- Home
- Categorie
- La Community Connect.gt
- News Ufficiali da Connect.gt
- Virus su GT: dati e spiegazioni
-
Ciao Bluwebmaster,
in effetti sono stato un pò insensibile, ma dovuto al fatto che proprio non sappiamo che virus è. Questo perchè ci siamo preoccupati di toglierlo il più presto possibile.
Tuttavia domani faremo delle ricerche in rete per capire meglio il problema e segnalare una eventuale soluzione.
Prenderemo un pc apposito così, nel caso dovesse succedere (spero di no), ci facciamo infettare apposta per capirne di più.
-
Ciao Giorgio, Bluemaster e tutti.
Io sono stato infettato, ho studiato un po' il virus, l'ho rimosso quindi se volete posso darvi i dettagli.
-
Si dacci qualche info in più.
Come si fa a vedere se si è infettati?
-
Ecco quanto.
E' riuscito a superare i controlli di Explorer, dell'antivirus e del firewall, tutti aggiornatissimi, non credevo.
Riguardo ad Internet Explorer, che fino a giovedì mi bloccava correttamente le pagine infette del forum, il cracker venerdì è riuscito a bypassare il blocco usando un nuovo sottodominio, che probabilmente era ancora senza segnalazioni, e quindi apparentemente pulito.
Mi sono accorto del virus subito averlo preso, grazie ad un anti-...qualcosa che mi ha avvertito che due programmi stavano per mettersi in autostart.
Con un refresh della pagina, ho visto che quell'iframe ha lanciato un applet java il quale poi ha lanciato un pdf in una minuscola finestra
e, non so come ha fatto, però sono comparsi 2 eseguibili nella directory windows\temp che silenziosamente sono andati subito in esecuzione.Mi ha modificato le impostazioni di connessione a Internet, facendo usare un server proxy locale (del virus) con IP 127.0.0.1 e porta con numero alto, da cui poteva per esempio intercettare tutti i miei login e password, o modificare le pagine che visitavo ... ipotizzo ma non so perché li ho arrestati prima.
Ho sottoposto i 2 file a virustotal.com e questi sono i risultati:
File: 0.9156790090695502.exe
Comodo TrojWare.Win32.Trojan.Agent.Gen
DrWeb Trojan.Carberp.7
Ikarus Trojan-Spy.Win32.Carberp
Kaspersky Trojan-Spy.Win32.Carberp.vd
Panda Suspicious fileFile: 0.932324196429655.exe
DrWeb Trojan.DownLoader3.11565
Kaspersky Backdoor.Win32.Gbot.hgc
SUPERAntiSpyware Trojan.Agent/Gen-FraudSoft**
TrendMicro BKDR_CYCBOT.SMIBDei 42 antivirus che usa virustotal, solo 2 sono riusciti a scoprire entrambi i troiani: DrWeb e Kaspersky.
Infine un antivirus mi ha eliminato un file "C:\windows\conhost.exe" ma non ho capito se è un falso positivo.
Quindi io guarderei se in C:\windows\temp ed in Impostazioni LAN ci sono cose strane.
Poi farei una scansione con uno di quei due programmi, DrWeb è disponibile anche in versione senza installazione e gratis.
Riguardo a quest'ultimo punto aggiungo però che nulla esclude che tutto quel sistema possa aver veicolato troiani diversi da quelli che ho preso io, e quindi magari controllare anche con altri antivirus.
Io sono giorni che scansiono con tutti gli antivirus possibili.
-
Che S.O. usi?ho windows 7 ultimate è non è successo quasi niente(ho KIS 2011) ovvero qualcosa deve aver fatto perchè mi ha disabilitato la protezione di sistema,mi sono accorto per caso in quanto volevo controllare che tutto era a posto ed invece aveva anche disabilitato la
copia shadow del volume.
-
Scusa, ma per le immagini che hai postato e non riesco a vederle è un problema solo mio?
-
Anch'io ho Win7 ultimate. Non so se abbia temporamente disabilitato il controllo account, certo è che durante l'infezione non mi ha chiesto alcuna conferma.
-
Grazie Webmaster70, faccio girare il tutto
-
Prego Giorgio, figurati.
-
Questo è il report del mio antivirus aziendale (G-Data AntiVirus), se non ricordo male il motore "B" è quello di Kaspersky.
Risultato? Nessunissimo problema riscontrato
E' andata di culo lo so
Uploaded with ImageShack.us
