dei files,IceSword http://www.xfocus.net/tools/200605/IceSword1.18en.rar


Si', lo conosco bene :) Sebbene come anti rootkit usi principalmente dei programmi scritti da me, Ghost Hunter e VTrace, che non ho rilasciato al pubblico e che uso solo per i miei esperimenti. Ghost Hunter usa una serie di tecniche miste, parte in user mode e parte in kernel mode, attraverso un driver che ho chiamato MORPHEUS <grin> che non si sono mai viste in altri anti rootkit. Almeno per ora :)


PS:Per la ddl che ti ho mandato hai notizie?grazie


Impossibile, purtroppo: l'archivio è arrivato danneggiato per qualche motivo. Per cortesia, potresti mandarmelo di nuovo?


PPS: :stordita: Già che ci sono,ti volevo chiedere se sai un modo per eliminare un ads che risulta bloccato,per adesso ho provato tutto ma niente,hai qualche consigli,arigrazie :)

Si', ho in mente la routine per farlo, ma nulla che sia applicabile direttamente: ci vuole un programma apposito, non conosco utility che facciano qualcosa del genere. Inoltre, bisognerebbe vedere se il "blocco" viene applicato da qualche programma che filtra le richieste di cancellazione oppure se è dovuto a qualche trucco usato direttamente sul filesystem, come accade per Agent.VP.

ciao,
Paolo.

attraverso un driver che ho chiamato MORPHEUS

si in effetti stavo vedendo proprio quel driver che non conoscevo :D:D:angel:

Porca miseria,nemmeno con la console si elimina,ho provato a fargli aprire l'ads con il block notes ma subito appare il messaggio di memoria virtuale insufficente,si,l'ads è bloccato da un altro programma,ma quale?bella domanda.

Se vuoi,ti rimando il file(corrotto) e l'ads che non si riesce ad eliminare
ok?

Grazie mille

Quindi che si fa?si formatta?
Pare questa l'unica soluzione oppure si passa ad altro


Si scrivono i cleaner :)
Pero' la tua osservazione non è troppo drammatica: è un fatto che dopo l'infezione da parte di rootkit o di un trojandownloader particolarmente tosto, molti security evangelist raccomandino il system flattening: ovvero la formattazione del disco e la completa reinstallazione del sistema operativo e dei programmi.

ciao,
Paolo.

Si scrivono i cleaner :)
Pero' la tua osservazione non è troppo drammatica: è un fatto che dopo l'infezione da parte di rootkit o di un trojandownloader particolarmente tosto, molti security evangelist raccomandino il system flattening: ovvero la formattazione del disco e la completa reinstallazione del sistema operativo e dei programmi.

ciao,
Paolo.

Assolutamente si, ci sono particolari situazioni per le quali la corruzione del sistema operativo è così avanzata che conviene fare un format piuttosto che tentare il recupero. "Qualcuno" consigliava addirittura di tenere sempre a portata un'immagine ghost per rimettere su tutto al volo, soprattutto per le aziende, invece di tentare il recupero.
Ora però, questa situazione mi sembra non così terribile da dover richiedere la formattazione, perlomeno da quello che ho visto io.

Marco

Guarda dopo una settimana ad un utente gli ho detto di formattare perchè non sapevo + che fare,oltre i problemi del malware anche quelli hardware(memoria,applicazioni che non si aprivano) alla fine in 2 ore hai il pc nuovo :)

Ti ho spedito l'archivio :boh:

lucas se puoi inviami questi archivi a marco-AT-prevxresearch-DOT-com

Grazie ;)

Te li stavo già mandando :)

si in effetti stavo vedendo proprio quel driver che non conoscevo :D:D:angel:

Non sono come la Rutkowska: come Neo, io preferisco la Red Pill... e vedere quanto è profonda la tana del Bianconiglio ;)

ciao,
Paolo.

Non sono come la Rutkowska: come Neo, io preferisco la Red Pill... e vedere quanto è profonda la tana del Bianconiglio ;)

ciao,
Paolo.

;) :)

Assolutamente si, ci sono particolari situazioni per le quali la corruzione del sistema operativo è così avanzata che conviene fare un format piuttosto che tentare il recupero. "Qualcuno" consigliava addirittura di tenere sempre a portata un'immagine ghost per rimettere su tutto al volo, soprattutto per le aziende, invece di tentare il recupero.
Ora però, questa situazione mi sembra non così terribile da dover richiedere la formattazione, perlomeno da quello che ho visto io.

Marco

Il che mi fa pensare un po' nostalgicamente al passato... A tempi dei virus sotto DOS, i security evangelist (in realta', a quell'epoca una tale locuzione non era ancora stata coniata, piu' che altro si parlava di virus researcher) sostenevano esattamente il contrario: per rimuovere un virus non è mai necessario formattare il disco.

Oggi le cose sono un tantino cambiate. Beata gioventu' informatica :)

ciao,
Paolo.

ehehe :)

Diciamo che sono venute alla luce particolari conoscenze e tecniche che prima non erano note. Con l'ampliarsi di un sistema operativo si ampliano le funzioni, si ampiano le possibilità di falle e si sono ampliate le persone che ci stanno studiando dietro :)

Non so se ricordi il trojan AIDS del 1990/1991...a chi pensi si siano ispirati coloro che hanno scritto GPcode? :D

O ancora, il virus PMBS...a chi pensi si sia ispirata la Microsoft quando ha creato il prototipo del SubVirt? :D

Solo che adesso i progetti che una volta erano stati sviluppati possono essere ripresi ed essere più dannosi :)

ah non ci sono problemi per questo...non mi sputa piú nessuno :cry:

PS: per l'inglese ti racconteró poi per e-mail o telefono se ci sentiamo, ti faccio ridere :D:D Salutami calorosamente Luca, é una vita che non mi sento manco con lui :)

Saluti ricambiati molto cordialmente. Luca è appena tornato da un giro in Finlandia, dove è andato a trovare Mikko Hypponen nella sede principale di F-Secure... e al suo ritorno mi ha portato della renna affumicata, di cui confessa di essere goloso in modo quasi amorale :)
Ergo, se quest'anno non vedremo Babbo Natale perchè è appiedato, sappiamo a chi dare la colpa :D

ciao,
Paolo.

Saluti ricambiati molto cordialmente. Luca è appena tornato da un giro in Finlandia, dove è andato a trovare Mikko Hypponen nella sede principale di F-Secure... e al suo ritorno mi ha portato della renna affumicata, di cui confessa di essere goloso in modo quasi amorale :)
Ergo, se quest'anno non vedremo Babbo Natale perchè è appiedato, sappiamo a chi dare la colpa :D

ciao,
Paolo.

apperò, giusto un viaggetto così da quattro soldi :D

apperò, giusto un viaggetto così da quattro soldi :D

Non ha speso un soldo, quel gran marpione: il viaggio gliel'ha offerto l'ambasciata Finlandese in Italia. Luca ha donato loro il dominio finlandia.it, che aveva registrato un po' di tempo fa. Che gran figlio di donna virtuosa, il vecchio Luca :) Con Mikko si conoscono da un bel pezzo, Luca doveva andare a lavorare da loro come technical editor. Ma alla fine ha preferito rimanere qui in Italia a lavorare con la mia societa': del resto, renne o meno, le risate che si fa qui con me se le puo' anche scordare nel buio gelo del Nord :)

Io, invece, quando sono stato nei laboratori del Kaspersky Lab a Mosca, ho cacciato dei bei soldi per arrivare a Vodkaland in airbus. Per giunta, la prima sera un addetto dell'ambasciata Italiana mi ha anche portato a mangiare in una pizzeria italiana (sic!): 60 dollari americani per una pizza e una birretta del menga. Roba da matti.

Anni fa, Luca è riuscito anche a scroccare un viaggio in America per visitare gli uffici di Symantec a Cupertino e Santa Monica. Quest'uomo è un mito vivente. Bah... come disse il sig. Egeria, la classe non è acqua :D

ciao,
Paolo.

il bello è che le occasioni ce le ho avute anche io, gratis, ma ancora non le ho sfruttate :D

Per tutti gli altri: sembra che stiamo andando di chat :D ma in effetti stiamo intrattenendo nel mentre che pubblico sto maledetto pdf e Paolo mette mano alle infezioni - appena posso ti passo il pdf, magari c'è qualcosa che ti può interessare

Per tutti gli altri: sembra che stiamo andando di chat :D ma in effetti stiamo intrattenendo nel mentre che pubblico sto maledetto pdf e Paolo mette mano alle infezioni - appena posso ti passo il pdf, magari c'è qualcosa che ti può interessare

No, continuate. Io mi sto divertendo da matti :D

Meglio di andare al luna park :D :D :sofico: :sofico:

Paolo hai mail :)

:ronf:


ma ci capite qualcosa o vi accade questo? :lamer:


:yeah:

qui
http://www.hwupgrade.it/forum/showthread.php?t=1264650
Ewido e il clone di kaspersky non hanno intercettato niente :cry: :cry:
La situazione è tragica,nell'altro ne nod32 ne bitdefender :cry: :cry:

No, continuate. Io mi sto divertendo da matti :D

Del resto, il mondo antivirus non è fatto solo di cose serie :-)

Ne avrei un'altra sullla Conferenza del Virus Bulletin del 2001, all'Hilton di Praga, che è veramente da antologia. Protagonista, il sottoscritto e una decina di... come dire... "belle di notte". Nulla di vietato ai minori di diciotto, garantisco. Piuttosto, direi che si è trattata di una delle piu' grandi figure da fesso che abbia mai fatto nella mia vita: messo a mio confronto, il "Candido" di Voltaire è la rappresentazione scolpita nel granito dell'uomo piu' scafato del pianeta terra. Sara', ma io quando viaggio mi sento tanto simile a Fantozzi con la sua nuvoletta.

Ora me ne vado a casuccia a leggere "L'arte dell'intrusione" di Kevin Mitnick, edizione italiana con consulenza scientifica del grande Raoul Chiesa, arrivatomi oggi fresco fresco: riservero' questo memorabile racconto per un giorno di pioggia :)

ciao,
Paolo.

Ora me ne vado a casuccia a leggere "L'arte dell'intrusione" di Kevin Mitnick, edizione italiana con consulenza scientifica del grande Raoul Chiesa, arrivatomi oggi fresco fresco: riservero' questo memorabile racconto per un giorno di pioggia :)

ciao,
Paolo.

Libro interessante :D prendo nota :D

A me sono arrivati un paio di libri interessanti -ed. inglese - ma più tecnici :D (vedi rootkits - subverting the windows kernel)

ehm:

v'avanza mica un Topolino?
Anche vecchio andrebbe bene.... :sofico:

Libro interessante :D prendo nota :D

A me sono arrivati un paio di libri interessanti -ed. inglese - ma più tecnici :D (vedi rootkits - subverting the windows kernel)

Ah, indovina un po' qual è il mio logo su Skype? :)

Grande libro. Comprato su Amazon e letto mesi fa :) Per inciso: recentemente, Richard Ford, su Infosecurity magazine, ha scritto un articolo su questo libro, criticando l'atteggiamento degli autori. In effetti, non ha tutti i torti, sembra un po' il manuale del piccolo autore di rootkit: una ventina di pagine su come identificare un rootkit, peraltro con metodi già usati e abbandonati da BlackLight, tutto il resto totalmente concentrato sul rootkit authoring, con guide passo passo su come scrivere queste bestiacce. Insomma... qualcosa di molto simile si vede anche con la Rutkowska: è capo progetto di programmi anti rootkit che non superano mai fasi di alfa e beta testing e poi tiene conferenze alla BackHat su Blue Pill e rootkit perfetti. Ma per favore. Una tale ambivalenza è decisamente sospetta e a parecchi "good guys" ha francamente rotto i marroni.

Ad ogni modo, il mio livre de poche è un altro: Windows Internals, fourth edition, dei mitici Russinovich e Solomon. Una vera miniera di informazioni low level. O The Windows NT/2000 native API reference di Nebbett. Entrambi testi fondamentali e consigliati per tenere l'arsenale ben fornito.

ciao,
Paolo.

Ad ogni modo, il mio livre de poche è un altro: Windows Internals, fourth edition, dei mitici Russinovich e Solomon. Una vera miniera di informazioni low level. O The Windows NT/2000 native API reference di Nebbett. Entrambi testi fondamentali e consigliati per tenere l'arsenale ben fornito.

ciao,
Paolo.

comprati anche quelli :D stanno arrivando :D

Si, ho sentito un paio di gente alla Kaspersky e anche loro non apprezzano troppo Joanna, diciamo piu che altro che la stampa ingigantisce la cosa perché è donna e - secondo la stampa evidentemente - vedere una donna che parla di queste cose è tipo miracolo.

Avevo visto del suo semplice progetto Flister, l'utilizzo dell'api nativa ZwQueryDirectoryFile() per l'individuazione di rootkit. Carino ma ci si fa poco sinceramente, anche perché una volta svelata la carta si cambia subito marcia dalla parte opposta.

PS: Paolo hai mail

PS2: ho visto che il tuo tool utilizza il driver morpheus ma non c'é bisogno di riavvii, carichi per mezzo dell'API non documentata suppongo? Il quick-and-dirty?

Da quello che ho visto io crea i file crittografati(verdi)con nome random in
C:\Programmi\File comuni\System
C:\Programmi\File comuni\Microsoft Shared
Come dicevi tu

Poi il servizio con nome random che riporta ai percorsi sopra citati,account utente aggiunto(cartella in documenti and setting\account aggiunto)
Files con nome riservati(com,lpt,nul,prn etc) di solito in Windows o Windows\System32 di solito questi file vengono caricati all'avvio con questa chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = \\?\C:\WINDOWS\system32\lpt6.lpl

Invisibile ad occhio nudo(gmer lo visualizza),nei sistemi ntfs usa gli ads sempre con quella chiave
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = C:\WINDOWS\system32:autoftt.exe

Oppure ddl con nomi causali iniettate in:
Library C:\WINDOWS\aehpc1.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1384] 0x03850000 <-- ROOTKIT !!!
Library C:\WINDOWS\aehpc1.dll (*** hidden *** ) @ C:\Programmi\Internet Explorer\IEXPLORE.EXE [3144] 0x02AB0000 <-- ROOTKIT !!!

Ultimamente la rimozione degli ads è complicata dato che il file è bloccato da un altro programma(quale non lo so)so solo che sto linkoptimizer è un dannato :D

Grazie per l'attenzione :)

Ma stiamo parlando di rimuovere LinkOptimizer ??? Vero???

Ma stiamo parlando di rimuovere LinkOptimizer ??? Vero???


Scusate l'interruzione....
Dopo una settimana di problemi e la settimana successiva di letture sono ancora a piedi.

Win32:Agent.gen-------=LinkOptimizer?
Win32:exdl-------------=LinkOptimizer?
Win32:Adware.gen------=LinkOptimizer?
Win32:Agent.BBW------=LinkOptimizer?

Che faccio, formatto :help: :cry:


GGD

Scusate l'interruzione....
Dopo una settimana di problemi e la settimana successiva di letture sono ancora a piedi.

Win32:Agent.gen-------=LinkOptimizer?
Win32:exdl-------------=LinkOptimizer?
Win32:Adware.gen------=LinkOptimizer?
Win32:Agent.BBW------=LinkOptimizer?

Che faccio, formatto :help: :cry:


GGD

Si è questo anke il mio problema... :muro: di sto post nn ci ho capito molto, anke perkè il tool di Nod32 permette di selezionare un file .EXE nella cartella C:\Programmi\File comuni\System alla volta e poi per cancellarlo riavvia il PC... ma al nuovo avvio il file si ricrea... come si fa a selezionarli tutti per l'eliminazione? è possibile? oppure no?

GRAZIE

Ecco il mio lavoro su gromozon.com e LinkOptimizer

report PDF (inglese) (http://www.pcalsicuro.com/gromozon.pdf)

Spero possa essere utile ;)

Marco :)

Ecco il mio lavoro su gromozon.com e LinkOptimizer

report PDF (inglese) (http://www.pcalsicuro.com/gromozon.pdf)


ora (in qualità di utente medio) gli dò 1 occhiata....ma se è sulla stessa linea della preview che mi hai dato, parliamo pure di GRANDE LAVORO...
E' impressionante vedere come ci sia tanta* gente cosi' qualificata in giro anche qui da noi per quanto poi ancora cosi' giovane come te.
Io onestamente sono sbalordito....




*parole grosse...ma cmq mi sembra di vedere che, specie ultimamente, sempre più nomi illustri comicino a bazzicare qui su Hw, se pur con presenze molto sporadiche.....

OH: dico a voi!
Si, non siate timidi a mostrarvi che qui c'è un'ampia comunità che amerebbe crescere leggendo i vostri commenti SU TUTTO! ;)

Ecco il mio lavoro su gromozon.com e LinkOptimizer

report PDF (inglese) (http://www.pcalsicuro.com/gromozon.pdf)

Spero possa essere utile ;)

Marco :)

Enorme lavoro, complimenti........
da utente Ignorante in materia come posso essere, vorrei fare un piccolo appunto...

é possibile avere la traduzione in italiano (solo parte rimozione) quando c'è tempo?

GRAZIE

Giudizi:

eraser, sei un capolavoro! (non metto nemmeno l'emoticon di "sorpresa" tanto ormai si sapeva...)

La parte 3, che poi è forse quella che interessa di + l'utente normale visto che spiega i passi relativi alla rimozione, è spiegata con una chiarezza disarmante.....

Giudizi:

eraser, sei un capolavoro! (non metto nemmeno l'emoticon di "sorpresa" tanto ormai si sapeva...)


per due parole scritte su un foglio di testo? :)

ci sono persone che sono veramente mostri ;)

per due parole scritte su un foglio di testo? :)

ci sono persone che sono veramente mostri ;)
Sul 2° punto non dubito.....(l'autore del thread, ecc...)
Sul 1°, obietto.

Anche perchè vedere un lavoro finito non rende mai giustizia a tutto il lavoro di ricerca che c'è stato a monte.....il pdf è infatti una sintesi di fatiche e madonne, oltre che di tanta passione e studio/prove...

Come utente medio (ma qui siamo migliaia...), non possiamo che sbalordirci e ammirarvi......

Sul 2° punto non dubito.....(l'autore del thread, ecc...)


ecco, si...intendevo proprio quello :D :D si definisce come mostro :D

ecco, si...intendevo proprio quello :D :D si definisce come mostro :D
anche fisicamente? :stordita:

:sofico:

Ao', ma qualche difetto lo avrà anche lui, no? :stordita: :D

PS: a te invece puzzano i piedi? :p

é possibile avere la traduzione in italiano (solo parte rimozione) quando c'è tempo?
GRAZIE

Sì, assolutamente, appena possibile faccio una traduzione del papiro in italiano :D


PS: a te invece puzzano i piedi? :p

Sono stato lasciato dalla ragazza che amavo, un motivo ci sarà no? :D :cry:

[QUOTE=eraser]Sì, assolutamente, appena possibile faccio una traduzione del papiro in italiano :D


Grazie un MILIONE di volte :) :) :)

GGD

PS: Paolo hai mail

PS2: ho visto che il tuo tool utilizza il driver morpheus ma non c'é bisogno di riavvii, carichi per mezzo dell'API non documentata suppongo? Il quick-and-dirty?

A quale tool ti riferisci?

Morpheus è un driver dinamico e nella sua DriverEntry imposta anche la gestione per la routine di Unload:

-----CODE SNIPPET-------
// Accesso ai dati tramite buffer di sistema
pDevice->Flags |= DO_BUFFERED_IO;

// La seguente operazione viene svolta direttamente dall'IOManager
// quando ci si trova all'interno di DriverEntry, qui viene aggiunta
// solo per chiarezza
pDevice->Flags &= (~DO_DEVICE_INITIALIZING);

pDriverObj->DriverUnload = Unload;

// Quick & dirty. Ottimizzato nella versione "release"
for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
{
pDriverObj->MajorFunction[i] = StubDispatch;
}

pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchDeviceControl;

// Informazione per il debugging => DbgView
DebugPrint("Driver loaded!\n");
return ntStatus;
---------------------------------

Per caricarlo in memoria non c'e' bisogno di usare funzioni non documentate, bastano quelle del service manager.

ciao,
Paolo.

// Quick & dirty. Ottimizzato nella versione "release"
for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
{
pDriverObj->MajorFunction[i] = StubDispatch;
}

pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchDeviceControl;

Si, appunto il quick&dirty :)

Pensavo utilizzassi per il quick&dirty l'api SystemLoadAndCallImage (well, il parametro della ZwSetSystemInformation). Giustamente hai usato il SCM. Ero dell'idea che necessitasse di un riavvio a causa del servizio creato e delle chiavi di registro, ma attraverso l'handle puoi tranquillamente farlo partire a mano in effetti.
Altrimenti anche ZwLoadDriver, altro metodo.

Si, appunto il quick&dirty :)

Pensavo utilizzassi per il quick&dirty l'api SystemLoadAndCallImage

No, non ce n'e' bisogno. Quelle sono tecniche da rootkit :) Per caricare il driver da un'applicazione Win32 basta una normale CreateService con parametri come SERVICE_KERNEL_DRIVER e SERVICE_DEMAND_START.

La parte "quick & dirty" che hai visto nel code snippet è solo relativa all'intercettazione delle funzioni che non vengono usate dal driver e che puntano a un semplice stub che ritorna un ntStatus = STATUS_SUCCESS

NTSTATUS StubDispatch(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
DebugPrint("Stub called.\n");

Irp->IoStatus.Status = STATUS_SUCCESS;
IoCompleteRequest(Irp, IO_NO_INCREMENT);
return STATUS_SUCCESS;
}

ciao,
Paolo.

PS: ho aggiornato il post sopra :D scusa, te l'ho modificato nel mentre che postavi :)

PS: ho aggiornato il post sopra :D scusa, te l'ho modificato nel mentre che postavi :)

Nessun problema :)

ciao,
Paolo.

Ecco il mio lavoro su gromozon.com e LinkOptimizer

report PDF (inglese) (http://www.pcalsicuro.com/gromozon.pdf)

Spero possa essere utile ;)

Marco :)

talmente dettagliato che non ho capito proprio tutto (sarà anche l'inglese) :huh:

poi l'ho trovato utile perchè finalmente ho capito come usare Gmer e Avenger... :read:
fino a ora per rimuovere il LO rimandavo alla pagina della suspectfile :mc:

Con Mikko si conoscono da un bel pezzo, Luca doveva andare a lavorare da loro come technical editor. Ma alla fine ha preferito rimanere qui in Italia a lavorare con la mia societa': del resto, renne o meno, le risate che si fa qui con me se le puo' anche scordare nel buio gelo del Nord :)

Oltretutto, preferisco la fluente chioma castana del nostro amato Paolo rispetto all'inquietante :mbe: codino biondo di Mikko.

b.Cool :cool:

Oltretutto, preferisco la fluente chioma castana del nostro amato Paolo rispetto all'inquietante :mbe: codino biondo di Mikko.

b.Cool :cool:

dai, il codino di Mikko è paurosamente bello :D

Io invece preferisco una bella bionda,con o senza il codino :D :D l'importante che sia una "bella bionda" :stordita:

PS:Senza nulla togliere a mikko e paolo :mano:

Io invece preferisco una bella bionda,con o senza il codino :D ...
parli delle sigarette? :sofico:












PS: lo vedi i crani come spuntano fuori una volta stuzzicati*? :ciapet:

OH: dico a voi!
Si, non siate timidi a mostrarvi che qui c'è un'ampia comunità che amerebbe crescere leggendo i vostri commenti SU TUTTO! :read:


*in realtà, non ho stuzzicato un bel niente..... :sob:

No,ma che hai capito,parlavo della birra :D :D :sofico: :sofico:

PS: lo vedi i crani come spuntano fuori una volta stuzzicati*?

Che ci vuoi fare, oramai noi vecchietti della retroguardia ci accontentiamo di poco. :old:

Meglio non stuzzicarci troppo, però! :ncomment:


b.Cool :cool:

P.S.
Marco, sto leggendo il pdf, ottima roba! Ce l'hai un link ufficiale? Vorrei segnalarlo sul blog.

Che ci vuoi fare, oramai noi vecchietti della retroguardia ci accontentiamo di poco. :old:

Meglio non stuzzicarci troppo, però! :ncomment:


b.Cool :cool:

P.S.
Marco, sto leggendo il pdf, ottima roba! Ce l'hai un link ufficiale? Vorrei segnalarlo sul blog.

http://www.pcalsicuro.com/gromozon.pdf

Sono molto contento che ti piaccia :)

PS: Vecchia guardia :D mapperfavore :D da come vi descrivete sembrate Matusalemme :D

Ciao Marco, volevo complimentarmi per la tua interessante guida e volevo chiederti se posso linkarla su altri forum. :)

ma certo, ci mancherebbe :)

ma certo, ci mancherebbe :)
OK, grazie. :)

http://www.pcalsicuro.com/gromozon.pdf
Ok, pubblicato: http://www.sicurezzainformatica.it


PS: Vecchia guardia :D mapperfavore :D da come vi descrivete sembrate Matusalemme :D
LUI è Matusalemme, io sto ancora a metà fra Tutankamon e Paul Newman. :asd:


ciao

b.Cool :cool:

Ok, pubblicato: http://www.sicurezzainformatica.it

LUI è Matusalemme, io sto ancora a metà fra Tutankamon e Paul Newman. :asd:


Ah, beata gioventu' :)

Marco: complimenti, hai fatto un ottimo lavoro!

ciao,
Paolo.

Eraser ottima guida :)

Volevo chiederti visto che le ultime varianti impediscono l'esecuzione di gmer ed avenger se avevi provato con l'anti rootkit della Sophos.

il Nod32 mi rileva un diverso Win32/Agent.VP da uIw.exe (su suspectfile)

dimensione = 13824
md5 = a07ba3f4452be3f18c4135ba63de486d
sha1 = 6c9a3c3d53099674bfecba8b445c24ae4453f78f

non so se ti possa esse utile.

grazie mille a tutti per i complimenti :) Per me valgono veramente molto :)

@GmG: non ho provato l'anti-rootkit di Sophos sinceramentem ma sicuramente il rootkit viene identificato dall'anti-rootkit in fase beta di Grisoft scaricabile all'indirizzo http://beta.grisoft.cz/beta/ (previa registrazione gratuita per scaricare le versioni beta)

ciao

Marco :)

volevo chiedere se ci sarebbe qualcuno così gentile da fornirmi un exe che contenga agent.. volevo fare alcune verifiche.. eventualmente vi passo l'indirizzo email in pvt..

mi quoto per risollevare la questione.. agent o linkoptimizer.. o tutti e due.. se temete per l'incolumità del mio sistema non preoccupatevi.. me la caverò ;) :sofico: :sofico:

azzo, vi sto scrivendo dal pc di mio fratello... mi son preso sto cazzo di trojan e non riesco a venirne fuori. Ho cancellato il Win32.exe ma continua a dar problemi... IE e altro non vanno, Antivir non niente per ora, SpyBot idem... in più i processi non hanno piu utente proprietario.

Inoltre è comparso un com1 come servizio che windows identifica come WebKin roba di Antivir (non credo, non l'ho mai visto in precedenza).

Come si fa?

credo di avercela fatta... ho rimosso con il tuo tool il file com1.exe sotto file comuni/system... e ora sembra andare tutto, l'ho capito subito perchè si è caricato correttamente ZoneAlarm che prima non si apriva.

Come faccio a capire se non ha creato altri processi?

mi quoto per risollevare la questione.. agent o linkoptimizer.. o tutti e due.. se temete per l'incolumità del mio sistema non preoccupatevi.. me la caverò ;) :sofico: :sofico:

solitamente basta cercare qualche ragazza online... il resto viene da sè... d'altronde con tutti i pc infetti, beccarsi il LO è evidentemente una cazzata

contento te.... :mbe:

Un altra variante del file google.com :D
(Quello riconosciuta da molti AV)
www.google.com
Size: 13312 bytes
MD5: 4875C46E48FFA82ABABD26E18552D9AF
SHA1: 350EAFE1E4FD3A8CFFC9364A0A924DF36C9676F2
CRC32: 2DFEC028
AntiVir
Found Trojan/Pakes.A.677

ArcaVir
Found Trojan.Pakes

AVG Antivirus
Found Generic.YQV

BitDefender
Found Dropped:Trojan.Stresid.A

Dr.Web
Found Trojan.DownLoader.11912

Fortinet
Found W32/Pakes!tr!033

Kaspersky Anti-Virus
Found Trojan.Win32.Pakes

NOD32
Found probably unknown NewHeur_PE (probable variant)

VBA32
Found Trojan.Win32.Pakes


www.google.com
Size: 16384 bytes
MD5: 086503EB099DE67F7975B7598759EFE5
SHA1: 41DF9D46DE039DA1F43B44AAA04005CA568AB67E
CRC32: 5AC1299D
AntiVir
Found Trojan/Obfuscated.A.1

Kaspersky Anti-Virus
Found Trojan.Win32.Obfuscated.a

NOD32
Found a variant of Win32/Agent.NDB

Un altra variante del file google.com :D


Nota per tutti: sentitevi liberi di inviare eventuali varianti a questo indirizzo

samples@eset.com

Questo indirizzo e-mail viene gestito direttamente dal laboratorio antivirus di Eset.

La procedura è semplice

1) comprimere in un file ZIP i file sospetti, proteggendo l'archivio con la password "infected" (senza doppi apici)

2) nell'oggetto dell'e-mail scrivere una breve descrizione (in inglese). Ad esempio: Agent.VP variant

ciao,
Paolo.

Si,ma la eset non risponde(non tu :) )
Purtroppo è dico purtroppo questa variante nemmeno si esegue su macchine emulate,adesso stavo provando l'unica cambiamento che ho notato è un eseguibile in esecuzione automatica(w32)

Regards :D

Jotti è virus total sono intasati,questo è il risultato di un altro sito
H+BEDV Trojan/Obfuscated.A.1 3.40198 secs
NOD32 a variant of Win32/Agent.NDB trojan
Sha-1 41df9d46de039da1f43b44aaa04005ca568ab67e

è uguale al file google.com solo che si chiama w32.exe e si piazza qui
C:\Documenti and setting\utente\menù avvio\programmi\esecuzione automatica

Jotti è virus total sono intasati,questo è il risultato di un altro sito
H+BEDV Trojan/Obfuscated.A.1 3.40198 secs
NOD32 a variant of Win32/Agent.NDB trojan
Sha-1 41df9d46de039da1f43b44aaa04005ca568ab67e

è uguale al file google.com solo che si chiama w32.exe e si piazza qui
C:\Documenti and setting\utente\menù avvio\programmi\esecuzione automatica


quello che ho preso io... l'ho cancellato a mano. a me però aveva creato un clone (com1) che compariva nella lista servizi di windows, come facente parte di Antivir... ha creato pure un utente (MKV) sotto Documents and Settings.

Si,ma la eset non risponde(non tu :) )


Non è un indirizzo e-mail dal quale ci si deve aspettare delle repliche: non è destinato al supporto tecnico. Serve solo per inviare dei file sospetti.

ciao,
Paolo.

:mbe: :mbe:
Scusami,ma la maggior parte delle aziende risponde all'invio del file infetto,ciao

:mbe: :mbe:
Scusami,ma la maggior parte delle aziende risponde all'invio del file infetto,ciao

Dovresti essere un po' piu' specifico: chi è che risponde e che cosa risponde?
Non è affatto saggio far rispondere un sistema automatico: puo' essere sfruttato per generare un mailbombing.

ciao,
Paolo.

Ecco, infatti mi sa che non ci siamo capiti :D (mea culpa)
Rispondere se il file è infetto o no :) .
Adesso, fai caso che tu sei un normale utente e sul tuo pc trovi un file sconosciuto abbastanza sospetto,lo invi,ti piacerebbe ricevere una risposta?(infetto/non infetto),a me si :)
Poi, tu non sei un normale utente, quindi nemmeno ti serve inviarlo :stordita:

Ciao :)

*MARCO ILLUMINATO DI SABATO MATTINA*

Ho avuto un'idea per l'identificatione del rootkit in maniera automatica :fagiano: Da alcune prove sembrava funzionasse

Mi metto all'opera, vediamo cosa riesco a tirare fuori ;)

Ecco, infatti mi sa che non ci siamo capiti :D (mea culpa)
Rispondere se il file è infetto o no :) .
Adesso, fai caso che tu sei un normale utente e sul tuo pc trovi un file sconosciuto abbastanza sospetto,lo invi,ti piacerebbe ricevere una risposta?(infetto/non infetto),a me si :)


Scusa, ma torniamo al punto di prima: una replica automatica puo' senz'altro essere utile o appagante per l'ego di un utente e quindi avere un senso anche sotto il profilo del marketing, non dico di no, ma dal punto di vista della sicurezza sarebbe un modo assolutamente errato di gestire un indirizzo e-mail che non richiede autenticazioni particolari.
Al momento, la procedura che ho fornito serve soltanto per far pervenire dei file sospetti ad Eset nel modo piu' diretto possibile; se qualcuno è interessato a farlo, è ovvio. Magari, per il futuro, si potra' prendere in esame un sistema che risponde via web, sul tipo di Jotti o VirusTotal.

ciao,
Paolo.

Guarda non capisco,non si tratta di ego,si tratta solo di essere informati del file mandato,una cosa del tutto leggittima,se un' azienda non risponde, Amen :)

Guarda non capisco,non si tratta di ego,si tratta solo di essere informati del file mandato,una cosa del tutto leggittima,se un' azienda non risponde, Amen :)

Era solo per completare il discorso... va bene, lasciamo stare.

ciao,
Paolo.

Oguno la pensa come vuole,ci mancherebbe,quello che volevo dire è che fa sempre piacere ricevere una risposta se si manda un file,se non si riceve nessun problema.

Ciao

su su :)

Oguno la pensa come vuole,ci mancherebbe,quello che volevo dire è che fa sempre piacere ricevere una risposta se si manda un file,se non si riceve nessun problema.


Gianluca, non c'e' problema :) Ho solo cercato di spiegare che se non ricevi repliche da certi sistemi il fatto non avviene per caso o per negligenza, anzi. Ci sono dei precisi motivi di sicurezza. Non è una buona idea inviare delle e-mail in modo automatizzato se l'accesso al sistema di analisi non prevede anche una qualche forma di challenge-response e autenticazione manuale attraverso capcha o simili. Le repliche che si ricevono dalle aziende antivirus non vengono scritte manualmente, sono frutto di sistemi esperti. Se queste e-mail vengono inviate senza alcuna forma preventiva di autenticazione da parte dell'utente che invia i file sospetti, l'intero sistema puo' essere sfruttato per attacchi Denial of Service o comunque per inviare e-mail non richieste a persone che non c'entrano nulla.

Quindi, o si privilegia la semplicita' e l'immediatezza (la via scelta attualmente da Eset) o si mette in piedi un sistema di autenticazione che puo' fare anche fuoco e fiamme, ma che richiede una procedura di invio file piu' farraginosa. Scegliere una via di mezzo, facilita' di invio e spedizione di e-mail di risposta, sarebbe invece un modo poco responsabile di gestire il sistema.

ciao,
Paolo.

io nel frattempo ho un w32.exe per le mani.. lo sto analizzando.. se è simile al più famoso www.google.com risparmio del lavoro, perchè avevo intenzione di analizzare anche quello.. poi vedremo cosa ne esce..

ps un ringraziamento pubblico a lucas84 per avermi indicato una via..

saluti!

Grazie, queste cose non le sapevo(tu ci lavori ne saprai qualcosa + di noi :D ) scusa se ti sono sembrato un pò troppo insistente,comunque la nuova variante blocca tutti i software antirootkits più conosciuti,porca miseria :mad: :mad:

Grazie, queste cose non le sapevo(tu ci lavori ne saprai qualcosa + di noi :D ) scusa se ti sono sembrato un pò troppo insistente,comunque la nuova variante blocca tutti i software antirootkits più conosciuti,porca miseria :mad: :mad:

non quello che sto facendo io - perlomeno per trovare il nome del rootkit :O

(dovrebbe funzionare :fagiano: :D )

Anche il cleaner blocca :D :D :D :D

PS:Fai subito con sto tool senno esco fuori di testa(scherzo) :D

come non detto, sembra che al riavvio non funzioni piu la mia idea

uhm....thinking mode on....

:D :D :D
E adesso come si fa? :doh: :doh: :doh:

Grazie, queste cose non le sapevo(tu ci lavori ne saprai qualcosa + di noi :D ) scusa se ti sono sembrato un pò troppo insistente


Assolutamente nessun problema, credimi :) Magari sono sembrato un po' brusco anche io. Non era mia intenzione, davvero... è che mentre replico qui sto anche scrivendo un cleaner per una variante molto fastidiosa di Brontok, che ha letteralmente messo in ginocchio una grossa azienda in Cile. Il multitasking cerebrale a volte va a discapito della completezza :)

ciao,
Paolo.

Ma capirai, è un piacere litigare con te :D :D
Ciao

sto lavorando con un altro ricercatore che era riuscito a scrivere un driver che si caricava molto presto all'avvio del sistema, poi ha scoperto perche non funzionava....si caricava troppo presto :D :D

L'ha riscritto, poi si caricava troppo tardi :D

Paolo, se puoi accendi icq :)

sto lavorando con un altro ricercatore che era riuscito a scrivere un driver che si caricava molto presto all'avvio del sistema, poi ha scoperto perche non funzionava....si caricava troppo presto :D :D

L'ha riscritto, poi si caricava troppo tardi :D

Paolo, se puoi accendi icq :)

Ho trovato la soluzione :sofico:

DIGLI CHE DEVE FARE IN MODO CHE SI CARICA A META'

:stordita:

Marco mica per caso conosci swandog46? :stordita: :stordita:

Marco mica per caso conosci swandog46? :stordita: :stordita:

sì perché?

:D :D
Se puoi, io non lo conosco per niente,una versione non compressa di the avenger in modo che non venga bloccato, almeno questo :)

:D :D
Se puoi, io non lo conosco per niente,una versione non compressa di the avenger in modo che non venga bloccato, almeno questo :)

http://www.wilderssecurity.com/showpost.php?p=825431&postcount=126

L'avevo già visto ma non so perchè mi dava applicazione non valida,adesso ho sostituito 000 con 2 e va :)

trovato!!!!

Altra illuminazione durante una bella doccia :D :D

vediamo un pò cosa si può fare....

Da qualche giorno il portatile di mio padre segnalava la presenza di un virus, nn si capiva bene quale e da dove venisse, ad ogni modo credo di averlo sconfitto... anche se a mano ehehe, ho eliminato tutti i file temporanei, e fatto girare AdAware e Spybot S&D che hanno trovato qualcosa, ma non hanno risolto il problema, che continuava a presentarsi (con avvisi di NOD32), così ieri ho rieseguito il procedimento e questa volta ho cercato anche dentro i Downloads di IE e ho trovato FreeAccess.ocx che ho eliminato in quanto era sconosciuto.
Detto questo ho avviato una scansione on-demand su tutte le partizioni con NOD32 e l'ho lasciata fare la notte (erano le 2 circa quando l'ho avviata).
La mattina mio padre ha trovato il pc che segnalava appunto la presenza della memoria di questo FreeAccess.ocx, ha riavviato il pc e quindi dovrebbe essere stato eliminato (anche se già l'avevo fatto prima per intuito). Probabilmente le definizioni di NOD32 si sono aggiornate durante la notte, e dunque ha rilevato il codice del file in questione.
Oggi rifaccio un'altra scansione e mi trova il virus in draa.dll, che prontamente elimino.
Ora sto facendo un'altra scansione con AdAware su tutto il sistema.
A questo punto dovrei stare apposto? Faccio girare il cleaner cmq, anche se alla fine NOD dovrebbe aver pulito tutto.

approfitto per uppare

la symantec ha aggiornato le firme contro il Linkoptimizer...

certo chi se lo aspettava che primo arrivasse il norton :mbe:

leggete un pò (http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-082416-2803-99&tabid=2)

funzionerà?

Dunque, devo avere maggiori informazioni oggi, ma stamattina leggendo le solite e-mail ho notato che mi ha scritto un'e-mail il mio amico (di cui avevo parlato prima) dicendomi:


Our good friend Gromozon is dead :(

I killed it.
I <FINALLY> KILLED IT !


Vi terró aggiornati non appena so qualcosa di piú :)

cmq scusate eh,
la disinformazione in Italia dilaga. Cioé, NESSUN giornale importante ne parla, nessuno che accenna a niente. A parte che ho letto l'analisi e, per quanto le parti piu tecniche non le capisco, la trovo veramente esauriente, ma la cosa che piu mi stupisce é ke l'autore é italiano e nessuno ne parla in italia tra i giornali importanti.
Da come ho visto dal sito di eraser é stata copiata su tanti siti internazionali ma in italia MANCO un accenno. Ci sono migliaia di infetti da come leggo ma giornali come repubblica.it, che hanno una sezione sicurezza, manco ne accennano niente.
Penso ke scriveró un paio di email ai giornali :read:

cmq scusate eh,
la disinformazione in Italia dilaga. Cioé, NESSUN giornale importante ne parla, nessuno che accenna a niente. A parte che ho letto l'analisi e, per quanto le parti piu tecniche non le capisco, la trovo veramente esauriente, ma la cosa che piu mi stupisce é ke l'autore é italiano e nessuno ne parla in italia tra i giornali importanti.
Da come ho visto dal sito di eraser é stata copiata su tanti siti internazionali ma in italia MANCO un accenno. Ci sono migliaia di infetti da come leggo ma giornali come repubblica.it, che hanno una sezione sicurezza, manco ne accennano niente.
Penso ke scriveró un paio di email ai giornali :read:

Gli utenti del forum sono orgogliosi.

Ave al maestro :ave:

Gli utenti del forum sono orgogliosi.

Ave al maestro :ave:

oddio :doh: :stordita: :flower:

Scusate se mi presento in questo modo ma sono incappato in sto maledetto rootkit.
Ho scaricato il tool ma credo sia una versione nuova...sto diventando scemo, sto spulciando ogni sorta di cartella, sto visualizzando il mondo ma non esiste un programma che rimuova in automatico sto LinkOptimizer (Agent.VP).
Tra le altre cose non so dove e come lo ho preso, so solo che sto passando delle notti in bianco per capire dove sta il suo motore, i suoi files e tutto il resto!
Sto idiota mi ha disattivato il system restore!

ma non esiste un programma che rimuova in automatico sto LinkOptimizer (Agent.VP).

http://www.hwupgrade.it/forum/showthread.php?t=1271721

Ciao a tutti.
Sono incappato in diversi pc con diverse varianti,e diversi "stadi" di funzionalita' dei pc.
Quelli che funzionano per ripulirli uso una serie di strumenti che vanno
dai vari tool per rilevare rootkit (roootkirevealer,icesword,gmer),
abbinati a hijackthis ,alcuni software per l'analisi dei processi e dei moduli caricati,e strumenti del tipo streams o lads per la rilevazione degli ads(funzionalita' peraltro integrata in hijackthis).
Se il pc non parte (del tipo che non arriva neanche a visualizzare il desktop completo ,errori nel vmm,errori vari in explorer o qualunque altra applicazione)
faccio un boot da un cd tipo bart-pe con cui riesco a eliminare il rootkit e i vari files,servizi,utenti e a fare poi ripartire la macchina.
Per completare il lavoro una scansione con lavasoft aggiornato,una con l'antivurs a bordo del pc ,windows update x chiudere le falle e una diminuzione dei privilegi dello user,e consiglio di usare firefox x navigare per ridurre i rischi.
Per il momento non ho mai avuto problemi nella rimozione.
Il problema e' che non sono operazioni che un utente finale puo' intraprendere,certo un tool completo di rimozione farebbe comodo ma non credo che possa riuscire a risolvere la totalita' dei casi.

Ciao

Dan

Salve a tutti,

dal momento che ho letto in altri thread che alcuni utenti hanno avuto problemi a rimuovere questo trojan, vi segnalo che ho scritto e rilasciato un cleaner dedicato. Il cleaner rimuove

1) il file infetto
2) la chiave di registro creata/usata dal trojan
3) l'account protetto con password creato/usato dal trojan
4) l'albero di directory creato dal trojan

Il cleaner (è un cleaner "puro", non uno scanner) richiede almeno Windows 2000 o S.O. superiori (ad es. Windows XP/2003) e puo' eliminare il trojan sia su filesystem NTFS (con o senza Encryption File System presente) che FAT32.

Il cleaner puo' essere prelevato qui

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

ciao,
Paolo.

un saluto generale a tutti.
Volevo porre alcuni quesiti al Grande Monti.
1) Il cleaner Win32/Agent.VP sul sito nod32.com non l'ho trovato. Volevo sapere se vi era un motivo o era il piu' generico agent?
2)Se non si riesce a individurare il file da dare in pasto al cleaner come si procede?

3)Ora Vi espongo la prob. in cui mi sono imbattuto.
Da un amico che ha installato il nod32 (dato il tipo gli ho config. in modo automatico il nod32 affinche' se no riesce a disinfettare i file li mette in quarantena altimenti li cancella) e puntualmente ogni mattina gli sengnala che il Win32/Agent.VP e nello specifico il file c:\:fy****.exe (non ricordo con precisione, ma sicuro che aveva i due punti davanti alla " f" ) tenta l'intrusione. Gli faccio eseguire la scansione completa al nod32 e non rileva quel file incriminato. Ho riscontranto anche un utente fittizio che si è creato ed ho opportunamente eliminato. Non so piu' come rimuovere definitivamente il problema.
Ho gia provato hijackthis, spybot search and destr. Cosa posso fare?

Mi scuso per la lunghezza del post e ringrazio per l'attenzione prestatami.
Eusebio

Grazie a tutti per l'impegnoo e le notevoli informazioni!

Avrei una domanda da fare: ieri mi è capitato sotto mano un PC di un utOntO che aveva WindowsXP Home "liscio" (ovvero Service Pack 0), e symantec antivirus 9; detto ricettacol... ehm PC aveva la bellezza di 9 e dico 9 diverse infezioni tra virus, trojan e, appunto, gromozon (gli spyware nemmeno li conto più...). :rolleyes:
Il punto è che, oltre ad essere presente un utente nascosto, era completamente scomparso l'utente administrator... l'unica utenza disponibile era quella con cui si collegava l'utonto: anche questa è una prerogativa del gromozon? Oppure è stata la persona che ha installato la macchina la prima volta a fare questa cosa? :confused:

N.B.: la macchina è stata formattata onde evitare di perderci una giornata appresso...

...Il punto è che, oltre ad essere presente un utente nascosto, era completamente scomparso l'utente administrator... l'unica utenza disponibile era quella con cui si collegava l'utonto: anche questa è una prerogativa del gromozon? Oppure è stata la persona che ha installato la macchina la prima volta a fare questa cosa? :confused:

N.B.: la macchina è stata formattata onde evitare di perderci una giornata appresso...

Guarda a me da poco è capitata una cosa simile...

indagando ho scoperto che l'utente (che non è completamente a digiuno...) ha cercato con Avenger di cancellare direttamente la cartella creata dal Gromozon in document & setting, ed avenger ha invece spostato dentro c:\Avenger\backup tutti i dati di document % setting/administrator...

Quindi l'unico utente rimasto nel pc era quello creato dal Gromozon.

ciao

prima di tutto faccio i complimenti a tutti per quello che è stato fatto per risolvere i danni di questo simpatico programmino (se microsoft facesse programmi con le stesse capacità avremmo già smesso di imprecare da anni... ma questo è un altro discorso...)

comunque, il mio problema è questo:
un cliente ha nod32 scaduto in giugno e la scorsa settimana son andato ad aggiornarlo. Ho trovato il solito service32.exe che ho prontamente eliminato. Ho anche alzato al massimo le varie protezioni di nod (erudistica, mail, blocco dei file in download e controllare tutto e se non riesce a disinfettare deve eliminare i file)

oggi son tornato per un controllo e mi sono ritrovato questo problema. Nella cartella file comuni \ system ho circa 60 file verdi, ho l'utente creato dal trojan, ogni volta che faccio la ricerca con google mi si apre il popup, non riesco ad accedere ai siti che trattano informazioni sui virus (non mi riesce manco di scaricare spybot o avengere... ho sempre adaware e spybot sulla pen drive ma una volta installati non riescono comunque ad aggiornarsi o a fare una scansione)

premesso che il format lo vorrei evitare (il pc condivide un sacco di cartelle aziendali + stampanti su cui stampano dei bollettini e ci girano programmi fatti ad hoc ... per ripristinare il tutto starei li almeno 2 giorni e poi presentaglielo tu il conto) potete consigliarmi qualche sistema che possa risolvere questo problema nel modo + indolore possibile?

grazie


p.s. in ditta ho a disposizione dei pc puliti su cui gira nod32 ben aggiornato e configurato. Se prendo l'hd del cliente e lo collego ad una di queste macchine e lo scansiono posso liberarmi di tutti i file infetti e poi sucessivamente eliminare le varie chiavi di registro e servizi senza grossi sbattimenti?

Ciao non sono uno straesperto di computer ma ho incontrato una variante particolare del virus Win32/TrojanDownloader.VB.NGD trojan. è successo mentre stavo in vacanza lasciando il computer ai miei.
Il virus è identificato da nod come probably a variant of Win32/TrojanDownload.Agent.Bq trojan e ha un comportamento leggermente diverso: innanzitutto
si installa (scoperto per caso) nella cartella C:\windows col nome di SiemensWorld.exe: questo file non è crittografato ma non è cancellabile anche cambiando le autorizzazioni o accedendo con l'utente creato dal trojan
aggiunge moltissimi file criptografati con nome random nella cartella C:\Programmi\Windows NT che non sono cancellabili
poi ripete le stesse cose di Gromozon cioè installa il RootKit, crea un utente con un nome random, si installa come servizio, come helper di browser, come ocx in internet explorer, setta il SeDebugPrivilege, etc.

Nod32 aggiornato a oggi non riesce a rimuoverlo e aveva solo identificato il file all'inzio, inoltre anche facendo una scansione accedento con l'utente creato dal trojan non riesce ad aprire i file infetti e dà come risultato [4] locked file....
La cosa bella è che a oggi è resistente a tutti i tool che ho provato cioè tutti quelli del sito pcalsicuro.com e antirootkit.com che ho scaricato da un altro computer e copiato con la penna sul mio. Con quello di Paolo Monti non so che file andare a prendere perchè sinceramente nod32 me ne dà molti di bloccati comprese dll etc...
Interessantemente blocca nache HijackThis se è installato sul computer riavviando explorer ogni volta che si prova ad aprire la cartella.

Ripeto non sono un megaesperto come molti di voi ma vorrei sapere se posso inviarvi questo virus per analisi.

credo di avercela fatta... ho rimosso con il tuo tool il file com1.exe sotto file comuni/system... e ora sembra andare tutto, l'ho capito subito perchè si è caricato correttamente ZoneAlarm che prima non si apriva.

Come faccio a capire se non ha creato altri processi?

ciao ti sarei molto grato se mi facessi sapere che tool hai usato per rimuovere com1.exe....
mi sta facendo impazire...
garazie

Ciao a tutti, mi sono appena registrata :)
Ho scoperto d'avere il trojan agent.vp, e ho scaricato il tool di rimozione dal sito nod32.it, e ora la finestra che mi si apre è questa:

http://a635.ac-images.myspacecdn.com/images01/47/l_a085218da35a4efa7c919d4327a41c32.jpg

Vorrei capire una cosa: una volta arrivata a questa finestra, come devo procedere? Devo selezionare tutte le cartelle e cliccare su cancel?
Ditemi un po' voi, io purtroppo non me ne intendo molto e non vorrei fare danni.

Fra l'altro, mi dice che l'unica azione che può fare è cancellare i file selezionati, ma come faccio a sapere se i tali file sono infetti o se sono o meno vitali per il mio computer?

Grazie mille per il vostro aiuto!
Baci e buona giornata a tutti! ;)


Cristina


EDIT: scusate per l'immagine enorme (come volevasi dimostrare, non me ne intendo poprio per niente :P)

Gentilissimi, mi sono appena iscritta.
Sono una frana in questo genere di cose ed è per questo che cerco il vostro aiuto.
Incollo il mio msg in questo topic perché vedo che si parla di Win32.
(poco fa su Wikipedia ho visto trattasi di un ....componente di Windows....se non uso termini errati!)
Ebbene.........questo WIN32 mi è stato segnalato ad ogni scansione del mio antivirus e CONSIGLIATO DI ELIMINARLO.
Nei miei precedenti tentativi di spostarlo nel cestino ho fallito.
Quattro giorni fa, invece.........contenta di ciò, non solo l'ho spostato nel cestino ma l'ho pure eliminato.
Da quel momento.........E NON SO SE SIA UNA COINCIDENZA........il masterizzatore del mio portatile non funziona più.
Non so se ci siano altre cose che non funzionano, di questo mi sono accorta perché volevo salvare dei dati su cd e, in seguito, salvare dei video su dvd ma OGNI VOLTA MI CHIEDE DI INSERIRE UN DISCO SCRIVIBILE: cioè non rileva la presenza di nessun tipo di disco inserito.
MI POTETE CORTESEMENTE SPIEGARE SE HO COMMESSO UN ERRORE OPPURE NO ?
GRAZIE MILLE !!

MONICA

Dalla descrizione il tuo problema non sembra tanto riferibile ad un virus, potrebbe anche solo essere un banale problema di polvere sulla lente del lettore. Sinceramente non so dirti se sia il caso che tu apra un nuovo thread nella sezione infetti. Intanto potresti scrivere che antivirus hai e cosa ha eliminato, visto che win32 è un po' troppo generico per capire cosa è stato rilevato.
Poi se un moderatore legge saprà dirti se è meglio continuare qui o spostarsi in un'altra sezione del forum più appropriata.

:)

Gentilissimi, mi sono appena iscritta.
Sono una frana in questo genere di cose ed è per questo che cerco il vostro aiuto.
Incollo il mio msg in questo topic perché vedo che si parla di Win32.
(poco fa su Wikipedia ho visto trattasi di un ....componente di Windows....se non uso termini errati!)
Ebbene.........questo WIN32 mi è stato segnalato ad ogni scansione del mio antivirus e CONSIGLIATO DI ELIMINARLO.
Nei miei precedenti tentativi di spostarlo nel cestino ho fallito.
Quattro giorni fa, invece.........contenta di ciò, non solo l'ho spostato nel cestino ma l'ho pure eliminato.
Da quel momento.........E NON SO SE SIA UNA COINCIDENZA........il masterizzatore del mio portatile non funziona più.
Non so se ci siano altre cose che non funzionano, di questo mi sono accorta perché volevo salvare dei dati su cd e, in seguito, salvare dei video su dvd ma OGNI VOLTA DI CHIEDE DI INSERIRE UN DISCO SCRIVIBILE: cioè non rileva la presenza di nessun tipo di disco inserito.
MI POTETE CORTESEMENTE SPIEGARE SE HO COMMESSO UN ERRORE OPPURE NO ?
GRAZIE MILLE !!

MONICA

ripristina quel file che hai messo in quarantena e vedrai che il masterizzatore tornerà a funzionare come prima ;)

purtroppo esistono anche i falsi allarmi negli antivirus e l'unico modo per risolverli è inviare il file al laboratorio di analisi gratuita del proprio antivirus chiedendo conferma che si tratti di un virus, se dall'analisi risultasse un file innoquo verrebbe poi corretta l'enciclopedia delle firme virali per evitare nuovi avvisi errati :)

ad ogni modo se prima di contattare il laboratorio vuoi un nostro parere dovresti far analizzare il file su www.virustotal.com e www.viruscan.org . a fine scansione basta che copi e incolli qui l'indirizzo che visualizza il browser :)

Grazie per le vostre gentilissime risposte !:)
dunque.......
Se devo spostare la discussione, cortesemente ditemelo perché ancora non riesco ad orientarmi bene nel forum (ho anche poco tempo da dedicare al pc in questi giorni ma il masterizzatore mi servirebbe urgentemente perché ho molte foto e alcuni video da salvare).
Come antivirus utilizzo AVAST (4.8 home edition).
Se apro il cestino, su "files infetti" non c'è nulla.
Su "files di sistema" e "tutti i files del cestino" ci sono invece 5 files (gli stessi in entrambe le cartelle del cestino).

(Il famoso "virus" mi è stato segnalato inizialmente come WIN32 e non sono stata capace di risalire ad altre informazioni)

Li trascrivo:

- kernel32.dll - C\WINDOWS\sistem32 - (si ripete 2 volte con 2 date di "ultime modifiche" diverse, una del 2007 ed una APRILE 2008)
- wsock32.dll - C\WINDOWS\sistem32 - (anche questo si ripete 2 volte, nel 2004 e nell'APRILE 2008)
- winsock.dll - C\WINDOWS\sistem32 - E QUESTO E' L'UNICO CHE RIPORTI SULLA COLONNA NOMINATA "VIRUS" LA DICITURA "NO VIRUS"........(è una colonna a dx che prima non avevo notato) Però la data di modifica risale ad AGOSTO 2004 ! (e nel 2004 avevo Norton Antivirus)
:confused:

SECONDO ME HO ELIMINATO DEFINITIVAMENTE I FILES RITENUTI INFETTI CON LA SCANSIONE DEL 10 NOVEMBRE.:doh:
E ORA.....COME LI RECUPERO ???? :(

Non ricordavo già più di aver effettuato una prima scansione il 4 novembre.
In quella occasione, non riuscendo ad eliminare il "virus", ho inviato una richiesta di informazioni ad Avast (formulata automaticamente dal programma) nella quale si legge:

Virus name: Win32:Trojan-gen {Other}
Original file location: E:\run\autorun.exe
e:

Transfer time: 04.11.2008 15:36:19
Modification time: 30.09.2007 04:18:14
Total size: 684032
e:

File ID: 6
Category: 1

Vi fornisce informazioni utili ?

Quei tre file nel cestino di avast! sono dei file di sistema. Forse sono stati modificati da un altra infezione oppure avast! li ha visti come collegati all'infezione del 4/11/2008 e ti ha chiesto di rimuoverli (sarebbe stato più sensato ripararli).
Come ti aveva già suggerito xcdegasp dal cestino di avast! ripristina i tre file, poi effettua una scansione di ognuno di essi su www.virustotal.com e posta i link ai risultati su virustotal così ci facciamo un idea di cosa si tratta.
Poi segui questa guida :

GUIDA alla DISINFEZIONE per INFETTI - obbligatoria la lettura (http://www.hwupgrade.it/forum/showthread.php?t=1599737)

Quando hai fatto le scansioni necessarie apri una discussione qui:

http://www.hwupgrade.it/forum/forumdisplay.php?f=125

e posta tutti i log delle scansioni.
Non eliminare subito quello che trovano i vari software, ma mettili nella quarantena.
In caso di dubbi chiedi qui o nella nuova discussione.

:)

:eekk: ....Mi gira un po' la testa.....ma ci proverò !!
(ho letto le tue istruzioni tutto d'un fiato e sono andata in confusione :p )
A presto ! Appena ho novità, torno qui.
(però i files eliminati il 10 novembre 2008 non ci sono più! Mi sbaglio? NON HO MODO DI RECUPERARLI ?)

Ma in che posizione si trovano all'interno del cestino?
Files infetti
Files utente
Files di sistema

Avast di default crea una cartella isolata e di backup per i file importanti del SO quindi bisogna vedere dove sono

:eekk: ....Mi gira un po' la testa.....ma ci proverò !!
(ho letto le tue istruzioni tutto d'un fiato e sono andata in confusione :p )
A presto ! Appena ho novità, torno qui.
(però i files eliminati il 10 novembre 2008 non ci sono più! Mi sbaglio? NON HO MODO DI RECUPERARLI ?)

Ho trovato una discussione interessante in cui si dice che in file di sistema avast! mette delle copie di file importanti. Quindi non ha eliminato quei file e non ci sarebbe il bisogno che tu li ripristini.

http://www.manuali.net/forum/showthread.php?threadid=30718

Fai uno screenshot del cestino di avast! e metti l'immagine su www.picoodle.com.

(PER CHILL OUT)
Non ho capito se ti riferisci ai files che ho segnalato dettagliatamente nel msg più in alto oppure se mi chiedi di quelli eliminati il 10 novembre (se si tratta di questi, non li trovo in nessun posto).
Quei 5 files segnalati nell'altro msg, si visualizzano nelle due cartelle "files di sistema" e "tutti i files del cestino".
ORA..........
Ho tentato il ripristino di tutti i files.
Ne ripristina senza problemi SOLO 1, quello indicato con la scritta NO VIRUS.
Gli altri non li ripristina, dandomi questa scritta:

FileID: 0000000001 Il programma non può copiare il seguente file: C:\WINDOWS\system32\kernel32.dll (Nome originale: kernel32.dll)
--->Descrizione: Impossibile accedere al file. Il file è utilizzato da un altro processo


Inoltre, curiosando in ARCHIVIO VIRUS (dove appare selezionata la parola KLEZ), ho cliccato su "cerca" e su "maggiori informazioni", trovando questa pagina:

Win32:Klez-E
is an Internet worm that also contains a compressed copy of the Win32:Elkern virus, which is dropped and executed when the worm is run.
This worm searches for email address entries in the Windows address book but uses its own mailing routine.

The infected email has the following characteristics:
Subject line: could be either random or chosen from the following list:
How are you
Let's be friends
Darling
Don't drink too much
Your password
Honey
Some questions
Please try again
Welcome to my hometown
the Garden of Eden
introduction on ADSL
Meeting notice
Questionnaire
Congratulations
Sos!
japanese girl VS playboy
Look,my beautiful girl friend
Eager to see you
Spice girls' vocal concert
Japanese lass' sexy pictures
Body: text could be composed randomly or even empty.
Attached file: Random name with the extension .PIF, .SCR, .EXE or .BAT.

The sender address which appears in a message is chosen from a list inside the worm, so the real sender is not the one written in the message.

The worm attempts to use the well known MIME security hole in the MS-Outlook, MS-Outlook Express, and Internet Explorer to run the attachment automatically.

The worm copies itself to the Windows System directory under a random filename. Then it adds the registry key in the section HKLM\Software\Microsoft\Windows\CurrentVersion\Run to let execute itself on Windows startup. The worm may is also able to spread to remote shared disks on the network using random filenames. It also tries to disable several anti-virus products and delete some anti-virus related files.

On the 6th of March, May, September and November the worm will overwrite files on all drives which have one of the following extensions: .TXT, .HTM, .HTML, .WAB, .DOC, .XLS, .JPG, .C, .PAS, .MPG, .MPEG, .BAK and MP3. On the 6th January and July the worm will overwrite all files on all drives.

Removal:
To remove this virus please use our free avast! Virus Cleaner.

Any avast! with VPS file dated on or after 18th January 2002 is able to detect this worm.

UTILIZZO UN PROGRAMMA DI POSTA ELETTRONICA MOLTO CARINO MA CHE PROBABILMENTE CREA PROBLEMI (INCREDIMAIL) ?
Uff !! non ci capisco più nulla e non so se mi convenga formattare il pc.......
Però non ho un disco per i programmi in esso contenuti: erano già installati.

......
Fai uno screenshot del cestino di avast! e metti l'immagine su www.picoodle.com.

...mi chiedi troppo. Ho capito cosa intendi ma non credo di poterlo fare con il mio pc.......oppure non lo so fare...........:cry:

Io penso che la cosa migliore sia quella di fare le scansioni con i software della Guida Alla Disinfezione. Se c'è qualcosa che avast! non ha rilevato lo si potrà vedere dai log, nel caso ti verrà detto come procedere per rimoverli. Se il sistema risulterà pulito bisognerà vedere se il masterizzatore è tornato a funzionare, senza stare a preoccuparsi di quello che avast! ha già rimosso di suo.

:)

SONO ANDATA SU VIRUSTOTAL.
Ho tentato di inserire almeno uno dei files del mio cestino antivirus.......
ma NON SO DOVE TROVARLI.
Quando vado su "sfoglia" .........non ho idea di dove cercarli.
Mi spiace.

Per quanto riguarda il mio programma di posta elettronica (INCREDIMAIL),
sapete dirmi se può essere la causa di qualche malfunzionamento ?
Ho tentato di disinstallarlo ma uno dei componenti non può essere eliminato...

SONO ANDATA SU VIRUSTOTAL.
Ho tentato di inserire almeno uno dei files del mio cestino antivirus.......
ma NON SO DOVE TROVARLI.
Quando vado su "sfoglia" .........non ho idea di dove cercarli.
Mi spiace.

Ti è stato detto che i file che avast mette nel cestino alla voce files di sistema sono copie di sicurezza di file importanti. Quindi non serviva più che tu li controllassi su virustotal.
Quello che ti resta da fare è una scansione completa del sistema con i software elencati nella Guida Alla Disinfezione:

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Solo così si potrà vedere se il sistema ha qualche virus o i problemi che riscontri sono di altro tipo, altrimenti ci vuole un mago. :D

:)

SONO ANDATA SU VIRUSTOTAL.
Ho tentato di inserire almeno uno dei files del mio cestino antivirus.......
ma NON SO DOVE TROVARLI.
Quando vado su "sfoglia" .........non ho idea di dove cercarli.
Mi spiace.

certo che non li trovi perchè appunto sono stati archiviati nella "quarantena" del tuo antivirus quindi dovresti prima capire a che path si riferiscono e poi ripristinarli in questo modo poi potrai analizzarli su virustotal.com o viruscan.org o altri siti di analisi :)

:D ...il mago CI VUOLE !! :D

Ok, grazie.
Ora provo con la Guida alla disinfezione.......

Ciao !
(se non torno vuol dire che ho fatto fuori il pc !! :D )

..Sono su ATF Cleaner.......ok per MAIN ma FIREFOX e OPERA non mi si selezionano...........(Main e Information sono in neretto, le altre due no).

E ora che faccio ???? :confused:

(NON RIUSCIVO A RIENTRARE NEL FORUM.......)

Ho eseguito la scansione con PREVX-CSI.
Il computer risulta pulito.

Mi sa che io mi ricompro il portatile.......
Non mi va di avere in giro per casa ANCHE un masterizzatore !!!

VOI CHE MI DITE ?
(intanto RIPRISTINO LA CONFIGURAZIONE DI SISTEMA che ho disattivato, giusto ?)

non si abilitano le altre due schede perchè non possiedi quei due browser.. finite di selezionare le voci poi clicki su "empty ..."

non si abilitano le altre due schede perchè non possiedi quei due browser.. finite di selezionare le voci poi clicki su "empty ..."

Ciao e grazie!
Sì, l'ho fatto. E mi ha detto (credo, perché era in inglese) di aver .....eliminato?.....150 mb di files.
Nient'altro.
Allora ho cliccato su Exit e sono andata su CSI.

Salve a tutti,

dal momento che ho letto in altri thread che alcuni utenti hanno avuto problemi a rimuovere questo trojan, vi segnalo che ho scritto e rilasciato un cleaner dedicato. Il cleaner rimuove

1) il file infetto
2) la chiave di registro creata/usata dal trojan
3) l'account protetto con password creato/usato dal trojan
4) l'albero di directory creato dal trojan

Il cleaner (è un cleaner "puro", non uno scanner) richiede almeno Windows 2000 o S.O. superiori (ad es. Windows XP/2003) e puo' eliminare il trojan sia su filesystem NTFS (con o senza Encryption File System presente) che FAT32.

Il cleaner puo' essere prelevato qui

http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP

ciao,
Paolo.

grazie !
vedo che peerguardian mi blocca sempre delle connessioni a sto grozomon.
vuol dire che sono infetto ?
e se si, come faccio a capire qual è il file infetto ?