|
|
|
|
Strumenti |
06-10-2008, 11:55 | #41 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
il thread riapre ma sempre vincolato alle condizioni della massima trasparenza e massima sicurezza per non essere veicoli di infezione.. vi raccomando l'attenzione al primo posto
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
06-10-2008, 11:57 | #42 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Ok xcdegasp, grazie.
|
06-10-2008, 12:03 | #43 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Quindi da quello che ho capito gli exploit oppure i trojan non c'entrano niente con i rootkit? Si può dire che sono "famiglie" diverse? Scusa la mia ignoranza e grazie anche per l'eventuale risposta. |
|
06-10-2008, 12:07 | #44 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
quando vuoi/puoi, siamo qui che ti aspettiamo... con molto piacere. |
|
06-10-2008, 12:10 | #45 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Scusa se ho scritto eventuali stronxxte, ma non ho approfondito. |
|
06-10-2008, 12:28 | #46 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Test di av_2009.exe
PC dedicato per i test:
MD5: c074384af50971632df88de847c89233 Analisi su Virus Total: http://www.virustotal.com/analisis/0...e6db558fb7ad06 Analisi su ThreatExpert: http://www.threatexpert.com/report.a...f88de847c89233 Descrizione: Finto antivirus che in realtà si occupa di scaricare altro malware. Credo sia uno dei malware tanto in voga in questo periodo. Iniziando AntiVir lo riconosce subito come: disabilito la protezione in tempo reale per poter terminare il test. Avviando malware.exe appare l'avviso di Real-Time Defender (HIPS) per far partire il setup del finto Antivirus e subito dopo Jetico Personal Firewall 2 ci avvisa del Process Attack, confermo anche questi e finalmente mi appare l'interfaccia grafica dell'installer, cliccando sul tasto continue Ho avuto anche 3 richieste uguali da parte di JPF2, per guardgui.exe (pop-up di AntiVir quando rileva un virus), , secondo me non c'entrano niente con il malware, ma dipendono appunto dalla GUI del guard in real time di AntiVir (questo perché JPF2 segnala gli accessi indiretti, ed io, prima d'ora non avervo mai avuto l'occasione di applicare a guardgui.exe in JPF2, tali accessi. Ecco il perché di queste richieste). Sempre JPF2 mi rileva l'accesso alla rete da parte di malware.exe e a ruota lo segue anche RTD poi l'accesso indiretto del malware e la connessione verso l'IP 84.16.252.138 (vassariumbig.com) sulla porta 80 , la creazione di av_2009.exe e la sua scrittura che continua fino alla fine del setup. Nel frattempo possiamo notare la connessione attiva del malware verso Continuando Continua nel post seguente. Ultima modifica di @Sirio@ : 06-10-2008 alle 12:46. |
06-10-2008, 12:34 | #47 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Test av_2009.exe - parte seconda
qui, dopo l'avvio del falso antivirus 2009 ho avuto un'altra richiesta di connessione verso l'IP 216.240.134.211 sempre sulla porta 80 seguita da un'altra ancora verso l'IP 89.18.189.44 porta 80 Continua nel prossimo post Ultima modifica di @Sirio@ : 06-10-2008 alle 12:42. |
06-10-2008, 12:37 | #48 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Test di av_2009.exe - parte terza
Possiamo notare il finto Windows Security Center con l'iconcina in basso, nella systray. Guardando attentamente l'icona accanto all'orologio e il security center, ci si accorge che sono un'imitazione, non sono perfetti, ma una buona imitazione possiamo vedere anche il pop-up del falso antivirus che ci dice di aver rilevato dei virus
Il malware richiede i permessi per poter funzionare Il programma malevolo continua a "scassare" the balls vuole farci scaricare altro malware, e cliccando su: "Remove all threats now" ci fa vedere questi fantomatici virus Cliccando poi sul tasto Remove ci appare un pop-up per la registrazione, ma... inserendo un indirizzo e-mail, risponde con questo errore . Morale della favola? Fate molta attenzione a quello che installate, l'inganno è sempre dietro l'angolo. ________________________________________________________________ @ xcdegasp Anche solo la comparazione dei log di SysInspector, è piena di informazioni personali che vanno dal nome del computer al mio IP, quindi non la pubblico. Come potremmo risolvere questo problema? Ultima modifica di @Sirio@ : 06-10-2008 alle 12:40. |
06-10-2008, 13:15 | #49 |
Registered User
Iscritto dal: Aug 2006
Città: Look at the sky !
Messaggi: 209
|
- dio mio qunti popup, i ho fato la domanda di uno solo e mai ricevuto la risposta,
invece scatenato discussini inutili. -poi fare lo steso test con "Rustock.B" . -poi ti mando degli altri bei esemplari. |
06-10-2008, 13:27 | #50 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
la soluzione è ovvia, basta che in quella virtual machine imposti l'utente a essere YYYYY e il nome del pc XXXXXXX ....
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 06-10-2008 alle 13:29. |
|
06-10-2008, 13:49 | #51 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
se intendi quelli della definizione data grazie al contributo di GmG, bene:
stai mica scherzando? (PS, ora RTD..) li previene agile, ma agile agile, guarda...al punto che se dovessero esservi problemi, la causa sarebbe solo un qualche conflitto con JPF2. Stai sicuro sulle mie sicurezze... Detto questo, ti saluto calorosamente: gli scambi di vedute mi son sempre piaciuti... senza nulla togliere ovviamente allo sforzo di @Sirio@, mi sembra effettivamente che la consultazione abbia un grado di fruibilità prossima allo 0... Questi "esperimenti", infatti, o si fanno con i Log (delle azioni bloccate, visto che quelle permesse solitamente NON sono registrate...), o con Log + *qualche* screen *cruciale*... Riprendere ogni singolo pop-up, infatti, rende particolarmente faticosa l'eventuale consultazione... IMO... Ultima modifica di nV 25 : 06-10-2008 alle 14:30. |
06-10-2008, 14:37 | #52 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Si fallo girare in VM
__________________
Try again and you will be luckier.
|
06-10-2008, 17:15 | #53 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Aspetto gli altri esemplari.. |
|
06-10-2008, 17:23 | #54 | |
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6377
|
Quote:
I rootkit sono una determinata infezione, i trojan sono un'altra determinata infezione e gli exploit sono semplicemente dei codici che sfruttano delle falle a livello di codice di alcuni programmi per eseguire del codice arbritrario. Quei file che sono denominati come Exp/unreal.D da Avira sono dei file che sfruttano delle falle nei programmi che ho scritto nel post precedente per avere accesso da remoto al server dove sono installati.
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
|
06-10-2008, 17:26 | #55 |
Senior Member
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
|
imho quel test in ogni caso è spettacolare
Quante ore ci hai messo a farlo? Adesso lo aggiungo al post in prima pagina. --edit: anzi no, lo aggiungo dopo perchè devo anche modificare la struttura del post |
06-10-2008, 17:32 | #56 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Quindi ho fomattato e installato XP sp3, AntiVir, RTD, JPF2, SysInspector, Browser, ecc. insomma solo i programmi essenziali per i test. Nessuna informazione che mi riguarda, a parte l'IP. Questo PC lo uso solo per navigare e fare i test. Cmq, riguardo ai log di SysInspector oltre al nome del PC ci sono gli IP... non è che ho qualcosa da nascondere, solamente non voglio pubblicare appunto il mio IP. Forse potrei fare degli screen anche di quelli, o un file txt cancellando quello che mi interessa, però ci vuole altro tempo... e come si dice? Il tempo vale oro... soprattutto per me, come tu sai |
|
06-10-2008, 17:38 | #57 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
si in effetti ho un pò di confusione ..alimentata anche dagli ultimi avvenimenti. Adesso, grazie alla tua spiegazione ho un poco più chiare le cose. |
|
06-10-2008, 17:57 | #58 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
I log non li ho messi perché non ho negato niente, ho accettato tutte le richieste per vedere cosa succedeva. Gli screen sono consequenziali (ma esiste sta parola? ). Forse ci vuole un pò per vederli tutti.. e nonostante ci vogliano ore per preparare e postare il tutto, ho deciso così per far capire agl'inesperti come me ogni fase del processo. Scherzosamente ti ho chiamato "maestro"... ma è vero: nei tuoi test riesci ad evidenziare (per me in maniera spettacolare) e a postare solo quello necessario per far capire chi ti legge. Però, io tante volte fatico a starti dietro, perché posti appunto, solo l'essenziale, ma l'essenziale che presuppone delle basi che io non ho. Non so se sono riuscito a spiegarmi... lo spero. |
|
06-10-2008, 18:01 | #59 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
|
06-10-2008, 18:08 | #60 | |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Quote:
Grazie leo, c'è voluto un bel pò... però a noi (comuni mortali o ) ci piacciono ste cose. Leo non riesco ad uppare su wikisend... devo avere qualche problema, riprovo appena posso altrimenti lo mando a te. |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:01.