Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > Aiuto sono infetto! Cosa faccio?

Death Stranding: Director's Cut, il viaggio di Sam continua su PS5 - Recensione
Death Stranding: Director's Cut, il viaggio di Sam continua su PS5 - Recensione
Dopo il debutto su PS4 e il successivo rilascio su PC, l'ultima opera di Hideo Kojima approda anche su PlayStation 5. La riedizione dell'action/adventure porta con sé un comparto tecnico aggiornato e un'abbondante quantità di contenuti inediti, tra cui una nuova questline, game mode aggiuntive e tanti nuovi gadget per Sam Porter Bridges. Varrà la pena fare un 'upgrade'?
Sony Xperia 1 III: display e fotocamera al top giustificano il prezzo? La recensione
Sony Xperia 1 III: display e fotocamera al top giustificano il prezzo? La recensione
Abbiamo testato l'ultimo smartphone di punta del colosso giapponese. La serie Xperia 1 arrivata alla terza generazione non stravolge rispetto al passato ma migliora alcuni importanti aspetti. Scopriamoli nella recensione completa.
Psychonauts 2: la psicologia incontra il gaming
Psychonauts 2: la psicologia incontra il gaming
Dopo anni di attesa e di infiniti posticipi, l'attesissimo titolo di Tim Schafer è finalmente disponibile. Ed è stato accolto a braccia aperte dalla community dei giocatori con una valutazione "Estremamente positiva" su Steam
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 08-07-2021, 16:54   #1
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8003
Scaricato file malevolo

Buonasera, purtroppo per una mia distrazione ho scaricato (ed eseguito) un file malevolo.
Il risultato del file installato su virustotal è questo: https://www.virustotal.com/gui/file/...aa71/detection

Dopo averlo eseguito è partita una richiesta uac, subito dopo è uscito il messaggio che il pc si sarebbe riavviato entro 1 minuto (in quel momento ho realizzato della sciocchezza fatta e ho brutalmente spento il pc).
Ora son con il portatile, visto che nel caso mi sia beccato un file che cripta e chiede il riscatto spero non abbia fatto troppi danni.

Come mi devo comportare?

Grazie!
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi - Cerco Nintendo Switch rotta
Life bringer è offline   Rispondi citando il messaggio o parte di esso
Old 08-07-2021, 21:52   #2
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
A giudicare dal gruppo di antivirus che ha rilevato il sample potrebbe trattarsi di un falso positivo. L’unico AV degno di nota che lo segnala è Malwarebytes che però lo segnala come Trojan.MalPack...



...ovvero un eseguibile compresso con un tool anti-debug: operazione non illegittima ma potenzialmente sospetta, specie se l’eseguibile proviene da fonte non certificata o peggio se è un crack di Windows o di un programma commerciale. I dubbi che possa trattarsi di un falso positivo mi derivano anche dal fatto che l’hash del file attualmente non risulta da nessuna parte se non su Virus Total e solo da AV che – a parte Malwarebytes - sono campioni di mediocrità e null’altro. Quello che inoltre mi lascia perplesso è l’automazione del task con tanto di “avviso” di riavvio dopo 60 secondi...un malware tende ad agire in maniera decisamente più brutale: riavvio istantaneo senza nessun preavviso...e se si fosse trattato di un ransomware poi, non avrebbe avuto bisogno di nessun riavvio per iniziare la cifratura dei dati...ad esclusione di quelli che agiscono sulla MFT, che però risultano essere infezioni statisticamente irrilevanti in quanto, essendo assimilabili più alla categoria dei wiper che a quella dei ransomware, danneggiano completamente l’OS, rendono problematico alla vittima il pagamento del riscatto; quindi, anche escludendo a priori un falso positivo, nella peggiore delle ipotesi, probabilmente si è di fronte ad un malware “classico”, magari un locker, uno di quelli che blocca l’accesso a Windows al primo riavvio ma senza danneggiarlo o danneggiare i dati...e, visto che si tratta proprio di dati da recuperare, si possono implementare tre strategie:

1) La procedura più semplice è quella di staccare l’hard disk e attaccarlo via USB come disco secondario ad un’altra macchina e da lì procedere con il recupero dei dati utilizzando una seconda periferica USB esterna: questa strategia non è scevra da rischi...il malware potrebbe passare via USB anche sulla macchina “pulita” quindi ti consiglio di eseguire un backup preventivo (se necessario) anche dei dati presenti sulla macchina che utilizzerai per compiere la procedura di recupero.

2) La procedura meno semplice ma anche la più sicura è quella di creare ed utilizzare un Live-USB: dopo aver staccato l’hard disk infetto dal PC, carica il Live-USB sul PC stesso e, una volta caricato l’OS live, attacca il disco infetto via USB per poi procedere con il recupero dei dati utilizzando una seconda periferica USB esterna.

3) La terza procedura è effettuabile via Macrium Reflect ma è inutile proporla adesso: prima verifica se riesci a risolvere il problema della messa in sicurezza dei dati utilizzando una delle due soluzioni suggerite qui sopra.

Ultima modifica di Phoenix2005 : 08-07-2021 alle 21:54.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 03:36   #3
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8003
Grazie per la completa risposta.

Purtroppo non si trattava di un falso positivo ma bensì di un trojan che ha una dimansione random in modo da essere più stealth con gli antivirus.

Ho scaricato kaspersky anti-virus attivato la licenza di prova e ha proceduto alla rilevazione e rimozione del virus.
Rianalizzando il file ora su virustotal anch'esso lo riconosce come virus.

Ora sto facendo per maggior sicurezza una scansione totale del sistema, ma credo la situazione sia rientrata.

Purtroppo non potevo smontare l'hard disk in quanto trattasi di un ssd nvme e non ho altri pc dove montarlo.

Diciamo che mi sembra ridicola questa nuova feature degli antivirus che ti costringe a rimanere connesso per validare una licenza demo o per scaricare l'antivirus in se, fanno praticamente il gioco dei trojan, costringerti a stare online pur sapendo di essere infetto.

Edit: Secondo kaspersky l'infezione è risolta, ma purtroppo: windows update non funziona, restituendomi sempre questo errore: "Si sono verificati alcuni problemi durante l'installazione degli aggiornamenti, ma verrà eseguito un ulteriore tentativo più tardi. Se il messaggio viene visualizzato di nuovo e vuoi cercare ulteriori informazioni nel Web o contattare il supporto tecnico, questo può essere utile: (0x80070424)"

Il microsoft store non è più funzionante, se provo ad aprire l'app si chiude immediatamente.
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi - Cerco Nintendo Switch rotta

Ultima modifica di Life bringer : 09-07-2021 alle 05:13.
Life bringer è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 10:03   #4
Perseverance
Senior Member
 
L'Avatar di Perseverance
 
Iscritto dal: Jul 2008
Messaggi: 7072
Il virus sarà anche estirpato ma le cicatrici te le ha lasciate. Chissà quanti altri strascichi troverai fra servizi disattivati e roba modificata. Sono anni, tanti anni, che io non rimuovo più virus a nessuno; chiedo cosa vogliono salvare (foto, password, video, musica, cronologia) eppoi formattone!

Coi sistemi operativi ed i virus odierni non hai più idea di cosa vadano a modificare, a iniettare, a inserire negli exe e nelle dll di sistema e non; magari riaprono buchi chiusi da aggiornamenti o inseriscono codice aggiuntivo da qualche parte. Con un sistema completamente chiuso come quello di microsoft che ti vuoi mettere a disinfettare?!

Riformatti e basta! No ripristino, proprio piallare e reinstallare.

Se l'antivirus lo metti prima può servire a qualcosa, ma se lo metti dopo l'infezione non serve quasi più a nulla.

Non voglio insegnare a usare il PC a nessuno ma servirebbe più che un antivirus una sana pratica di igiene e consapevolezza nell'utilizzo del PC; il solo creare e usare un account utente limitato ed uno amministrativo con password ti leva di torno la maggiorparte delle conseguenze gravi di virus e malware. Browser affidabile, blocco script e pubblicità fungono altrettanto bene come forma ulteriore di prevenzione. Eppoi backup esterno delle tue cose.
__________________
System Failure
Perseverance è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 14:39   #5
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da Life bringer Guarda i messaggi
un trojan che ha una dimansione random in modo da essere più stealth con gli antivirus.
Non so da dove lo hai scaricato quest’eseguibile ma ti devo fare i complimenti. Non è affatto una cosa così banale imbattersi in uno 0day che non viene segnalato dagli AV migliori (neppure con l’euristica) mentre viene segnalato da quelli peggiori! Di solito in queste situazioni lo 0day non viene proprio visto e basta. Se le rilevazioni degli AV sono corrette, dovrebbe trattarsi dell’ennesima variante - offuscata tramite Packer-crypter - del trojan dropper Azorult/Emotet (una brutta bestiolina) e quindi – come ha già giustamente suggerito Perseverance – adesso che hai accesso alla macchina – meglio recuperare i dati, poi azzerare tutte le partizioni presenti sull’unità e reinstallare Windows ex-novo.

Quote:
Originariamente inviato da Perseverance Guarda i messaggi
Il virus sarà anche estirpato ma le cicatrici te le ha lasciate. Chissà quanti altri strascichi troverai fra servizi disattivati e roba modificata (...) formattone!
Concordo al 100% sul discorso anche se con i dovuti “distinguo”:

- Ci si può trovare – ma non è questo il caso - di fronte a malware ben conosciuti (e quindi gestibili tramite IoC per azzerare le modifiche apportate al sistema) o che presentano per la loro stessa natura un basso impatto sull’OS: es. un ransomware “basico” che altera poche voci (autorun, task) e poi inizia a cifrare i dati: una volta terminato manualmente il processo malevolo in esecuzione e trovate e rimosse le poche voci alterate, l’unica compromissione reale/grave è quella dei file eventualmente cifrati; chiaramente, per arrivare a stabilire di trovarsi di fronte a malware ben conosciuti o non particolarmente impegnativi è necessario perderci sopra molto tempo, eseguendo un’analisi approfondita di tutte le aree dell’OS e a quel punto – sempre in rapporto alle esigenze dell’utenza – si valuta se procedere con la "disinfestazione" oppure con il classico “formattone”.

- In altri casi ci si potrebbe trovare nell’impossibilità di formattare (es. vecchi software licenziati con chiavi hardware su cui però non esiste più alcun supporto): qui però la colpa è dell’utente/azienda che non ha predisposto per tempo un piano di backup mirato atto a scongiurare proprio una simile eventualità.

- Ci sono situazioni in cui – a prescindere della complessità dell’infezione – non si ha una chiara visione di come ci si sia infettati o di come l’infezione si sia propagata nella rete e, quindi, è sempre conveniente posticipare l’azzeramento del sistema in modo da indagare la catena dell’infezione a ritroso, sino a individuare l’anello debole che ha permesso al malware di entrare nel sistema e propagarsi, per poi implementare i dovuti aggiustamenti, in modo da impedire che una situazione del genere possa ripresentarsi di lì a breve (come spesso accade).

Quote:
Originariamente inviato da Perseverance Guarda i messaggi
Non voglio insegnare a usare il PC a nessuno ma servirebbe più che un antivirus una sana pratica di igiene e consapevolezza nell'utilizzo del PC
Sono anni che lo sostengo: gli AV servono solo a rallentare l’OS e, per di più, aumentano la superficie d’attacco dello stesso: su di un sistema ben configurato l’AV è inutile, anzi dannoso...il problema però è che in vita mia raramente ho visto dei sistemi Windows “ben configurati” lato sicurezza...specie quando a gestirli è l’utenza “tipica” di Windows la quale, sotto il profilo della capacità della blindatura dell’OS, in una ipotetica scala di competenze che va da 1 a 10 si colloca a -1: forse, almeno in questi casi (casi che ahimè non sono l'eccezione ma la regola), l’antivirus imho alla fine è il male minore.

Quote:
Originariamente inviato da Perseverance Guarda i messaggi
il solo creare e usare un account utente limitato ed uno amministrativo con password ti leva di torno la maggior parte delle conseguenze gravi di virus e malware. Browser affidabile, blocco script e pubblicità fungono altrettanto bene come forma ulteriore di prevenzione. Eppoi backup esterno delle tue cose.
Sante parole: per quanto incredibile, già una configurazione di sicurezza tutto sommato ultra-minimalista come questa ti leva di torno parecchie rogne.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 15:13   #6
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8003
Credo che il virus in se non fosse "nuovo".

Caricato su virustotal ha questi dettagli:
Creation Time 2020-03-15 06:37:31
First Seen In The Wild 2021-02-06 21:01:19

Visto che poi l'ho scaricato (ma senza eseguirlo ovviamente), sul portatile, per darlo in pasto a virus total, questo "coso", cambia nome ogni volta che viene scaricato, in più, viene scaricato un archivio in un archivio (con password contenuta in un semplice txt).

Le firme degli antivirus l'hanno riconosciuto subito, adwcleaner ha cercato di rimuoverlo in modo molto grezzo (senza risultati), kaspersky invece l'ha fatto a pezzettini.

Su virustotal alla voce behaviour, si possono trovare dei riferimenti su ciò che crea e distrugge e come si comporta, per fortuna è un "semplice" trojan, il suo scopo era rimanere in incognito e avere uno zombiepc in più.

Il simpaticone aveva cancellato totalmente i riferimenti al servizio wuauserv, con un file di registro l'ho reimpostato ed ora funziona tutto, aggiornamenti e microsoft store (per il poco che lo uso).

Per quanto concerne i consigli, li conosco, purtroppo ieri ho commesso una disattenzione dovuta alla fretta, il file era scaricato da una fonte sicura, ma il sito si è verificato malevolo, tanto che dopo la mia segnalazione è stato fatto sparire il link, nemmeno l'autore riusciva più a scaricare il proprio file, in più il sito in questione ha chiesto esplicitamente di disattivare ublock (che uso regolarmente), per poter scaricare il file. Insomma mea culpa senza scusanti.
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi - Cerco Nintendo Switch rotta
Life bringer è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 18:56   #7
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da Life bringer Guarda i messaggi
Credo che il virus in se non fosse "nuovo".

Creation Time 2020-03-15 06:37:31
First Seen In The Wild 2021-02-06 21:01:19
Penso invece che si tratti proprio di uno 0day perché il valore che devi tenere in considerazione è questo: First Submission.

Creation Time 2020-03-15 → questo dato è falsificabile e quindi non bisognerebbe tenerne conto.
First Seen In The Wild 2021-02-06 → si riferisce al momento in cui l’eseguibile è stato visto su internet per la prima volta.
First Submission 2021-07-08 → corrisponde al primo invio in assoluto su Virus Total (ovvero il tuo, quello di ieri) ed infatti, dopo il tuo invio, il file è stato analizzato e adesso, man mano che passano le ore, sempre più AV stanno iniziando a riconoscerlo.

Quote:
Originariamente inviato da Life bringer Guarda i messaggi
kaspersky invece l'ha fatto a pezzettini.
Non mi sorprende: è un ottimo prodotto (e detto da uno che detesta gli antivirus... ). Mi sorprende però il mancato riconoscimento iniziale: di solito l’AV Kaspersky è abbastanza preciso sia nello scovare gli 0day che nel valutare i falsi positivi (uno dei motivi per cui inizialmente avevo ipotizzato un possibile falso positivo).

Quote:
Originariamente inviato da Life bringer Guarda i messaggi
Su virustotal alla voce behaviour, si possono trovare dei riferimenti su ciò che crea e distrugge e come si comporta
Ed è proprio quello che preoccupa! se leggi bene, il malware è andato ad operare una serie di modifiche a basso livello:

Files written

EFI\Boot\EfiGuardDxe.efi
EFI\Boot\bootx64.efi
EFI\Microsoft\Boot\bootmgfw.efi
EFI\Boot\EfiGuardDxe.efi
EFI\Boot\bootx64.efi
EFI\Microsoft\Boot\bootmgfw.efi

Ti rinnovo il consiglio di reinstallare Windows da zero il prima possibile.

Quote:
Originariamente inviato da Life bringer Guarda i messaggi
Insomma mea culpa senza scusanti.
Un errore può sempre capitare: l’importante è accorgersene subito (e in questo sei stato bravo) in modo da circoscrivere l’infezione ed evitare ulteriori danni.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 20:14   #8
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8003
Purtroppo ieri quei file nella partizione nascosta non erano segnati.
Ho provato a controllarli, ti chiedo, se possibile di confrontarli con i tuoi:
Versione 21H1 (build SO 19043.1083)
EFI\Boot\EfiGuardDxe.efi -> file non presente.


EFI\Boot\bootx64.efi
Nome: bootx64.efi
Dimensione: 1558840 byte (1522 KiB)
CRC32: 1AF70B6F
CRC64: 160E1EE494502699
SHA256: 0CF115A72BB7F3AEA4535B5D3090A8B0E291D1C5CD1D1724E41754D82ECBD55C
SHA1: E458D5E1B326BE03E59478B7F26A157C7D8936A8
BLAKE2sp: F239A158B329284F43C9958EFA6E5AE72B33875B60026E66622F6689EB2BEDB3


EFI\Microsoft\Boot\bootmgfw.efi
Nome: bootmgfw.efi
Dimensione: 1558840 byte (1522 KiB)
CRC32: 1AF70B6F
CRC64: 160E1EE494502699
SHA256: 0CF115A72BB7F3AEA4535B5D3090A8B0E291D1C5CD1D1724E41754D82ECBD55C
SHA1: E458D5E1B326BE03E59478B7F26A157C7D8936A8
BLAKE2sp: F239A158B329284F43C9958EFA6E5AE72B33875B60026E66622F6689EB2BEDB3


Li avrei confrontati io stesso sul portatile pur utilizzando la stessa versione di 10 è stato installato in un altro modo e la partizione e i file non sono presenti.
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi - Cerco Nintendo Switch rotta
Life bringer è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 21:52   #9
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Il primo file (quello mancante) penso sia stato eliminato dall’AV: si tratta di una utility legittima (molto probabilmente installata dal malware per compiere delle operazioni a basso livello su UEFI/Secure boot) e che trovi su github. Per gli altri file purtroppo non posso aiutarti perché la mia versione di W10 è la 20H2: al limite prova a verificare i singoli file *.efi coinvolti tramite Virus Total.
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 09-07-2021, 22:00   #10
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8003
Ottima idea, non ci avevo pensato. Il primo file non è stato creato dal virus, essendo un'utility per disattivare i driver firmati, probabilmente il virus cerca di insinuarsi in esso nel caso sia installato.

Entrambi i file sembrano essere "puliti":
https://www.virustotal.com/gui/file/...d55c/detection

https://www.virustotal.com/gui/file/...d55c/detection

Per quanto riguarda la data di modifica, entrambi riportano il 23 giugno 2021, quando ho installato l'ultima versione di windows 10.
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi - Cerco Nintendo Switch rotta
Life bringer è offline   Rispondi citando il messaggio o parte di esso
Old 12-07-2021, 13:36   #11
Phoenix2005
Senior Member
 
Iscritto dal: May 2005
Messaggi: 658
Quote:
Originariamente inviato da Life bringer Guarda i messaggi
Il primo file non è stato creato dal virus, essendo un'utility per disattivare i driver firmati
Ho scritto “installato” e non “creato”. Una caratteristica distintiva di un trojan-dropper è la possibilità di effetuare il download/installazione di file tramite il server di riferimento: dall’esecuzione di altri malware a quella di software legittimi ma utilizzatati per violare il sistema o per compiere i cosiddetti movimenti laterali (es. mimikatz).

Quote:
Originariamente inviato da Life bringer Guarda i messaggi
Entrambi i file sembrano essere "puliti"
Sicuro di aver effettuato la scansione dei file *.efi? Perché entrambi i link che hai riportato qui sopra fanno riferimento allo stesso file (bootmgr.exe).
Phoenix2005 è offline   Rispondi citando il messaggio o parte di esso
Old 12-07-2021, 14:25   #12
Life bringer
Senior Member
 
Iscritto dal: Jun 2001
Città: Varese
Messaggi: 8003
Mh hai ragione, ho ricontrollato, i due file sono esattamente identici, pensavo di aver fatto casino con il copia incolla
__________________
Cerco oldume informatico (click!) di vario tipo tipo dagli anni 90 in poi - Cerco Nintendo Switch rotta
Life bringer è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Death Stranding: Director's Cut, il viaggio di Sam continua su PS5 - Recensione Death Stranding: Director's Cut, il viaggio di S...
Sony Xperia 1 III: display e fotocamera al top giustificano il prezzo? La recensione Sony Xperia 1 III: display e fotocamera al top g...
Psychonauts 2: la psicologia incontra il gaming Psychonauts 2: la psicologia incontra il gaming
Samsung Galaxy Watch4: è lui il miglior smartwatch per gli Android! La recensione Samsung Galaxy Watch4: è lui il miglior s...
Un viaggio in Tesla dal nord alla Sicilia, senza Supercharger e spendendo 50 euro Un viaggio in Tesla dal nord alla Sicilia, senza...
Diablo II Resurrected è ora dispo...
Porsche Cayman e Boxster elettriche prev...
Caricabatterie universale per i disposit...
Con la funzionalità zero-touch Qu...
OPPO va in scena alla Fashion Week di Mi...
Moto Parilla, e-bike italiane in carboni...
Baidu ha pronto un camion elettrico: gui...
iOS 15 e il problema dell'Archivio quasi...
Prezzi folli su Amazon via coupon: mouse...
Discord inizia a testare l'integrazione ...
Apple ha appena venduto l'iPhone numero ...
Lituania contro Xiaomi, "non compra...
Apple darà un bonus fino a 1000 d...
L'uomo è sulla Luna: all'asta la ...
Il CEO di Alfa Romeo: "elettrica s&...
NTLite
Advanced SystemCare Ultimate
SmartFTP
GIMP Portable
Media Player Classic Home Cinema
Backup4all
Chromium
Google Chrome Portable
Iperius Backup
Opera Portable
Opera 79
Radeon Software Adrenalin 21.9.2 beta
iTunes 12
PassMark BurnInTest Windows Edition
OCCT
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 16:15.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Served by www1v