Notizie sugli ultimi virus

Stato
Discussione chiusa ad ulteriori risposte.

tecnico24

Utente Èlite
10,706
1,072
Kaspersky:malware Top Twenty di novembre.

La nuova classifica di malware del premiato produttore russo di antivirus è contraddistinta da un buon numero di novità: per la prima volta dopo mesi, il worm Netsky perde il primato dei malware più diffusi nel traffico di rete.

Dopo un buon numero di Top Twenty contraddistinte dalla predominanza della variante del worm Netsky.q, la classifica di novembre dei 20 peggiori badware stilata come al solito da Kaspersky si presenta notevolmente rimaneggiata: malware che nella lista di ottobre occupavano i piani bassi della classifica sono saliti alla ribalta fino ad occupare le prime posizioni, e il suddetto Netsky.q sparisce dopo mesi dai radar del traffico di rete infetto del premiato produttore russo.

Per Alexander Gostev, senior virus analyst dei labs Kaspersky, il fatto denota l'attuale assenza di epidemie davvero serie nel traffico e-mail: il trittico di novembre conta al primo posto il worm Scano.gen, che sale di ben 12 posizioni e colleziona il 16% del traffico mail infetto registrato dagli analisti moscoviti, al secondo la variante del worm di rete Mytob.t anch'esso salito di 12 posti fino a conquistare quasi il 10% delle mail-scam e al terzo Netsky.x, variante meno nota del solito verme in circolazione da anni che totalizza il 6,45% delle mail infette del mese.

Una situazione di totale volatilità dunque, che ha come solo punto (quasi) fermo Trojan-Spy.HTML.Fraud.ay, l'attacco di phishing dalla scarsa efficacia salito alla ribalta lo scorso mese di ottobre e sceso di due sole posizioni a novembre. Sparito invece dalla classifica Exploit.Win32.PDF-URI.k, l'attacco basato su una vulnerabilità dei software di Adobe precedentemente finito al sesto posto della Top Twenty.

A conquistare il maggior numero di posizioni questo mese è un altro exploit, Exploit.Win32.IMG-WMF.y (che prende di mira una vulnerabilità di Windows nella gestione delle immagini vettoriali), salito di ben tredici posti fino a raggiungere la sesta posizione. Come effetto collaterale Womble.a, il worm connesso all'exploit, è tornato in classifica piazzandosi dodicesimo.

E non è l'unico ritorno eccellente, considerando che anche il ben noto Warezov.pk torna a farsi vivo conquistandosi la settima posizione. Per il resto, nella Top Twenty di novembre risultano rappresentate a vario titolo tutte le vecchie famiglie di worm da tempo in circolazione, incluse quelle di Netsky, Mydoom, Bagle, Scano e altre.

Secondo l'analista di Kaspersky, l'inusuale presenza di nuovi trojan e trojan downloader nella classifica presagisce per i prossimi mesi uno sviluppo sui medesimi binari, ovvero con la parte superiore della Top Twenty occupata in maggioranza da worm via mail e quella inferiore tutta dedicata ai cavalli di Troìa e ai sempre più minacciosi exploit di vulnerabilità assortite.
 

tecnico24

Utente Èlite
10,706
1,072
Trojan Clicker:un vecchio virus rinnovatosi.

Da qualche settimana a questa parte, si sono affermate moderne versioni dei ben noti Trojan Clicker. Il numero di infezioni dovute a questi nuovi trojan è vertiginosamente aumentato, come può facilmente constatare chi è solito navigare sui forum di informatica e di sicurezza del pc. Le nuove varianti del trojan utilizzano tecniche di rootkit (di recente, il numero di malware che ne fanno uso è cresciuto), il che significa che, sebbene attive, esse non sono visibili tra i processi in corso presenti nel Task Manager; ciò complica sensibilmente il processo di rimozione del trojan.

Sintomi del trojan Clicker

sintomi più evidenti e più facilmente individuabili dall'utente meno esperto sono i seguenti:

dropdown_freccina.gif
Continui avvisi, da parte dell'antivirus, dell'esistenza di un trojan (il cui nome può variare a seconda dell'antivirus in uso) all'interno della cartella C:\Windows. Tali avvisi vengono visualizzati ogni volta che accendiamo il pc, apparentemente senza possibilità di soluzione.
dropdown_freccina.gif
Comparsa, solitamente sul desktop, ma anche in C:\ o in Documenti, di un nuovo file, il cui nome è composto da una serie di cifre casuali, e la cui estensione è .dll.
dropdown_freccina.gif
Modifica, nell'uso di Google, dei primi risultati della ricerca, con relativo indirizzamento a siti infetti.

Nell'uso di un programma di diagnostica, come HiJackThis, noteremo la presenza di una voce simile alla seguente, chiaro segnale dell'infezione:

O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\client\Desktop\1121765.dll


Rimozione

Come detto, la rimozione del trojan.clicker risulta particolarmente difficile, poichè esso usa tecniche di rootkit, e dunque non risulta visibile nel Task Manager; invece, con una scansione del programma antirootkitGMER(scaricabile dalla sezione controlli sicurezza gratuiti), è possibile seguire le varie fasi di esecuzione del processo.(vedi allegato).
Per chiuderlo, basta cliccare sulla voce in rosso col tasto destro, e poi selezionare Kill process.

Per tentare una rimozione automatica, in taluni casi è sufficiente utilizzare lo scan online del noto antivirus BitDefender, presso questo indirizzo.
(è obbligatorio l'uso di Internet Explorer).
Qualora si voglia o si debba approntare una rimozione manuale, è necessario munirsi di questi programmi:

dropdown_freccina.gif
GMER
dropdown_freccina.gif
The Avenger

Se volete usare avenger,scaricatelo,estraetelo e avviate avenger.exe
Cliccate su Input script manually e poi sulla lente di ingrandimento.
nell'box vuoto dovete inserire con copia|incolla queste scritte:
Codice:
[COLOR=Red]registry values to delete: 
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | 1 
 
registry keys to delete: 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{14D1A72D-8705-11D8-B120-0040F46CB696} 
 
Files to delete: 
C:\WINDOWS\service32.exe 
C:\Documents and Settings\client\Desktop\1121765.dll 
[/COLOR][COLOR=Red]C:\Windows\svchost32.dll[/COLOR]
Dopodichè cliccare sul pulsante Done,poi sul semaforo con luce verde,due volte si,il pc si riavvierà,e al ritorno troverete il log di avvenuta pulizia(C:\AVENGER.TXT).


Prevenzione
Le norme basilari per evitare l'infezione sono sempre le stesse:

1) Aggiornare di continuo il proprio sistema operativo tramite Windows Update.
2) Navigare utilizzando un antivirus aggiornato.
3) Utilizzare un firewall.
4) Possibilmente, navigare utilizzando browser che non siano Internet Explorer, per evitare di infettarsi. Consigliamo l'uso di Firefox od Opera.
5) Controllare abitualmente il pc mediante gli scan di programmi di vario genere (AntiVirus, antispyware, AntiRootkit, etc...).
 

tecnico24

Utente Èlite
10,706
1,072
Un malware che si finge una toolbar di google.

Questo Trojan Downloader si diffonde fingendosi una toolbar di Google, e si installa nella nostra macchina. Analizziamolo e procediamo alla sua rimozione.

In Internet si sta diffondendo un nuovo trojan. Purtroppo, si tratta di un trojan davvero molto astuto, che si nasconde tra i file di alcuni programmi e del sistema stesso, usando nomi uguali o simili a quelli legittimi, e rendendo le operazioni di rilevazione e di rimozione piuttosto complicate.

Come se non bastasse, essendo un Trojan Downloader, scarica numerosi file maligni da altri siti nocivi, infettando ulteriormente il computer. Inoltre, esso modifica numerose chiavi e valori del registro di sistema di windows, assicurandosi l'avvio e il funzionamento.

Analisi dei File

Il file che genera l'infezione è:

CTRFMON.exe.
Ed è il Downloader vero e proprio, che provvede a scaricare altro codice nocivo dalla rete.

Il file si assicura l'avvio all'accensione del sistema, inserendo in questa posizione nel registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

il valore "crtfmon", il cui contenuto punta alla posizione del Downloader, che è solito essere C:\WINDOWS\CTRFMON.exe.
Tuttavia, non è detto che il file risieda sempre e comunque nella posizione indicata, ma può variare.

C:\Programmi\Google\googletoolbar1.dll

Questa dll è particolarmente insidiosa, in quanto esiste anche un file legittimo con quel nome e posizione, è la toolbar di Google. Pertanto, diventa praticamente impossibile, a occhio nudo, riconoscere il file illegittimo da quello legittimo.

La dll apre anche Internet Explorer, senza visualizzare nessuna finestra, e si inietta come BHO (Browser Helper Objects).
Nella cartella della famigerata toolbar aggiunge anche altri file, come bipsetup.mcd e exsetup.mcd.

Il trojan crea altri tre file, che svolgono la funzione di dialer. Essi sono:

C:\Documents and Settings\%NomeUtente%\kd678.exe
C:\Programmi\kd678.exe
C:\Documents and Settings\%NomeUtente%\Impostazioni locali\Temp\temp77726.exe
Dove %NomeUtente% sta per il nome utente.

Come già detto, il trojan modifica il registro di sistema di Windows per registrarsi come BHO.


Rimozione

Come già evidenziato, non è semplice individuare il malware, ma con l'attenzione dovuta è possibile scoprirlo.

In un log di HiJackThis è relativamente facile rilevare il malware, viste le chiavi che immette nel registro; un esempio tipico è la voce

O4 - HKLM\..\Run: [crtfmon] C:\WINDOWS\CTFRMON.EXE

che, come detto precedentemente, punta al Downloader.
Un'altra voce è quella riferita alla toolbar di Google, di solito visualizzata così:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} – C:\programmi\google\googletoolbar1.dll,

ma in realtà è il BHO nocivo iniettato di nascosto dal trojan.

Il fix di queste voci non risulta sufficiente, poiché i file rimarrebbero presenti nell'hard disk. Tuttavia, adottando altre procedure, si arriva all'eliminazione del trojan.

Scarichiamo per prima cosa Avenger, il tool che ci aiuterà nell'eliminazione dei file maligni e dei valori illeciti.

E' importante quindi estrarlo in una cartella a vostra scelta.

Quindi eseguite il file avenger.exe (che sarà solo avenger, se tenete la visualizzazione delle estensioni nascoste) con la figura di una spada.

Ora mettete il pallino su Input script manually.

Quindi scegliete la lente di ingrandimento affianco e cliccateci sopra.

Adesso incollate queste righe nella box bianca, che vi si sarà aperta:

Files to delete:
C:\Programmi\Google\bipsetup.mcd
C:\Programmi\Google\exsetup.mcd
C:\Programmi\Google\googletoolbar1.dll
C:\Documents and Settings\%NomeUtente%\kd678.exe
C:\Programmi\kd678.exe
C:\Documents and Settings\%NomeUtente%\Impostazioni locali\Temp\temp77726.exe
C:\WINDOWS\CTFRMON.EXE

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | crtfmon


NB: E' importante che sostituiate la dicitura %NomeUtente% con il vostro nome utente.

Adesso bisogna cliccare sul pulsante Done, in basso nella box.

A questo punto, selezionate il semaforino in alto a destra della finestra del tool.

Rispondete di Si a entrambe le richieste di Avenger: vi sta chiedendo se volete procedere con lo script inserito, dicendovi che il computer verrà riavviato. Prima di procedere, salvate tutto quello che avete aperto.

Adesso il computer dovrebbe riavviarsi da solo. In caso contrario, riavviatelo voi manualmente, facendo clic su Start --> Spegni Computer --> clic su Riavvia.

Il file di testo, che al successivo boot (Avvio del sistema) si aprirà, sarà il log con le operazioni eseguite dal programma, che verrà memorizzato in C:\Avenger\Avenger.txt.

Non necessariamente tutti i file devono essere stati trovati. Se qualche voce ha la dicitura "...not found..." non preoccupatevi, perchè può accadere.
Qualsiasi dubbio,postate sul forum e vedremo un pò!:)
 

tecnico24

Utente Èlite
10,706
1,072
Instant access e Obfuscated:Il ritorno.

Molti di voi potrebbero aver visto questa icona sul loro desktop(allegato)
e molti altri potrebbero aver trovato sulla loro bolletta telefonica un numero a 4 cifre.

Se così, allora significa che il dialer Instant Acess e il trojan Obfuscated.dr vi hanno colpito con tutto il loro carico di distruzione.

Individuazione e sintomi

L’individuazione di questi virus è relativamente semplice. Come già detto sopra, infatti, l’icona sul desktop parla da sola.

I sintomi, inoltre, sono davvero singolari: come ai tempi degli infector, infatti, il trojan si sostituisce ai file ad esecuzione automatica e copia gli originali in una cartella denominata "bak"; ciò rende la rimozione più difficoltosa, ma non impossibile.
Fase uno: diagnosi approfondita

Scaricate FindAwf http://noahdfear.geekstogo.com/FindAWF.exe. Lanciatelo e premete invio. Vi si presenterà una finestra nera con la ricerca delle cartelle .bak

A processo terminato, avrete un report simile a questo:

Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 749E-DB13

Directory di C:\PROGRA~1\MESSEN~1\BAK

0 File 0 byte
2 Directory 103.501.692.928 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 749E-DB13

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
08/10/2004 12.52 221.184 LVCOMSX.EXE
09/07/2001 11.50 155.648 NeroCheck.exe
3 File 392.192 byte
2 Directory 103.501.692.928 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 749E-DB13

Directory di C:\PROGRA~1\ATITEC~1\ATICON~1BAK

22/02/2005 22.05 339.968 atiptaxx.exe
1 File 339.968 byte
2 Directory 103.501.688.832 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: 749E-DB13
Duplicate files of bak directory contents

~~~~~~~~~~~~~~~~~~~~~~~

15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
24076 5 Apr 2007 "C:\WINDOWS\system32\LVCOMSX.EXE"
221184 8 Oct 2004 "C:\WINDOWS\system32\bak\lvcomsx.exe"
24076 5 Apr 2007 "C:\WINDOWS\system32\NeroCheck.exe"
155648 9 Jul 2001 "C:\WINDOWS\system32\bak\NeroCheck.exe"

end of report

Fase due: Rimozione

Una volta localizzato il trojan, vi resta la parte più tecnica dell'operazione, ossia la rimozione.

Disabilitate il System restore . Per maggior sicurezza, fate una copia dei vostri dati più importanti, quindi inserite in The avenger lo script per eliminare il virus, che varierà da caso a caso.

Nel mio caso è:

Files to move:

C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\bak\LVCOMSX.EXE| C:\WINDOWS\system32\LVCOMSX.EXE

C:\WINDOWS\system32\bak\NeroCheck.exe | C:\WINDOWS\system32\NeroCheck.exe

C:\Programmi\ATI Technologies\ATI Control Panel\bak\atiptaxx.exe | C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
Come creare lo script

Per creare lo script, procedete in questo modo: all'inizio inserite la stringa files to move:; sotto, invece, inserite prima la posizione dei file buoni e poi, separati da un |, indicate la posizione dei file cattivi.

Se non vi sentite sicuri, o avete paura di combinare qualche guaio, chiedete pure sul forum nella sezione sicurezza

Dopo aver eseguito lo script, fate una scansione, dalla modalità provvisoria, con Avg antispyware freeware. Quindi pulite il sistema dai file temporanei con Ccleaner e controllate che tutto sia andato a buon fine.
Conclusioni
Se i suddetti problemi non si ripresentano più, avete risolto ed eliminato il virus.

Per evitare di essere infettati da questi trojan, vi consiglio di navigare su siti conosciuti e di usare browser come Opera o Firefox, molto più sicuri di Explorer. Inoltre, prendete l'abitudine di cancellare i file temporanei del browser e di Windows.
 

tecnico24

Utente Èlite
10,706
1,072
Worm Bagle:Il ritorno.

Si sta ancora diffondendo questo maledetto worm,che diciamo,è il piu' temuto da tutti gli antivirus e continua a manifestarsi nel file sharing,precisamente p2p(Peer-to-peer),quindi raccomando la massima attenzione negli oggetti in cui si scarica,precisamente stare attenti ai file .exe sconosciuti e ai file .zip.
La rimozione per questo virus ci sta [url=www.swandog46.geekstogo.com/avenger.zip]Avenger[/URL] come abbiamo detto in precedenza.Questo tool si è dimostrato davvero un eliminatore di files e chiavi di registro che fa sempre c'entro.Altro tool per la rimozione di bagle,si chiama [url=www.zonavirus.com/datos/descargas/95/elibagla.asp ]Elibagla[/URL] , creato apposto per il bagle.
 

tecnico24

Utente Èlite
10,706
1,072
Ultimi Virus di Gennaio 08 secondo panda.

Secondo Panda Software la top 10 di gennaio relativa ai virus vede al primo posto Sdbot.ftp con l'1.96%, una rilevazione generica dello script per sfruttare alcune vulnerabilità, seguita dal Trojan Torpig con l'1.46%, un virus progettato per il furto dei dati confidenziali. In Italia il primo posto è per il Trojan Spamer con il 3.31% seguito da Sdbot.ftp con il 3.07%


Top 10 virus nel mondo % di infezione
Worm W32/Sdbot.ftp 1,96%
Trojan Torpig.A 1,46%
Worm W32/Puce.E 1,17%
Trojan Abwiz.A 1,16%
Trojan backdoor PcClient.DU 0,99%
Worm W32/Brontok.H 0,94%
Trojan QQPass.JZ 0,94%
Worm W32/Netsky.P 0,87%
Worm W32/Nuwar.B 0,68%
Worm W32/Bagle.HX 0,63%

Top 10 virus in Italia % di infezione
Trojan Spamer.T 3,31%
Worm W32/Sdbot.ftp. 3,07%
Trojan Banker.CDV 3%
Trjojan Clicker.VW 2,37%
Worm W32/Bagle.HX. 1,52%
Trojan Downloader.MAR 1,48%
Exploit/W MF 1,47%
Worm W32/Puce.E. 1,38%
Trojan Mitglieder.MF 1,35%
Trojan Torpig.A 1,24%
 

tecnico24

Utente Èlite
10,706
1,072
Trojan-Downloader W32/Agent.CMK:Warning!

Nei giorni scorsi, una grande quantità di mail contenenti il Trojan Downloader W32/Agent.CMK è stata inviata a indirizzi italiani e stranieri.

Questo malware appartiene alla famiglia degli Agent.BRK descritta in questa scheda redatta dagli analisti F-Secure:

http://www.f-secure.com/v-descs/trojan-downloader_w32_agent_brk.shtml

Caratteristiche comuni ai membri di questa famiglia sono il meccanismo di installazione di componenti Rootkit nel sistema, sotto forma di driver che possono aggiungersi o sostituirsi a quelli già esistenti in Windows, e la capacità di collegarsi alla Rete per scaricare nuovi componenti.

Per fare questo, Agent.CMK (così come i suoi predecessori) lancia Internet Explorer come processo nascosto e vi "inietta" il proprio codice in modo da avere più possibilità di agire indisturbato: se il computer è collegato a Internet, Agent.BRK effettua una connessione a questi siti:

66.246.72.173
67.18.114.98
208.66.194.241
66.246.252.213
66.246.252.215

Normalmente i moduli scaricati da questi siti sono ulteriori trojan o rootkit che permettono a un attaccante di utilizzare la macchina infetta come Spam-Bot, ossia un "ponte di lancio" per inviare Spam ad altri utenti all'insaputa del proprietario del PC.

Gli antivirus F-Secure rilevano questo recente malware come:
Trojan Downloader:W32/Agent.CMK
mentre gli altri membri della famiglia possono essere indicati collettivamente come:
Trojan-Downloader.Win32.Agent.brk

Le componenti rootkit vengono segnalate come:

Rootkit.Win32.Agent.dw
Rootkit.Win32.Agent.dp
Rootkit.Win32.Agent.ey

(le ultime due lettere possono variare a seconda delle sotto-varianti).

In tutti i casi è necessario rimuovere i file infetti dal sistema, quarantenandoli o cancellandoli: non è possibile disinfettare gli eseguibili in quanto non contengono altro che il codice maligno che va quindi rimosso in blocco.


Raccomando di seguire la procedura indicata dal Wizard dell'antivirus e in caso di difficoltà, fare riferimento alla scheda sopra citata del sito F-Secure.
 

tecnico24

Utente Èlite
10,706
1,072
Virus in messenger:Diffusione alta.

Sull programma di messaggistica si stanno creando nuovi virus maledetti e molti di loro ci cascano e ricevono il virus.Quasi quasi il compagno che ne capisce vi blocca e non potete parlare più con lui per via del virus.Questo virus ti invita ad accettare enimoctions che tu puoi personalizzare con la tua foto.Se accettate,il virus installa un applicazione definita da altri broswer"MS.DOS",e il suo buon lavoro lo sviluppa al insaputo degli altri,cioè l'utente becca il virus,lo stesso virus lo si autoinvia agli altri contatti senza che l'utente infettato se ne accorgessi.La rimozione è uguale come ho detto prima nei post precedenti sui file .zip
Il tool per la rimozione è Questo
molto efficace e ha fatto quasi sempre centro contro ogni infezione.
Qualsiasi info o aiuto,postate nel forum:ok:
 

faenil

Utente Attivo
493
0
CPU
i7 920 C0 @ 3,8ghz
Scheda Madre
Asus Rampage 2 Gene (X58)
HDD
2 x 500gb Seagate 32mb cache in RAID0
RAM
3x2gb Mushkin Blackline 7-8-7-20 pc12800
GPU
Club3D Radeon HD5850 1gbVRAM
Audio
Creative T7700 7.1
Monitor
Asus vw223d 22"
PSU
Enermax Liberty 620W
Case
CoolerMaster CM690
OS
Windows 7, BackTrack, MacOs
Q1/2008 : Nuovo Test Av by Av-test.org

Il grande Andreas Marx, CEO e direttore della tedesca Av-Test.org, ha rilasciato il 22 Gennaio i nuovi test di prodotti antivirus basato su più di 1 milione di samples, tra cui rootkits e FP.

Devo dire che qualche delusione qui e lì c'è stata...andiamo ad analizzarle insieme.. :ok:

Per quanto riguarda la scansione on demand si riclassifica primo il famigerato WebWasher (99,8%), ma essendo una soluzione gateway non ci interessa molto :lol:
subito dopo, e c'era da aspettarselo, compare AVK 2008 (99,8%), che ha sempre dato ottimi risultati nella scansione on demand, e continua a fare il suo ottimo lavoro. Seguono Antivir (99,6%) e Avast (99,4%).
Poco più giù Symantec NAV (98,3%), e solo al nono posto KAV (98,0%), che negli ultimi test era sempre comparso sul podio. Ventesimo posto per NOD32, che si mantiene sull'usuale 93%.
Da notare AVG, solo un gradino sotto Symantec, con un soddisfacente 98,1%.

Per quanto riguarda invece la sezione FP (False Positives), gli unici a non rilevare nessun FP sono stati l'av di Microsoft, McAfee, Symantec, e eTrust-Vet, che ha però dato risultati estremamente negativi negli altri tipi di test.
Deludente questa volta Kaspersky, che è arrivato a rilevare 2 FP, contro l'unico FP di Antivir e Nod32.

Interessante invece la sezione di difesa in Realtime:
Sono risultati ottimi nella protezione realtime gli AV NOD32, Panda, Sophos, F-Secure, Fortinet (versione per Gateway), e BitDefender.

Passiamo invece al punto dolente di tutti gli av...i rootkits, anche se erano soltanto 12.
Gli unici a rilevare tutti i rootkit sono stati F-Secure, Panda, Symantec, e TrendMicro. 1 Rootkit mancato per Nod32, Kaspersky, e Antivir. AVK 2008 ne ha mancati invece 3.

I test sono stati fatti anche sul tempo di rilascio nuove firme dopo la diffusione di un virus, di cui non ho trattato ma che potete leggere, insieme agli altri tipi di test trattati in questo testo, nel file PDF stilato dalla Sunbelt:
http://www.sunbelt-software.com/ihs/alex/avtestresults_2D2008q1.pdf

Saluti,
Faenil
:ok:
 

tecnico24

Utente Èlite
10,706
1,072
Trojan Zlob.f

Trojan.Zlob.F è un cavallo di Troi@ che può scaricare ed eseguire file remoti e reindirizzare la home page e la pagina di ricerca di Internet Explorer.

Valutazione della minaccia

In circolazione
Livello di circolazione: Basso
Numero di infezioni: 0 - 49
Numero di siti: 0 - 2
Distribuzione geografica: Basso
Contenimento della minaccia: Semplice
Rimozione: Moderato
Danno
Livello del danno: Basso
Payload: Può scaricare ed eseguire file.
Riduce le prestazioni: Reindirizza la home page di Internet Explorer e le pagine di ricerca verso siti web potenzialmente nocivi.

Distribuzione
Livello di distribuzione: Basso
Obiettivo dell'infezione: home page di Internet Explorer e pagine di ricerca.


Cosa provoca questo trojan Zlob.f e dove si nasconde


Quando Trojan.Zlob.F viene eseguito, compie le seguenti azioni:
Rilascia i file seguenti:

%System%\ncompat.tlb
%System%\msvol.tlb
%System%\hp[RANDOM CHARACTERS].tmp

Nota: %System% è una variabile che fa riferimento alla cartella System. Per impostazione predefinita si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).

Aggiunge il valore:

"nvctrl.exe" = "nvctrl.exe"

alla sottochiave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

in modo da essere sempre eseguito all'avvio di Windows.

Elimina tutte le sottochiavi sotto le seguenti sottochiavi del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta

Crea le sottochiavi del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{724510C3-F3C8-4FB7-879A-D99F29008A2F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
\{724510C3-F3C8-4FB7-879A-D99F29008A2F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta
\{724510C3-F3C8-4FB7-879A-D99F29008A2F}

Aggiunge una chiave di crittografia alle seguenti voci di registro, che può utilizzare per cifrare i dati associati al cavallo di XXXXX stesso o tutti i dati raccolti dal computer infetto:

%UserProfile%\Application Data\Microsoft\Crypto\RSA
%UserProfile%\Application Data\Microsoft\Protect

Nota: %UserProfile% è una variabile che fa riferimento all'attuale cartella di profilo dell'utente. Per impostazione predefinita, questa è C:\Documents and Settings\[UTENTE CORRENTE] (Windows NT/2000/XP).

Reindirizza la home page di Internet Explorer al seguente URL indipendentemente dalle impostazioni del registro:


www.yoursystemupdate.com/[/ul][ELIM...vviate il pc e dovrebbe essere tutto a posto.
 
Stato
Discussione chiusa ad ulteriori risposte.

Entra

oppure Accedi utilizzando