MondoWin.com

da **Lionsquid** » 2 lug 2009, 2:18

Ciao,

mi era venuto in mente di fare un vero articoletto ma è troppo tardi e qundi metterò una sintetica cronaca di un'infezione virale, attesa, quasi cercata

Dal pc di un'amico, sistemato e pulito, prelevo un .exe, di un programma diffuso sul web per fare manualetti in HTML. Detto .exe l'ho fortemente sospettato di essere in realtà un virus (uno dei tanti che aveva nel pc :rolleyes:

)

Mi trastullo co sto file e mi dico... massì, proviamolo :faccina masochista:

Al doppio click, immediatamente Avira premium mi blocca un processo FRMWRK32.EXE, spunto delete e vado avanti, rispunta ancora un paio di volte e Firefox parte a razzo con 4 finestre aperte, bloccate in parte dal WOT, mentre Online Armor mi segnala il tentativo di detto file a connettersi ad un URL 85.17.169.59 (dichiarato in israele, ma il whois mi restituisce l'olanda).

Blocco tutto il traffico di rete, ma il vundo è già entrato e prontamente segnalato da avira ma non neutralizzato, infatti il task manager è disabilitato e non posso vedere più quale monnezza gira

lancio Avira sulle cartelle di sistema, e riapro il traffico di rete per aggiornare malwarebytes, una volta aggiornato richiudo

dopo 4 minuti dall'infezione mi ritrovo ben 3 file virali e una nutrita schiera di modifiche al registro (vedere shot di malwarebytes)

Il vundo.gen crea e avvia un file pmnmmNfg.dll, inamovibile, neanche da avira

, mentre malwarebytes dice che lo rimuoverà al riavvio

a questo punto dico basta e uso avenger.... amen!

della serie...come movimentarsi le prime ore della giornata :lol:

quarantena di avira, i file cancellati e senza puntino rosso sono alcuni tools visti come pericolosi
Immagine

la lista dei blocchi sul registro, molto istruttiva

buona notteeeeeeeeeeeeee

PS: dimenticavo, alla fine ho dovuto fixare il tcp/ip perche i browser non andavano mentre i vari programmi riuscivano a contattare i servers e aggiornarsi

da **leofelix** » 2 lug 2009, 4:39

bene ragazzo bene :gh:

Sto MalwareBytes AntiMalware mi ha convinto, quasi quasi inizio a usarlo anche io :bebe:

domanda: come hai fissato i protocolli TCP/IP?

da **Lionsquid** » 2 lug 2009, 10:10

col vecchio WXPFix, è comodo, piuttosto che dare una sequela di comandi NETSH

da **leofelix** » 2 lug 2009, 10:50

sono troppo estasiato dalla visione dell'immagine del MBAM e delle chiavi infette per dare una risposta sensata.
Però io al tuo posto avrei sparato il file prima su virustotal.com, a meno che non cercassi un momento di svago e avventura

:bebe:

da **Lionsquid** » 2 lug 2009, 10:54

leofelix ha scritto:sono troppo estasiato dalla visione dell'immagine del MBAM e delle chiavi infette per dare una risposta sensata.
Però io al tuo posto avrei sparato il file prima su virustotal.com, a meno che non cercassi un momento di svago e avventura

la seconda che hai detto :lol:

cmq, ci sono sviluppi, il mio avira premium ne è uscito zoppicando.. il servizio mail guard arrestato ed impossibile da riavviare, va in crash

ho approfittato della cosa per sostituire la copia inglese con quella italiana (salvando la key)

ho scoperto che la versione inglese era la 9.0.0.44, mentre quella ita, nonostante sia aggiornata a mò, è 9.0.0.40... ecco perchè non conviene mettere le versioni localizzate, stanno sempre un passo indietro

da **Lionsquid** » 2 lug 2009, 11:30

questo porta ad una considerazione già nota ma sempre ignorata dall'utente medio

non basta avere un'AV decente e un FW altrettanto decente... se clicchi su un'eseguibile "a coda di gatto", per quanto efficaci siano le protezioni il rischio di compromettere il sistema è sempre alto

il fw ha impedito l'accesso al web al virus e quindi di scaricare altre parti virali, ma nulla ha potuto quando il virus ha lanciato il browers predefinito, nel mio caso firefox, il quale tra wot e noscript ha posto un'ulteriore ostacolo al raggiungimento di altre pagine virali (gli url sono passati troppo velocemente perchè li memorizzassi)

ancora, nè fw nè av sono riusciti a impedire le modifiche al registro (infatti avira è carente sotto questo aspetto e OA non ha questa funzione), pertanto il mio sistema, se usato da un'utente poco smaliziato, necessiterebbe di un sistema di monitoraggio sul registro .... e in questo caso sarebbero adeguati il malwarebytes (non free) oppure lo spyware terminator (free)

eh, questa avventura alle prime ore della giornata mi ricorda gli esperimenti di qualche anno fà, ma allora avevo più tempo e molti pc "cavia", bei tempi

da **leofelix** » 3 lug 2009, 1:08

parole sacrosante.
Leggo delle eresie mostruose in merito in altri lidi.

Chi pensa che più antivirus installa e più sarà al sicuro.
Chi sostiene che poiché Microsoft Security Essential beta (il cui unico pregio è quello di disabilitare Windows Defender) ha rilevato un malware questo significa che il NOD32 (l'antivirus più usato dai Microsoft MVP) non è al livello dei sistemi di sicurezza di casa redmond: senza pensare che esistono anche i falsi positivi e che il miglior antivirus è se stessi o per usare una frase di RNicoletto che mi è rimasta impressa: la sicurezza è un modo di pensare
E chi come me si dimentica sin troppo spesso di creare delle immagini del sistema.. ma almeno usa all'uopo un sistema di virtualizzazione (RETURNIL PREMIUM nella maggior parte dei casi, ah sono anche beta tester per la 2009 e dovrei avere qualche licenza per la versione premium valida in più :fiufiu:

).

Be' una protezione proattiva o HIPS dal mio punto di vista è fondamentale.
Esatto

da **Lionsquid** » 3 lug 2009, 1:39

un tempo ne ho pure abusato di immagini di sistema, oggi mi tengo solo 2, la base (la "base" installazione pulita, drv, patch aggiornati e la "full" con tutti i sw fondamentali)

la virtualizzazione è un'escamotage da smanettoni, non da utente medio... è già difficile istruire le persone a utilizzare il giusto mix di protezione e comportamento...

cmq, per la virtalizzazione poi, serve anche un'hardware adeguato... le macchine di qualche anno fà faticano troppo