PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: Attenzione all'IP 85.17.221.2





prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 77.884 - Postato: 20/Gennaio/2008 alle 14:23


Salve... stamattina mi sono trovato a dover ripulire tre pc da un
trojan (da una variante di zonebac) che non è ancora riconosciuto
dagli antivirus... (una primizia.... Big%20smile ma allo stesso tempo una vecchia
conoscenza... Tongue, ...colgo l'occasione per salutare lo staff di Libero... WinkBig%20smile)...
Su tutti e tre i pc, in cronologia vi era il seguente IP all'ora del contagio:

        85.17.221.2

E fra i temporanei... ho trovato i seguenti files (all'ora del contagio)...:

   

Quindi... se usate IExplorer e trovate questo IP nella cronologia... avete preso
il trojan in questione... (sarebbe opportuno indicarlo come ip con restrizioni...
nelle impostazioni internet...)
Non voglio fare nomi di portali coinvolti... chi ci si imbatterà trarrà le sue
considerazioni... per adesso metterò un pc fisso sul portale che sospetto...
aspettando di esser contagiato... (infatti... il contagio avviene in maniera
casuale, forse legato ai banner...)
Comunicherò al proprietario dell'IP... che l'IP in questione
ospita malware... e segnalerò ed invierò i file infetti a vari produttori di antivirus...
(per far aggiornare definizioni virus...) e qualora la situazione si protrarrà...
non esiterò..., come d'altronde feci già l'anno scorso, a comunicare la cosa
alle autorità competenti... (visto che vengono scaricati dialer...
che possono costare parecchio a chi utilizza una connessione dial-up)
Purtroppo... una segnalazione diretta al portale che veicola il trojan...
sarebbe quasi inutile... visto come si sono comportati in altri casi analoghi...
Ciao... e occhi aperti... Big%20smile


Modificato da prgn - 10/Febbraio/2008 alle 01:00



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



notwen
Esperto Esperto
notwen
Esperto Esperto
notwen
Esperto
Esperto

Avatar generico


Iscritto dal : 15/Marzo/2005
Da: Italy
Status: Offline
Posts: 2.206
Riporta il testo di: notwen Rispondibullet Topic: Post n° 77.886 - Postato: 20/Gennaio/2008 alle 14:56


Grazie mille dell'avviso Prgn!





prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 77.907 - Postato: 20/Gennaio/2008 alle 19:05


Ciao... gli unici antivirus che lo rivelano... per adesso (ma spesso non riescono a bloccare
il contagio...) sono:

Kaspersky    Trojan.Win32.Agent.dxh

Prevx1          Trojan.Agent

AVG               Agent.MWU

F-Secure       Trojan.Win32.Agent.dxh

Gli altri ancora non hanno aggiornato... 
Ciao





SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 77.937 - Postato: 20/Gennaio/2008 alle 22:24


Ciao... lo scopo è infettare con un dialer... ma penso che se ne
scarichino più versioni... come di solito capita...:

BitDefender     BehavesLike:Trojan.HangUp

Ewido              Heuristic.Win32.Dialer

Ikarus              BehavesLikeTrojan.HangUp

DrWeb             Dialer.Tiny.origin

Prevx1             Trojan.Nudos

Anche questo... è abbastanza sconosciuto...



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.065 - Postato: 09/Febbraio/2008 alle 18:17


Ciao...
Benvenuto!
Dovrei avere una copia tra i file mandati ad alcuni produttori di antivirus...
Il comportamento è lo stesso...
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.071 - Postato: 09/Febbraio/2008 alle 19:18


Va bene... ti mando anche exploit .pdf...
Figurati è un piacere
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.076 - Postato: 09/Febbraio/2008 alle 21:33


Figurati...  è e sarà sempre un piacere!



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 79.088 - Postato: 10/Febbraio/2008 alle 14:11


Ho notato che c'è un afflusso di visitatori in questa discussione...
e mi sembra giusto indicare che le modalità di rimozione sono le stesse
rispetto alla versione precedente di trojan.zonebac:

 - disattivare ripristino configurazione di sistema;
 - ripristino dei files eseguibili duplicati in cartelle bak (*);
 - rimozione della connessione eventualmente creata... e del relativo dialer;
 - verifica e ripristino impostazioni security zones...:

    http://support.microsoft.com/kb/174360
    http://support.microsoft.com/kb/182569

 - eliminazione dei temporanei internet compreso i temporanei presenti nelle
    cartelle  %windir%\temp e %temp% e dei files di prefetch;
 - utilizzo di RegDelNull... al fine di eliminare gli eventuali valori
    di registro... sfruttati dal malware per nascondersi;
 - eventuale riattivazione del ripristino configurazione di sistema.

(dopo la rimozione... è consigliabile effettuare una scansione approfondita,
cioè a prescindere dalle estensioni/tipo dei file, con antivirus aggiornato
)


Grossomodo... questa è la modalità di rimozione...
Inoltre... è da ricordare che l'IP indicato in questa discussione non è
al momento attivo... quindi in futuro potrebbe essere sfruttato un altro
IP.



(*) In pratica il trojan in questione si sostituisce a molti eseguibili in auto esecuzione...
(e questo fa si che ad ogni riavvio viene eseguito)
Si sostituisce a loro, pigliandone anche il nome naturalmente, e li sposta in una cartella
bak creata nella stessa cartella dove è sito l'eseguibile sostituito...
(Dettagli da Symantec)



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...







Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,023 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni