Trojan Su Winrar

[CountDown_0]

Anch'io sono andato a leggere la fonte originale, e confermo che parlano di maggio. Quindi @killeragosta no, non puoi stare tranquillo.

Detto questo, il mio consiglio è: se avete ancora gli installer che avete usato, NON cancellateli. Vi possono tornare comodi per l'analisi, per esempio se si riuscisse (magari contattando Kasperski, o con una richiesta tra i commenti in fondo all'articolo) ad avere un hash tipo SHA-256 dei file incriminati, si potrebbe avere la certezza se quello che avete usato voi fosse un file infetto o meno.

Chiaro che quel file, a parte questo, non va più toccato. E magari lo si può rinominare in modo che non sia più eseguibile, tanto per stare sicuri.

Comunque, in bocca al lupo a tutti, rimanere infettati così è davvero una sfiga pazzesca.

 

[Alex4691]

Io ho reinstallato Windows 10 giusto Venerdì 7 Ottobre e ho installato winrar preso dal sito italiano, si puo stare sicuri o è meglio fare un'altra bella formattata?
Ho fatto una scansione con windows defender e non ha trovato niente, ho anche analizzato il file .exe di winrar installato sul mio pc con Virus Total ma non mi ha segnalato niente.
Consigli?

 

[Il cecchino Jackson]

Allora ( io l'installer lo cancello quasi subito , mo ho imparato un'altra cosa quindi ) se avete ancora l'installer fate così : caricatelo qui http://onlinemd5.com/

E confrontate i risultati con l'hash che trovate alla sezione prelievo di winrar.it ( ora che se ne sono accorti sarà sicuramente corretto)


Per il resto, nessuno ha la certezza assoluta per pretervi dire che se lo avete scaricato in questa o quella data siete sicuri .

 

[mary7]

ciao a tutti, sono nuova del forum. Vi do la mia esperienza, io ho scaricato l'11 luglio la versione 5.31 da Winrar.it e usavo Kaspersky 2016 che non ha rilevato alcun virus (neanche virustotal lo ha rilevato). Le copie infettate rislagono a fine maggio infatti un membro del forum Kaspersky ha scritto che in quel periodo lì scaricò la versione 5.31 e Kaspersky 2016 gliela bloccò perchè c era il suddetto trojan. Io ho scaricato il giorno 8 ottobre la versione 5.40 e Kaspersky 2017 che uso ora me la da pulita, ho eseguito controlli con Malwarebytes, DrWebcureit, adwcleaner e Hitmanro3.7 e non rilevano niente. Ho fatto anche il confronto dell'hash dal sito suggerito da Il cecchino Jackson ed è il medesimo. Quindi chi ha Kaspersky sappia che lui lo rileva e blocca (infatti anche nell articolo del sito americano di Kaspersky c è scritto che è stato individuato e fermato) oltretutto le copie incriminate per l Italia erano quelle di fine maggio che erano state sostituite sul sito ufficilae di Winrar.
Winrar è un programma che alcuni dicono non ha bisogno di aggiornamenti ma non è così io ad esempio avevo dovuto aggiornarlo perchè proprio Kaspersky facendo Scansione Vulnerabilità mi diceva che la copia che avevo (risalente al novembre 2015) presentava delle vulnerabilità

 

[mat 91]

grazie per la dritta mary7

 

[Marco396]

Grazie mille mary7!

Anche io ho la versione 5.40 e avast non mi ha trovato nulla su tutto il pc. Non so se però l'avevo già installato prima di installare winrar.

Se apro un file compresso e tutti i menù sono in inglese significa che ho la versione inglese giusto?

 

[Alex4691]

Ok grazie mille Mary7!!!!!Non avevo molta voglia di formattare nuovamente tutto :)

 

[eddie995]

Ad ottobre confermo che l'hash dell'installer prelevato è conforme a quella sul sito.

 

[killeragosta]

Anch'io sono andato a leggere la fonte originale, e confermo che parlano di maggio. Quindi @killeragosta no, non puoi stare tranquillo.

Detto questo, il mio consiglio è: se avete ancora gli installer che avete usato, NON cancellateli. Vi possono tornare comodi per l'analisi, per esempio se si riuscisse (magari contattando Kasperski, o con una richiesta tra i commenti in fondo all'articolo) ad avere un hash tipo SHA-256 dei file incriminati, si potrebbe avere la certezza se quello che avete usato voi fosse un file infetto o meno.

Chiaro che quel file, a parte questo, non va più toccato. E magari lo si può rinominare in modo che non sia più eseguibile, tanto per stare sicuri.

Comunque, in bocca al lupo a tutti, rimanere infettati così è davvero una sfiga pazzesca.

Alla fine ho guardato la data dell'ultima modifica del file e a quanto pare il download non l'ho fatto a luglio, ma precisamente il 18 maggio! Ovviamente ho ancora il file originale!

Quindi come procedo?

Allora ( io l'installer lo cancello quasi subito , mo ho imparato un'altra cosa quindi ) se avete ancora l'installer fate così : caricatelo qui http://onlinemd5.com/

E confrontate i risultati con l'hash che trovate alla sezione prelievo di winrar.it ( ora che se ne sono accorti sarà sicuramente corretto)


Per il resto, nessuno ha la certezza assoluta per pretervi dire che se lo avete scaricato in questa o quella data siete sicuri .

Come scritto poco sopra, io ho ancora l'installer! Mi sorge un dubbio però, dove recupero la versione 5.31 "non infetta"? Attualmente sul sito è presente la versione più aggiornata, la 5.40.

Come faccio il confronto?

 

[Il cecchino Jackson]

Da qui http://www.win-rar.com/download.html Cerca la versione 5.31 , c'è ancora in qualche lingua , e spero vadano bene uguale

 

[mary7]

killeragosta

la versione che ho io del 5.31 (scaricata l'11 luglio) su Metadefender mi da questo:

WinRAR-x64-531it.exe


First uploaded 2016-02-22 11:15:43 GMT
Last scanned 2016-10-12 09:33:17 GMT
Filetype InstallShield setup
File size 2 MB
MD5 21D7DA01A0DBB6F2DFB673F656E6D1CE
SHA1 ACEDD0161A954F49EA68251228DE99C123AF87A7
SHA256 9F587712E415B02F03B8FCB00A6D555DBB95783413E6B787BF799BBE8D0812B1

inoltre su
Kaspersky Application Advisor

Attendibilità utenti
su 3 974 utenti
100%AttendibiliRestrizione bassa
Area geografica
Italia - 97%Svizzera - 1%Altro - 1%Germania - 1%Spagna - 0%Romania - 0%
Certificato
Attendibili


File
Nome:
winrar-x64-531it.exe
Tipo:
PE64/EXE
Dimensioni:
2.06 MB

 

[killeragosta]

killeragosta

la versione che ho io del 5.31 (scaricata l'11 luglio) su Metadefender mi da questo:

------

Corrisponde!! :)

Ho provato anch'io su Metadefender e non rileva nulla, su VirusTotal invece su 55 scansioni, una lo rileva come "Hacktool" (?), ma credo sia un semplice errore, un falso positivo.

Grazie mille per il report! Penso proprio non ci siano problemi con il file!

 

[mary7]

si virustotal da questo Hacktool e sulla versione 5.40

Baidu
Multi.Threats
Yandex Riskware.Unwanted!

ma con molti programmi questi antivirus minori danno cose così

per chi ha la 5.40 questo è il report di metadefender :

WinRAR-x64-540it.exe

First uploaded 2016-10-08 07:43:31 GMT
Last scanned 2016-10-08 07:43:31 GMT
Filetype Generic Win/DOS Executable
File size 2 MB
MD5 97325C1F71229E72B0A204D5AF7F69EE
SHA1 831B2E870B830EDBBD4691922358306A8236CD75
SHA256 BC0DDED596BDC9A7A5ABE7EF7C2CA9CC33E0D529261E2C39E71371B10AC6AFA7

Kaspersky Application Advisor

Certificato
Attendibili
Numero di utenti

• 0
  ultime 24 ore
  
  
• 274
  ultima settimana
  
  
• 1 263
  ultimo mese

File
Nome:
winrar-x64-540it.exe
Tipo:
PE64/EXE
Dimensioni:
2.24 MB
MD5:
97325C1F71229E72B0A204D5AF7F69EE
SHA1:
831B2E870B830EDBBD4691922358306A8236CD75
Aggiunto:
8/30/2016 1:32:00 AM

 

[mary7]

Aggiornamento:

Il giorno 14 ottobre sul sito Supporto di WinRar italiano è stato pubblicato un post da un membro del suddetto Supporto.

Riporto quanto scritto:

Vecchio problema violazione sito

Messaggioda Andrea » 14 ott 2016, 09:43

Una doverosa precisazione in merito all'articolo (a nostra avviso incompleto e impreciso) presente sul sito di ricerca dalla Kaspersky: https://securelist.com/blog/researc...rgeting-italian-and-belgian-encryption-users/ e riportato in modo inesatto, storpiato e poco compreso da alcuni siti italiani, presi più dalla fretta di far clamore che dall'approfondire il problema (più accademico che reale).
Nel documento, oltre ad aver sbagliato la data (31 maggio e non prima del 24/5 per il lato "italiano") evita di menzionare quando si è conclusa la distribuzione dei file infetti, questo per mancanza di completezza, forse dovuto al fatto che all'autore, un ricercatore, interessava più spiegare gli effetti dell'infezione che sul dare una notizia completa e utile agli utenti finali.

La versione di WinRAR infetta è stata presente sul nostro sito solo per mezza giornata: dalle 00:30 circa del 31 maggio alle 13:16 dello stesso giorno.
I file infetti erano:

• WinRAR-x64-531it.exe
• WRar531it.exe
• WRar393it.exe

Dalle 13:17 del 31 maggio la versione disponibile era quella corretta esente da alcuna infezione (ed è ancora valida per la vecchia versione 3.93 lasciata sul sito per i vecchi PC). Ora la versione di WinRAR è la 5.40, quindi i primi 2 file non sono più presenti sul sito.

Sin da subito è stata individuata e rimossa la falla di sicurezza sul sito e contemporaneamente è stata implementata una procedura di controllo più rigorosa per evitare altri spiacevoli inconvenienti.

A riprova della breve durata della “falla”, nell'articolo si parla di circa 600 infezioni (dato mai riportato dai siti italiani che vogliono far credere ad un’infezione più vasta), tolti dalle quali circa la metà per effetto delle copie locali si arriva a circa 200-300 prelievi dal sito, mentre dal nostro sito i prelievi giornalieri sono superiori.

Quindi dalle 13:17 del 31 maggio (4 mesi e mezzo fa) sul sito sono presenti file non infetti e da allora non si sono più presentati problemi simili. Infatti il documento in questione, molto lacunoso sotto questo aspetto, parla di settembre ma solo nella parte dove analizza gli effetti a posteriore dell'infezione.
Cordialmente,

Andrea
Supporto WinRAR.it

 

[Il cecchino Jackson]

Quindi insomma la versione incriminata è la 5.31? Grazie