Hardware Upgrade Forum

Hardware Upgrade Forum (https://www.hwupgrade.it/forum/index.php)
-   Aiuto sono infetto! Cosa faccio? (https://www.hwupgrade.it/forum/forumdisplay.php?f=125)
-   -   Scaricato file malevolo (https://www.hwupgrade.it/forum/showthread.php?t=2943695)


Life bringer 08-07-2021 16:54
Scaricato file malevolo
 
Buonasera, purtroppo per una mia distrazione ho scaricato (ed eseguito) un file malevolo.
Il risultato del file installato su virustotal è questo: https://www.virustotal.com/gui/file/...aa71/detection

Dopo averlo eseguito è partita una richiesta uac, subito dopo è uscito il messaggio che il pc si sarebbe riavviato entro 1 minuto (in quel momento ho realizzato della sciocchezza fatta e ho brutalmente spento il pc).
Ora son con il portatile, visto che nel caso mi sia beccato un file che cripta e chiede il riscatto spero non abbia fatto troppi danni.

Come mi devo comportare?

Grazie!

Life bringer 09-07-2021 03:36
Grazie per la completa risposta.

Purtroppo non si trattava di un falso positivo ma bensì di un trojan che ha una dimansione random in modo da essere più stealth con gli antivirus.

Ho scaricato kaspersky anti-virus attivato la licenza di prova e ha proceduto alla rilevazione e rimozione del virus.
Rianalizzando il file ora su virustotal anch'esso lo riconosce come virus.

Ora sto facendo per maggior sicurezza una scansione totale del sistema, ma credo la situazione sia rientrata.

Purtroppo non potevo smontare l'hard disk in quanto trattasi di un ssd nvme e non ho altri pc dove montarlo.

Diciamo che mi sembra ridicola questa nuova feature degli antivirus che ti costringe a rimanere connesso per validare una licenza demo o per scaricare l'antivirus in se, fanno praticamente il gioco dei trojan, costringerti a stare online pur sapendo di essere infetto.

Edit: Secondo kaspersky l'infezione è risolta, ma purtroppo: windows update non funziona, restituendomi sempre questo errore: "Si sono verificati alcuni problemi durante l'installazione degli aggiornamenti, ma verrà eseguito un ulteriore tentativo più tardi. Se il messaggio viene visualizzato di nuovo e vuoi cercare ulteriori informazioni nel Web o contattare il supporto tecnico, questo può essere utile: (0x80070424)"

Il microsoft store non è più funzionante, se provo ad aprire l'app si chiude immediatamente.

Perseverance 09-07-2021 10:03
Il virus sarà anche estirpato ma le cicatrici te le ha lasciate. Chissà quanti altri strascichi troverai fra servizi disattivati e roba modificata. Sono anni, tanti anni, che io non rimuovo più virus a nessuno; chiedo cosa vogliono salvare (foto, password, video, musica, cronologia) eppoi formattone!

Coi sistemi operativi ed i virus odierni non hai più idea di cosa vadano a modificare, a iniettare, a inserire negli exe e nelle dll di sistema e non; magari riaprono buchi chiusi da aggiornamenti o inseriscono codice aggiuntivo da qualche parte. Con un sistema completamente chiuso come quello di microsoft che ti vuoi mettere a disinfettare?!

Riformatti e basta! No ripristino, proprio piallare e reinstallare.

Se l'antivirus lo metti prima può servire a qualcosa, ma se lo metti dopo l'infezione non serve quasi più a nulla.

Non voglio insegnare a usare il PC a nessuno ma servirebbe più che un antivirus una sana pratica di igiene e consapevolezza nell'utilizzo del PC; il solo creare e usare un account utente limitato ed uno amministrativo con password ti leva di torno la maggiorparte delle conseguenze gravi di virus e malware. Browser affidabile, blocco script e pubblicità fungono altrettanto bene come forma ulteriore di prevenzione. Eppoi backup esterno delle tue cose.

Life bringer 09-07-2021 15:13
Credo che il virus in se non fosse "nuovo".

Caricato su virustotal ha questi dettagli:
Creation Time 2020-03-15 06:37:31
First Seen In The Wild 2021-02-06 21:01:19

Visto che poi l'ho scaricato (ma senza eseguirlo ovviamente), sul portatile, per darlo in pasto a virus total, questo "coso", cambia nome ogni volta che viene scaricato, in più, viene scaricato un archivio in un archivio (con password contenuta in un semplice txt).

Le firme degli antivirus l'hanno riconosciuto subito, adwcleaner ha cercato di rimuoverlo in modo molto grezzo (senza risultati), kaspersky invece l'ha fatto a pezzettini.

Su virustotal alla voce behaviour, si possono trovare dei riferimenti su ciò che crea e distrugge e come si comporta, per fortuna è un "semplice" trojan, il suo scopo era rimanere in incognito e avere uno zombiepc in più.

Il simpaticone aveva cancellato totalmente i riferimenti al servizio wuauserv, con un file di registro l'ho reimpostato ed ora funziona tutto, aggiornamenti e microsoft store (per il poco che lo uso).

Per quanto concerne i consigli, li conosco, purtroppo ieri ho commesso una disattenzione dovuta alla fretta, il file era scaricato da una fonte sicura, ma il sito si è verificato malevolo, tanto che dopo la mia segnalazione è stato fatto sparire il link, nemmeno l'autore riusciva più a scaricare il proprio file, in più il sito in questione ha chiesto esplicitamente di disattivare ublock (che uso regolarmente), per poter scaricare il file. Insomma mea culpa senza scusanti.

Life bringer 09-07-2021 20:14
Purtroppo ieri quei file nella partizione nascosta non erano segnati.
Ho provato a controllarli, ti chiedo, se possibile di confrontarli con i tuoi:
Versione 21H1 (build SO 19043.1083)
EFI\Boot\EfiGuardDxe.efi -> file non presente.


EFI\Boot\bootx64.efi
Nome: bootx64.efi
Dimensione: 1558840 byte (1522 KiB)
CRC32: 1AF70B6F
CRC64: 160E1EE494502699
SHA256: 0CF115A72BB7F3AEA4535B5D3090A8B0E291D1C5CD1D1724E41754D82ECBD55C
SHA1: E458D5E1B326BE03E59478B7F26A157C7D8936A8
BLAKE2sp: F239A158B329284F43C9958EFA6E5AE72B33875B60026E66622F6689EB2BEDB3


EFI\Microsoft\Boot\bootmgfw.efi
Nome: bootmgfw.efi
Dimensione: 1558840 byte (1522 KiB)
CRC32: 1AF70B6F
CRC64: 160E1EE494502699
SHA256: 0CF115A72BB7F3AEA4535B5D3090A8B0E291D1C5CD1D1724E41754D82ECBD55C
SHA1: E458D5E1B326BE03E59478B7F26A157C7D8936A8
BLAKE2sp: F239A158B329284F43C9958EFA6E5AE72B33875B60026E66622F6689EB2BEDB3


Li avrei confrontati io stesso sul portatile pur utilizzando la stessa versione di 10 è stato installato in un altro modo e la partizione e i file non sono presenti.

Life bringer 09-07-2021 22:00
Ottima idea, non ci avevo pensato. Il primo file non è stato creato dal virus, essendo un'utility per disattivare i driver firmati, probabilmente il virus cerca di insinuarsi in esso nel caso sia installato.

Entrambi i file sembrano essere "puliti":
https://www.virustotal.com/gui/file/...d55c/detection

https://www.virustotal.com/gui/file/...d55c/detection

Per quanto riguarda la data di modifica, entrambi riportano il 23 giugno 2021, quando ho installato l'ultima versione di windows 10.

Life bringer 12-07-2021 14:25
Mh hai ragione, ho ricontrollato, i due file sono esattamente identici, pensavo di aver fatto casino con il copia incolla


Tutti gli orari sono GMT +1. Ora sono le: 07:34.

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.