Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza

Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
A distanza di circa 8 mesi arriva l’importante aggiornamento dei MacBook Air: nessun cambiamento estetico, ma una revisione hardware interna con l’upgrade al processore M3. Le prestazioni migliorano rispetto alle generazioni precedenti, e questo fa sorgere una domanda spontanea: a chi è rivolto oggi questo laptop? Cerchiamo di capirlo nella nostra recensione 
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 16-03-2009, 01:59   #1
Abufinzio
Senior Member
 
L'Avatar di Abufinzio
 
Iscritto dal: Feb 2009
Messaggi: 1346
[NEWS] Virus tramite MSN: BRUNO BOZZETTO WARNING

Gira un nuovo tipo di malware tra gli utenti del programma di chat msn messenger.
Parte tutto con una semplice conversazione con chiunque delle vostra lista.
Vi chiedono se conoscete un certo bruno bozzetto o cmq vi parlano di un fumettista.
Vi mandano un suo filmato in exe all'interno di un archivio zip.
Pare una conversazione normale dato che a domande varie tipo "è un virus?" "è sicuro?" risponde in modo sensato.
Ed in fatti lo è, non è un ai che risponde in automatico, è una persona italiana che ha preso possesso della password di quella persona che vi sta contattando, si è connesso e vi risponde normalmente.
Ovvio che con delle risposte sensate uno apre il file tranquillamente.
Il file che la persona vi manda è uno zip con all'interno una animazione in flash o cosi pare essere.
In realtà è un virus o cmq malware e infatti non parte restituendo un messaggio di errore indicando che la versione di flash che avete sul pc non è aggiornata.
E li avviene l'infezione.
Per sapere se siete stati colpiti andate su c: e vedete se avete un file con estensione scr, poi cliccando su start > esegui > msconfig andate sulla linguetta AVVIO e vedete se avete un file bolle o cmq un scr che parte in automatico.
Se avete già riavviato è possibile che vediate, attraverso il task manager, un exe chiamato iexplorer che occupa circa 3 megabyte che se chiuso ricompare.
In più è possibile che se avete un firewall sw vi venga fuori la richiesta da parte di un programma crytp.exe di accedere ad internet, ovviamente bloccatelo.
A seconda dell'av che avete installato questa persona da remoto vi disattiva o cmq fa qualcosa per eliminare il problema antivirus, a me per esempio, dopo l'avvio (ancora non avevo capito l'entità del danno) mi compare la richiesta del programma di accedere ad internet nonostante l'avessi flaggato con blocca sempre e il cursore si sposta automaticamente su consenti.
A quel punto vedo i programmi dumeter e cfos speed che indicano un alto valore in upload e le lucine del router cominciano a lampeggiare all'impazzata, a quel punto ho staccato direttamente il cavo ethernet che fortunatamente avevo li vicino.
Fatto ciò formatto
Quali dati mandi non lo so, quello che è certo è che frega la password del vostro account di messenger per poi connettersi e inviare questo file a tutti quelli della vostra lista.
Se pensate di essere stati beccati cambiate tempestivamente la password del vostro account hotmail/live, meglio se da un altro pc.
Se l'opzione Salva Password era disattivata magari non vi è successo nulla ma non ne sarei cosi sicuro.
La fonte di sta cosa praticamente sono io che dopo la formattazione del pc ho aperto un thread sul forum di ngi che potete leggere a questo indirizzo.
Non pensate di essere al sicuro, ha fregato anche gente con nod, avg, avira e altri av.
Grazie all'utente superbug pare esserci una cura ma da bravo winzozziano vi consiglio di formattare

Ultima modifica di Abufinzio : 16-03-2009 alle 13:24.
Abufinzio è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 02:10   #2
SuperBug
Junior Member
 
Iscritto dal: Jan 2005
Messaggi: 6
io sono riuscito ad eliminarlo.
crossposto dal forum di ngi

"vabbè la cosa da fare è molto semplice:

1. scaricatevi malwarebytes anti-malware
2. installatelo e aggiornatelo
3.fategli fare una scansione(io l'ho fatta semplice,cè anche quella approfondita)
4.quando vi trova i virus gli dite di cancellarli
5. vi chiederà di riavviare per correggere il file svchost.exe(perchè è quello il file infettato)
6.dopo il riavvio magari fate una scansione con hijackthis per vedere se è tutto pulito come è successo a me"
SuperBug è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 03:21   #3
Abufinzio
Senior Member
 
L'Avatar di Abufinzio
 
Iscritto dal: Feb 2009
Messaggi: 1346
thx superbug per lo scazzo
Abufinzio è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 09:06   #4
FulValBot
Senior Member
 
L'Avatar di FulValBot
 
Iscritto dal: Oct 2007
Città: Roma
Messaggi: 9726
per prima cosa usate un antivirus serio, cosa che avg non è mai stato, pensando anche a quello che ha combinato alcuni mesi fa...


come antivirus free il migliore è avira antivir personal. di quelli a pagamento è nod32 (alcuni dicono che kaspersky è il migliore, io non l'ho mai provato quindi fate voi...).

e possibilmente va impostato al max.

ovviamente anch'io suggerisco di mettere malwarebytes free come ulteriore protezione. e magari aggiungete anche superantispyware free.

questi ultimi due non sono in real-time quindi non dovrebbero andare in conflitto. aggiornateli spesso e provate a scansionare.
FulValBot è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 10:53   #5
Abufinzio
Senior Member
 
L'Avatar di Abufinzio
 
Iscritto dal: Feb 2009
Messaggi: 1346
mi spiace ma c'è scritto chiaramente nel thread linkato che il virus (o il tipo da remoto) disattivano i vari sw o cmq modificano qualcosa quindi non è colpa dell'av.
lo zip passato su msn l'ho analizzato con avg e niente, anzi lo fa lui appena mi arriva.
Altra gente magari col nod32 l'ha analizzato ma non è stato rilevato quindi perfavore non mettiamola sul piano antivirus pinco > antivirus pallino eh
e dei free me ne sbatto, ho comprato avg quasi un anno fa e va benissimo (calcola che prima usavo il nis2005 e anche li niente merda e nessun problema, a parte la pesantezza del motore ovviamente).
Quello di ieri sarà stato roba nuova tutto qui.
Abufinzio è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 12:49   #6
ezio
Senior Member
 
L'Avatar di ezio
 
Iscritto dal: Apr 2001
Città: Giovinazzo(BA) ...bella città, riso patat e cozz a volontà!
Messaggi: 26480
Spostato e modificato il titolo, se possibile adegua il primo post alle linee guida indicate qui: http://www.hwupgrade.it/forum/showthread.php?t=1683159

Grazie in anticipo.
Ciao
ezio è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 12:50   #7
Abufinzio
Senior Member
 
L'Avatar di Abufinzio
 
Iscritto dal: Feb 2009
Messaggi: 1346
ricevuto
ci metterò un po' ma lo faccio
Abufinzio è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 14:24   #8
c.m.g
Senior Member
 
L'Avatar di c.m.g
 
Iscritto dal: Mar 2006
Messaggi: 22109
Quote:
Originariamente inviato da ezio Guarda i messaggi
Spostato e modificato il titolo, se possibile adegua il primo post alle linee guida indicate qui: http://www.hwupgrade.it/forum/showthread.php?t=1683159

Grazie in anticipo.
Ciao
grazie per la precisazione ezio

@Abufinzio
grazie per la tua segnalazione
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Ultima modifica di c.m.g : 16-03-2009 alle 14:26.
c.m.g è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 14:33   #9
Abufinzio
Senior Member
 
L'Avatar di Abufinzio
 
Iscritto dal: Feb 2009
Messaggi: 1346
di nulla o/
Abufinzio è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 14:44   #10
SuperBug
Junior Member
 
Iscritto dal: Jan 2005
Messaggi: 6
Quote:
Originariamente inviato da Abufinzio Guarda i messaggi
thx superbug per lo scazzo
ma quale scazzo, tanto dovevo togliermi stò virus dal pc



cmq se qualche contatto di msn vuole inviarvi il file, scaricatelo ma nel frattempo controllate l'ip dalla console(netstat -a -n da scrivere nel prompt dei comandi mentre vi invia il file), così è possibile avere un ip da dove parte il lamer
SuperBug è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 14:45   #11
Abufinzio
Senior Member
 
L'Avatar di Abufinzio
 
Iscritto dal: Feb 2009
Messaggi: 1346
nice one
Abufinzio è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 14:59   #12
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da Abufinzio Guarda i messaggi
...Parte tutto con una semplice conversazione con chiunque delle vostra lista.
Vi chiedono se conoscete un certo bruno bozzetto o cmq vi parlano di un fumettista.
Vi mandano un suo filmato in exe all'interno di un archivio zip.
Pare una conversazione normale dato che a domande varie tipo "è un virus?" "è sicuro?" risponde in modo sensato.
Ed in fatti lo è, non è un ai che risponde in automatico, è una persona italiana che ha preso possesso della password di quella persona che vi sta contattando, si è connesso e vi risponde normalmente.
Ovvio che con delle risposte sensate uno apre il file tranquillamente.....
Bella storia!


La differenza tra me e buona parte degli utenti Windows, cmq, è racchiusa tutta nei passi in grassetto...

E infatti, presuntuosamente, grazie a questo atteggiamento in n anni di utilizzo di Pc non ho mai postato in sezioni quali "aiuto, sono infetto: cosa faccio?"




Applausi scroscianti, grazie...
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 15:05   #13
Abufinzio
Senior Member
 
L'Avatar di Abufinzio
 
Iscritto dal: Feb 2009
Messaggi: 1346
capisci a noi perfavore, è una vita che non prendiamo merda (almeno io, 4/5 anni senza infezioni).
Se doveva succedere qualcosa ci aspettavamo un avviso dell'antivirus, non una richiesta da parte del firewall di far accedere o no un programma alla rete
Abufinzio è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 15:12   #14
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da Abufinzio Guarda i messaggi
capisci a noi perfavore...

eeh, se capisco....

Bella storiella, cmq....

Alla prox!
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 15:15   #15
Ingro
Senior Member
 
L'Avatar di Ingro
 
Iscritto dal: Jun 2003
Messaggi: 754
Anche io sono stato vittima di questo malware ieri sera... l'unica differenza è che il file che cercava di accedere alla rete si chiama icy castle.exe... fortunatamente comodo se n'è accorto e l'ho bloccato... successivamente con killbox sono riuscito a eliminare svchost.exe nella cartella di windows e al successivo riavvio sembra pulito... non c'è più nessun tentativo di icy castle.exe e svchost.exe non è ricomparso... cmq mi confermate che con malwarebytes anti-malware se c'è ancora qualche traccia riesco a eliminarla? Grazie.
__________________
Case CM 690 - Ali CM Silent M600 - MoBo Asus P8P67 EVO Rev.3 - CPU Intel i5 2500K + AC Freezer 13 - RAM 4x4GB G.Skill Ripjaws DDR3 1600 - Video Sapphire HD 7950 Dual-X & Samsung P2450H - Audio Asus Xonar DX & Empire PS2120D
"Follow the white rabbit..."
Ingro è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 15:37   #16
Abufinzio
Senior Member
 
L'Avatar di Abufinzio
 
Iscritto dal: Feb 2009
Messaggi: 1346
a quanto pare si riesce a eliminare tutto, però boh questa roba se chi l'ha fatta è furbo si lascia delle backdoor o roba del genere, io formatterei


Quote:
Originariamente inviato da nV 25 Guarda i messaggi
eeh, se capisco....

Bella storiella, cmq....

Alla prox!
forse è un bene che sia capitato, cosi d'ora in poi posso considerare l'av solo un palliativo e cominciare a stare sempre attento e cmq.
oh, non è che sono l'utente classico che accetta tutto e clicca su tutto eh, io sto attento a qualunque cosa ma questa volta con la scusa che rispondeva sensatamente ci son rimasto fregato; tra l'altro in passato ho ricevuto delle animazioni in flash in eseguibile che non mi hanno dato problemi ed erano reali, come cavolo poteva venirmi in mente tutta sta roba.
La mia fortuna è che conosco la mia macchina e il sw che metto nel pc quindi ai primi segni di qualcosa che non andava ho ranzato tutto istantaneamente xD
alla peggio passo ad ubuntu
Abufinzio è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 15:39   #17
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da Ingro Guarda i messaggi
Anche io sono stato vittima di questo malware ieri sera... l'unica differenza è che il file che cercava di accedere alla rete si chiama icy castle.exe... fortunatamente comodo se n'è accorto e l'ho bloccato...
il tuo intervento mi interessa:

l'exe, una volta eseguito, l'hai fatto "girare" con l'install mode attivo o hai dato l'ok a tutti i pop-up di allarme che D+ ti segnalava?
Grazie...
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 15:50   #18
Ingro
Senior Member
 
L'Avatar di Ingro
 
Iscritto dal: Jun 2003
Messaggi: 754
Quote:
Originariamente inviato da nV 25 Guarda i messaggi
il tuo intervento mi interessa:

l'exe, una volta eseguito, l'hai fatto "girare" con l'install mode attivo o hai dato l'ok a tutti i pop-up di allarme che D+ ti segnalava?
Grazie...
Dunque il D+ lo tenevo disabilitato quindi non ho idea di cosa segnalasse durante l'esecuzione, la cosa strana è che il file non è fisicamente presente nella locazione indicata da comodo, forse è un file temporaneo che viene creato solo x inviare i dati e poi cancellato, o un rootkit anche se lo vedo meno probabile... cmq da quando ho eliminato svchost.exe e la chiave di registro riguardante java non è più ricomparso...

Si forse come dice Abu data la particolarità della situazione un format sarebbe più salutare, ma x mancanza di tempo e voglia vorrei evitare, stasera scansiono con malwarebytes e aggiungo una regola al firewall x bloccare tutti i pacchetti in/out verso l'indirizzo a cui si voleva connettere icy caste.exe e penso di poter stare ragionevolmente tranquillo :P
__________________
Case CM 690 - Ali CM Silent M600 - MoBo Asus P8P67 EVO Rev.3 - CPU Intel i5 2500K + AC Freezer 13 - RAM 4x4GB G.Skill Ripjaws DDR3 1600 - Video Sapphire HD 7950 Dual-X & Samsung P2450H - Audio Asus Xonar DX & Empire PS2120D
"Follow the white rabbit..."

Ultima modifica di Ingro : 16-03-2009 alle 15:56.
Ingro è offline   Rispondi citando il messaggio o parte di esso
Old 16-03-2009, 20:08   #19
Ingro
Senior Member
 
L'Avatar di Ingro
 
Iscritto dal: Jun 2003
Messaggi: 754
Aggiornamento:

ho fatto la scansione con Malwarebytes e il sistema risulta pulito, sembra che la disinfezione manuale abbia funzionato!
__________________
Case CM 690 - Ali CM Silent M600 - MoBo Asus P8P67 EVO Rev.3 - CPU Intel i5 2500K + AC Freezer 13 - RAM 4x4GB G.Skill Ripjaws DDR3 1600 - Video Sapphire HD 7950 Dual-X & Samsung P2450H - Audio Asus Xonar DX & Empire PS2120D
"Follow the white rabbit..."
Ingro è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Apple MacBook Air M3: chi deve davvero comprarlo? La recensione Apple MacBook Air M3: chi deve davvero comprarlo...
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Creato un transistor che può esse...
RocketStar FireStar Drive: un propulsore...
Roscosmos: il lancio del razzo spaziale ...
Italia strategica per Oracle. Arriva la ...
Sam-Bankman Fried: 25 anni di reclusione...
Mobility Analytics di WINDTRE Business p...
Il lander lunare JAXA SLIM si è r...
Warframe conquista l'iPhone: senza soluz...
Marvel Rivals!, l'inaspettato shooter Pv...
Twitch aggiorna le linee guida sui conte...
Galaxy M55 ufficiale: la nuova fascia me...
Google corregge sette vulnerabilit&agrav...
IA: le imprese italiane sono in prima li...
Garmin Dash Cam 57: un'alleata perfetta ...
Elgato Facecam MK2: come rendere ancora ...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 06:38.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www1v