| Autore |
 Discussione  |
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 31/08/2003 : 23:15:37
|
Non sono virus, ma fanno male lo stesso..Altri eseguibili pericolosi...
L'altro ieri stavo scaricando un programma CAD (interminabile!  ),
dopo fatto un po' di surfing attraverso siti di
software gratuito e tools vari.
Il mio firewall lavorava più del solito segnalando
tentativi di esecuzione di scripts pericolosi
e i soliti altri codici maliziosi.
E ke saranno mai 'sta volta ? ( mi son chiesto )
Allora mi annoto la cronologia, smonto l'HD
e torno a navigare in giro per quegli stessi siti
con l'HD che uso per i test, senza AV+FIREWALL software.
Poi tutto tranquillo, ovviamente.
Ad un certo punto mi metto a cercare dei tutorial su GOOGLE...
...e guardate un po' invece di apparirmi la solita
schermata di ricerca, vengo reindirizzato immediatamente su un sito HARD ( con banner, links XXX, suonerie, chat
e compagnia bella ) !!
Ho riprovato e finalmente sono arrivato su GOOGLE.
Però la cosa mi puzzava !! Puzzava assai ! !
Allora ho controllato cosa avevo sul pc e guardate un po' mi ritrovo 2 EXE in esecuzione, che erano stati scaricati in WINDOWS\SYSTEM
( scaricati da poco, però con data interna di 1 mese
fa ) -
I loro nomi contenevano la parola WIN, mentre il resto era sicuramente RANDOM ( cioè disposizioni
casuali di lettere ), tanto per confondere le idee.
La loro dimensione era inferiore ai 92k e l'icona era
quella di default.
Vado ad ispezionare il registro di win e poi trovo
altre sorpresine:
erano state aggiunte 2 stringhe rispettivamente nella chiave RUN di
HKEY_LOCAL_MACHINE e anche nella HKEY_CURRENT_USER
per far partire i 2 EXE in autostart !
Dopo aver controllato eventuali altre modifiche
ai file, controllo le impostazioni della mia connessione, precisamente i dati del mio account internet.....e ke ti trovo !?
Anzichè trovarci il numero del mio provider ci trovo
uno assolutamente sconosciuto prima, con tanto
di prefisso ( 0981 ), diverso dal mio.
Peraltro è numero NON A VALORE AGGIUNTO ( cioè a pagamento del tipo 899, ecc. ), ma un numero di 1 linea
urbana comune.
Faccio ulteriori ricerche e scopro che questo numero
corrisponde ad una società di servizi, non meglio
identificata, di Castrovillari ( Calabria ).
Tuttavia durante la navigazione non è mai caduta
la linea, nè sono apparsi i segnali più tipici
del comportamento dei soliti dialers, che nonostante
tutto sono riconoscibili.
Ho provato a decompilare gli EXE in questione, che secondo l'AV aggiornato non erano
nè virus, nè worms, nè backdoors, ma senza risultati.
Sembra cmq che non sfruttino librerie di S.O. per funzionare.
Non ho ancora testato il loro comportamento in presenza di firewall,
ma cmq penso che almeno il reindirizzamento ad un
altro sito dovrebbe essere segnalato come attività
sospetta ( anche se per il FW non è esattamente una connessione
autonoma alla rete ).
Quanto alla variazione del numero telefonico
della connessione RAS all'ISP, è altamente pericolosa
perchè non ci si accorge se non si controllano i
dati nella configurazione del browser.
Come ho detto il modem NON VIENE DISCONNESSO AFFATTO e
la navigazione continua senza interruzioni, ma alla successiva connessione
internet comporrà un numero diverso e con un prefisso diverso da quello solito impostato.
Consiglio di tenere gli occhi aperti e
firewall sempre attivati perchè
pare che la fantasia stia
evolvendo.
XIAO !
|
|
|
Syrio
Advanced Member
Città: Taranto
462 Messaggi |
Inserito il - 01/09/2003 : 01:36:19
|
Ma oramai le studiano veramente tutte...non si può proprio stare tranquilli...a meno che non si abbia l' adsl(fortunatamente io ce l'ho  ).
Cmq grazie s3entry per le dritte!!!
ciao
Syrio |
 |
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 01/09/2003 : 12:00:29
|
Hai provato se Spybot e/o Ad-Aware li rilevano e rimuovono? Sennò invia una segnalazione agli autori, così li includono nel database (spero).
Ciao, grazie per le info
Gimli |
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 02/09/2003 : 15:55:17
|
NOMI DIM. FOLDERS
winkkxn.exe 93k c:\windows\system
XlmD2A5.exe 81k c:\windows\temp
partono in autostart
Credo che i nomi di questi files siano
"random"
Ho verificato che questi EXE scrivono 4
links in Preferiti;
i nomi di questi links riguardano info
hard, suonerie, files mp3 e loghi vari
"FREE" da scaricare,
ma i loro percorsi riportano tutti al
medesimo sito:
htt*://[www].fastwebfinder[.com]/bk1.php
htt*://[www].fastwebfinder[.com]/bk2.php
htt*://[www].fastwebfinder[.com]/bk3.php
htt*://[www].fastwebfinder[.com]/bk4.php
Anche in assenza di EXE pericolosi ho verificato che se sono presenti questi links
al momento della connessione, dal sito stesso vengono
scaricati e messi in esecuzione.
Quindi sconsiglio di visitare questo sito
senza protezioni
BYE
|
|
|
|
Daitan3
Advanced Member
425 Messaggi |
Inserito il - 02/09/2003 : 16:31:55
|
Ciao S3ntry, noto da tempo che sei all'avanguardia! Ho letto con attenzione i tuoi post. Aggiungo per gli utenti a rischio-dialer che stamattina mi sono letto alcune news sul problema. Innanzi tutto , visto che la "legge" sta per mettere al bando i numeri eredi dei vari 144 e 166 e che il gestore telec.. sta facendo il bravo ragazzo grazie alle migliaia di denunce e indagini dela P.P. , stanno gia' circolando dialer "aggiornati" che sfruttano altre numerazioni per rimandare al satellite..o giri descritti or ora da S3entry ...escludendo anche il tempo max attuale di connessione consentito dal gestore telec. (poco piu' di 70 minuti consecutivi per i vari 709 800 ecc).
Se vi interessa leggere ste cose vi rimando a questo indirizzo che propone news e informazioni su questo argomento (con link ad articoli in Internet) [www].socket2000[.com]/index.asp?
|
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 09/09/2003 : 23:30:24
|
Ad-Ware non rileva problemi...
di conseguenza tocca fare tutto
più o meno manualmente...
|
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 15/09/2003 : 23:40:50
|
Ulteriori INFO su attività sospette
assimilabili alle precedenti su:
htt*://[www].superdeejay.net/forum/topic.asp?TOPIC_ID=3548
|
|
|
|
clatrita
New Member
39 Messaggi |
Inserito il - 16/09/2003 : 11:42:03
|
prova con spybot, funziona quasi sempre. cmq attenzione perchè la tecnica usata da questi programmini per "entrare" nel pc è spesso la stessa, basta un click errato per aprire le porte del pc.... bye
|
|
|
| |
Discussione |
|
EXE's pericolosi...
Forum Bloccato
