|
|
|
|
Strumenti |
16-03-2009, 01:59 | #1 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 1346
|
[NEWS] Virus tramite MSN: BRUNO BOZZETTO WARNING
Gira un nuovo tipo di malware tra gli utenti del programma di chat msn messenger.
Parte tutto con una semplice conversazione con chiunque delle vostra lista. Vi chiedono se conoscete un certo bruno bozzetto o cmq vi parlano di un fumettista. Vi mandano un suo filmato in exe all'interno di un archivio zip. Pare una conversazione normale dato che a domande varie tipo "è un virus?" "è sicuro?" risponde in modo sensato. Ed in fatti lo è, non è un ai che risponde in automatico, è una persona italiana che ha preso possesso della password di quella persona che vi sta contattando, si è connesso e vi risponde normalmente. Ovvio che con delle risposte sensate uno apre il file tranquillamente. Il file che la persona vi manda è uno zip con all'interno una animazione in flash o cosi pare essere. In realtà è un virus o cmq malware e infatti non parte restituendo un messaggio di errore indicando che la versione di flash che avete sul pc non è aggiornata. E li avviene l'infezione. Per sapere se siete stati colpiti andate su c: e vedete se avete un file con estensione scr, poi cliccando su start > esegui > msconfig andate sulla linguetta AVVIO e vedete se avete un file bolle o cmq un scr che parte in automatico. Se avete già riavviato è possibile che vediate, attraverso il task manager, un exe chiamato iexplorer che occupa circa 3 megabyte che se chiuso ricompare. In più è possibile che se avete un firewall sw vi venga fuori la richiesta da parte di un programma crytp.exe di accedere ad internet, ovviamente bloccatelo. A seconda dell'av che avete installato questa persona da remoto vi disattiva o cmq fa qualcosa per eliminare il problema antivirus, a me per esempio, dopo l'avvio (ancora non avevo capito l'entità del danno) mi compare la richiesta del programma di accedere ad internet nonostante l'avessi flaggato con blocca sempre e il cursore si sposta automaticamente su consenti. A quel punto vedo i programmi dumeter e cfos speed che indicano un alto valore in upload e le lucine del router cominciano a lampeggiare all'impazzata, a quel punto ho staccato direttamente il cavo ethernet che fortunatamente avevo li vicino. Fatto ciò formatto Quali dati mandi non lo so, quello che è certo è che frega la password del vostro account di messenger per poi connettersi e inviare questo file a tutti quelli della vostra lista. Se pensate di essere stati beccati cambiate tempestivamente la password del vostro account hotmail/live, meglio se da un altro pc. Se l'opzione Salva Password era disattivata magari non vi è successo nulla ma non ne sarei cosi sicuro. La fonte di sta cosa praticamente sono io che dopo la formattazione del pc ho aperto un thread sul forum di ngi che potete leggere a questo indirizzo. Non pensate di essere al sicuro, ha fregato anche gente con nod, avg, avira e altri av. Grazie all'utente superbug pare esserci una cura ma da bravo winzozziano vi consiglio di formattare Ultima modifica di Abufinzio : 16-03-2009 alle 13:24. |
16-03-2009, 02:10 | #2 |
Junior Member
Iscritto dal: Jan 2005
Messaggi: 6
|
io sono riuscito ad eliminarlo.
crossposto dal forum di ngi "vabbè la cosa da fare è molto semplice: 1. scaricatevi malwarebytes anti-malware 2. installatelo e aggiornatelo 3.fategli fare una scansione(io l'ho fatta semplice,cè anche quella approfondita) 4.quando vi trova i virus gli dite di cancellarli 5. vi chiederà di riavviare per correggere il file svchost.exe(perchè è quello il file infettato) 6.dopo il riavvio magari fate una scansione con hijackthis per vedere se è tutto pulito come è successo a me" |
16-03-2009, 03:21 | #3 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 1346
|
thx superbug per lo scazzo
|
16-03-2009, 09:06 | #4 |
Senior Member
Iscritto dal: Oct 2007
Città: Roma
Messaggi: 9726
|
per prima cosa usate un antivirus serio, cosa che avg non è mai stato, pensando anche a quello che ha combinato alcuni mesi fa...
come antivirus free il migliore è avira antivir personal. di quelli a pagamento è nod32 (alcuni dicono che kaspersky è il migliore, io non l'ho mai provato quindi fate voi...). e possibilmente va impostato al max. ovviamente anch'io suggerisco di mettere malwarebytes free come ulteriore protezione. e magari aggiungete anche superantispyware free. questi ultimi due non sono in real-time quindi non dovrebbero andare in conflitto. aggiornateli spesso e provate a scansionare. |
16-03-2009, 10:53 | #5 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 1346
|
mi spiace ma c'è scritto chiaramente nel thread linkato che il virus (o il tipo da remoto) disattivano i vari sw o cmq modificano qualcosa quindi non è colpa dell'av.
lo zip passato su msn l'ho analizzato con avg e niente, anzi lo fa lui appena mi arriva. Altra gente magari col nod32 l'ha analizzato ma non è stato rilevato quindi perfavore non mettiamola sul piano antivirus pinco > antivirus pallino eh e dei free me ne sbatto, ho comprato avg quasi un anno fa e va benissimo (calcola che prima usavo il nis2005 e anche li niente merda e nessun problema, a parte la pesantezza del motore ovviamente). Quello di ieri sarà stato roba nuova tutto qui. |
16-03-2009, 12:49 | #6 |
Senior Member
Iscritto dal: Apr 2001
Città: Giovinazzo(BA) ...bella città, riso patat e cozz a volontà!
Messaggi: 26480
|
Spostato e modificato il titolo, se possibile adegua il primo post alle linee guida indicate qui: http://www.hwupgrade.it/forum/showthread.php?t=1683159
Grazie in anticipo. Ciao
__________________
Ezio Lacandia on DeviantArt | Slimkat mod per N4 e N5 | Trattative mercatino HWU | Driver nForce NET Framework [Guida] | BSOD individuazione cause | Guida Sintetica Strap/Divisori P45 | Fix associazioni Vista/7 Problemi Win Installer | Avviare programmi senza richiesta UAC | Problemi Font | Guida Raccolte 7 | Win 32/64bit come perchè |
16-03-2009, 12:50 | #7 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 1346
|
ricevuto
ci metterò un po' ma lo faccio |
16-03-2009, 14:24 | #8 | |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
Quote:
@Abufinzio grazie per la tua segnalazione
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 16-03-2009 alle 14:26. |
|
16-03-2009, 14:33 | #9 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 1346
|
di nulla o/
|
16-03-2009, 14:44 | #10 |
Junior Member
Iscritto dal: Jan 2005
Messaggi: 6
|
ma quale scazzo, tanto dovevo togliermi stò virus dal pc
cmq se qualche contatto di msn vuole inviarvi il file, scaricatelo ma nel frattempo controllate l'ip dalla console(netstat -a -n da scrivere nel prompt dei comandi mentre vi invia il file), così è possibile avere un ip da dove parte il lamer |
16-03-2009, 14:45 | #11 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 1346
|
nice one
|
16-03-2009, 14:59 | #12 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
La differenza tra me e buona parte degli utenti Windows, cmq, è racchiusa tutta nei passi in grassetto... E infatti, presuntuosamente, grazie a questo atteggiamento in n anni di utilizzo di Pc non ho mai postato in sezioni quali "aiuto, sono infetto: cosa faccio?" Applausi scroscianti, grazie... |
|
16-03-2009, 15:05 | #13 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 1346
|
capisci a noi perfavore, è una vita che non prendiamo merda (almeno io, 4/5 anni senza infezioni).
Se doveva succedere qualcosa ci aspettavamo un avviso dell'antivirus, non una richiesta da parte del firewall di far accedere o no un programma alla rete |
16-03-2009, 15:12 | #14 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
|
16-03-2009, 15:15 | #15 |
Senior Member
Iscritto dal: Jun 2003
Messaggi: 754
|
Anche io sono stato vittima di questo malware ieri sera... l'unica differenza è che il file che cercava di accedere alla rete si chiama icy castle.exe... fortunatamente comodo se n'è accorto e l'ho bloccato... successivamente con killbox sono riuscito a eliminare svchost.exe nella cartella di windows e al successivo riavvio sembra pulito... non c'è più nessun tentativo di icy castle.exe e svchost.exe non è ricomparso... cmq mi confermate che con malwarebytes anti-malware se c'è ancora qualche traccia riesco a eliminarla? Grazie.
__________________
Case CM 690 - Ali CM Silent M600 - MoBo Asus P8P67 EVO Rev.3 - CPU Intel i5 2500K + AC Freezer 13 - RAM 4x4GB G.Skill Ripjaws DDR3 1600 - Video Sapphire HD 7950 Dual-X & Samsung P2450H - Audio Asus Xonar DX & Empire PS2120D "Follow the white rabbit..." |
16-03-2009, 15:37 | #16 |
Senior Member
Iscritto dal: Feb 2009
Messaggi: 1346
|
a quanto pare si riesce a eliminare tutto, però boh questa roba se chi l'ha fatta è furbo si lascia delle backdoor o roba del genere, io formatterei
forse è un bene che sia capitato, cosi d'ora in poi posso considerare l'av solo un palliativo e cominciare a stare sempre attento e cmq. oh, non è che sono l'utente classico che accetta tutto e clicca su tutto eh, io sto attento a qualunque cosa ma questa volta con la scusa che rispondeva sensatamente ci son rimasto fregato; tra l'altro in passato ho ricevuto delle animazioni in flash in eseguibile che non mi hanno dato problemi ed erano reali, come cavolo poteva venirmi in mente tutta sta roba. La mia fortuna è che conosco la mia macchina e il sw che metto nel pc quindi ai primi segni di qualcosa che non andava ho ranzato tutto istantaneamente xD alla peggio passo ad ubuntu |
16-03-2009, 15:39 | #17 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
l'exe, una volta eseguito, l'hai fatto "girare" con l'install mode attivo o hai dato l'ok a tutti i pop-up di allarme che D+ ti segnalava? Grazie... |
|
16-03-2009, 15:50 | #18 | |
Senior Member
Iscritto dal: Jun 2003
Messaggi: 754
|
Quote:
Si forse come dice Abu data la particolarità della situazione un format sarebbe più salutare, ma x mancanza di tempo e voglia vorrei evitare, stasera scansiono con malwarebytes e aggiungo una regola al firewall x bloccare tutti i pacchetti in/out verso l'indirizzo a cui si voleva connettere icy caste.exe e penso di poter stare ragionevolmente tranquillo :P
__________________
Case CM 690 - Ali CM Silent M600 - MoBo Asus P8P67 EVO Rev.3 - CPU Intel i5 2500K + AC Freezer 13 - RAM 4x4GB G.Skill Ripjaws DDR3 1600 - Video Sapphire HD 7950 Dual-X & Samsung P2450H - Audio Asus Xonar DX & Empire PS2120D "Follow the white rabbit..." Ultima modifica di Ingro : 16-03-2009 alle 15:56. |
|
16-03-2009, 20:08 | #19 |
Senior Member
Iscritto dal: Jun 2003
Messaggi: 754
|
Aggiornamento:
ho fatto la scansione con Malwarebytes e il sistema risulta pulito, sembra che la disinfezione manuale abbia funzionato!
__________________
Case CM 690 - Ali CM Silent M600 - MoBo Asus P8P67 EVO Rev.3 - CPU Intel i5 2500K + AC Freezer 13 - RAM 4x4GB G.Skill Ripjaws DDR3 1600 - Video Sapphire HD 7950 Dual-X & Samsung P2450H - Audio Asus Xonar DX & Empire PS2120D "Follow the white rabbit..." |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 06:38.