Storia di uno stupido che si becca una serie di virus in pochi secondi.

[il pazzo]

Pasquà troppi video giochi e poche letture utili e ti ritrovi in un lampo penetrato

la storia dei file zip che infettano MSN è............vecchia

e ricordando un vecchio discorso... hai dimostarto da solo che gli antivirus possono essere..................inutili

Ciao vecchio scarpone multimediale....
Circa la penetrazione ..... tutto puo' essere utile nella vita.

La storia dello zip che infetta MSN la conoscevo pure io, ma non sapevo che prendesse il nome di mia sorella che, guarda caso, mi voleva proprio mandare delle foto ............ solo che ancora le doveva fare le foto.

Sul discorso che gli antivirus possono dimostrarsi "inutili" in qualche occasione, posso pure condividere. ma non condivido, nè condivero' mai il discorso di dire, come è stato detto, che gli antivirus non servono a niente. Trattasi di pura e semplice boutade che, se presa seriamente, puo' essere fortemente fuorviante.

I giochini ? Ma guarda caso che su quel pc non ci sta' manco un fetentissimo giochino....sarà questa la causa ? Forse non ha maturato gli opportuni anticorpi, proprio per la mancanza di giochini.
Va bene, rimediero', stasera gli installo Nascar.....

Ciao Marco, è sempre un piacere leggerti.

[il pazzo]

Inoltre hai dimostrato l'utilità di avere un file immagine sempre aggiornato,buon per te.

Dopo tanti anni, caro homer, avere un'immagine di riserva sempre pronta è una delle tre cose che ho imparato.

Le altre due sono : sappi che non sai quasi niente di informatica, e la terza è : non fidarti di quelle persone che hanno un cugino esperto di informatica, che gli ha detto che.......ecc... ecc....

i cugini sono una jattura per i computer.

[Luciano61]

..avere un'immagine di riserva sempre pronta è una delle tre cose che ho imparato.

Carissimo,la domanda è la seguente:
come posso fare,agevolmente per un non esperto come me,per attivare questa operazione?
Posto che sia possibile in XP?
Inoltre,questo argomento è inerente alla sezione sicurezza,oppure dovrò cercare in altre sezioni?
Grazie ancora e cordiali saluti.

[Luciano61]

Giusto come testimonianza utile ad evitare possibili grossi problemi ad altri utenti del forum.
Ieri sera vengo contattato da mia sorella Angela che sta a Termoli, la quale mi voleva delle immagini appena fatte con la sua nuova macchinina digitale.
La connessione avviene solo per chat (cioè senza audio/video) perchè lei è troppo imbranata per collegare la cuffia o una webcam. Vi dettaglio brevemente il tenore della discussione, dove P=Pazzo e A= Angela.
A - ciao, che fai ? Sai che ho fatto delle foto alla nuova casa ?
P - ciao scimmia, immagino che porcherie avrai fatto con quella Kodak Easy Shire ...
***** attenzione **********
a questo punto appare sullo schermo la classica scritta : Angela ti ha mandato il file Angela59.zip , accetti ? Rifiuti ?
Ovviamente ho accettato, l'ho scaricato sul desktop, l'ho scompresso e mi è uscito un file chiamato image59.html (o qualcosa del genere). Vi ho cliccato sopra, non è successo assolutamente niente, ma dal desktop è letteralmente sparito il file ANGELA59.ZIP insieme alla cartella omonima e a tutto il suo contenuto. Spariti completamente.
Tutto questo ovviamente è durato pochisismi secondi, ed io tornando su messenger ho ringraziato mia sorella per le foto che mi aveva mandato, ma che non avevo visto niente perchè il file trasmesso non faceva vedere niente ; anzi era proprio sparito.
********
P - ma che cavolo mi hai trasmesso ? Non si vede un tubo
A - Io ? veramente non ti ho trasmesso niente......
P - come niente ? Mi ha mandato angela59.zip....
A - ma sei scemo ?....... Io non ti ho mandato niente......
Ho chiuso tutto, sono andato in "cerca file" per vedere se riuscivo a rintracciare qualcosa : risultato, in rapida sequenza, mi sono apparsi una decina di worning di NOD32 che trovava worm pericolosi, che li metteva in quarantena e che non riusciva a rimuovere.
Si parlava di : win32/agent.NBT, poi di c_AEW, poi di smtpdrv.sys corrotto, poi all'imporvviso, sempre NOD32, mi ha segnalato Trojan Horse SHeur.AKWE (maiuscole e minuscole identiche al mio scritto).
Non vi dico cosa ho fatto per tentare, senza riuscirci, di rinuovere tutta quella porcheria che usciva in continuazione. Usato scan in linea di Kaspesky, usato AVG antivirus, antispyware, rootkit, bitdefender, Nod32, Avast, Spyware terminator, Panda .....in provvisoria, normalmente ecc.....
Ho controllato l'hijackthis ed era pulitissimo.
Risultato ? Avevo un'immagine di tre giorni prima, e l'ho ripristinata con fido Acronis, con ottimi risultati.
Ammetto che è stata colpa mia, ma mi vanno riconosciute le attenuanti generiche, viste le circostanze.
Quanto sopra a livello informativo.

Ciao,vorrei chiederti una cosa.
Siccome partecipo attivamente anche ad un altro Forum,esclusivamente dedicato al tema antivirus e firewall di una specifica Software House,oltre che a questo dove mi leggi ed a quello di COMODO Firewall,vorrei sapere se posso riportare questa tua esperienza per sentire il loro parere in merito.
Avrei pensato,posto tu sia d'accordo,di riportare il testo di cui sopra,se non integralmente almeno per tutti i contenuti,salvo i riferimenti dei nomi,marchi e di questo Forum.
Il tutto con il fine di fare comunque maggiore chiarezza su questo tuo incidente,per pubblico uso e beneficio collettivo.
Con la speranza che questo Forum non ritenga questa mia idea un fatto spiacevole.
Fammi sapere.
Cordialmente.

[il pazzo]

Per quanto mi riguarda non ho alcun problema all'utilizzo del post, assolutamente nessun problema.

Oltre tutto una persona come me, te e gli altri, che partecipiamo ad un forum, lo facciamo proprio con lo spirito di condividere esperienze positive e negative sull'argomento informatica ed i suoi derivati.

[il pazzo]

Carissimo,la domanda è la seguente:
come posso fare,agevolmente per un non esperto come me,per attivare questa operazione?
Posto che sia possibile in XP?
Inoltre,questo argomento è inerente alla sezione sicurezza,oppure dovrò cercare in altre sezioni?
Grazie ancora e cordiali saluti.

L'argomento è chiaramente OT ed andrebbe posto, come prevedevi giustamente, in sicurezza.

Ma, brevemente, per creare un'immagine, salvarla e riutilizzarla alla bisogna devi avere un software specifico.

Io da qualche mese uso Acronis true Image 10 home edition, in italiano, e del quale trovi amplissime recensioni nelle discussioni del forum (usa CERCA : acronis true image e vedrai...).
Ma ci sono anche altri software, tipo Ghost per esempio.

[Luciano61]

Per quanto mi riguarda non ho alcun problema all'utilizzo del post, assolutamente nessun problema.

Oltre tutto una persona come me, te e gli altri, che partecipiamo ad un forum, lo facciamo proprio con lo spirito di condividere esperienze positive e negative sull'argomento informatica ed i suoi derivati.

Ciao,ti riporto il parere che ho ricevuto da chi ha avuto modo di leggere il tuo post.
Ti preciso che la persona che mi ha dato la risposta è un esperto in tema specifico di sicurezza informatica,ovvero per Antivirus e Firewall.
Inoltre è un tecnico sulla quale competenza in molti giurano,ed è uno dei più attivi partecipanti (se non un Moderatore) di un importante Forum appunto di sicurezza.
Ho avuto necessità dei suoi aiuti più volte,e ti assicuro che sono stati risolutori.
Non sono,come sai,un gran competente,però credo di non sbagliarmi nell'esprimere giudizi estremamente lusinghieri sull'operato e competenza di questa persona.
A te la risposta,a te le considerazioni del caso:

"Ciao, lo scenario a mio avviso va interpretato così: nel codice del file html si annidava uno script offuscato che l'antivirus in questione non è riuscito a rilevare e che conteneva un exploit. In questo modo è stato scaricato ed attivato un trojan downloader, che a sua volta ha scaricato sul computer altro malware. Io ritengo che KAV avrebbe evitato il disastro o in prima battuta con l'analisi dello script o, tutt'al più, in seonda con l'intervento del modulo File Anti-Virus."

Questo il testo,riportato con assoluta fedeltà.
Ti sarei grato per ulteriori ed illuminanti pareri.
Come anche di qualsiasi altro partecipante al Forum.
Saluti.

[il pazzo]

Pur non essendo affatto un esperto di sicurezza, la dinamica dell'episodio potrebbe benissimo essersi verificata come descritto dal tecnico.

E' ovvio pero' che in qualche modo il file inoculato deve aver preso perfidamente il nome, o parte di esso, da uno dei due collegamenti , perchè non posso pensare che si chiamasse casualmente "angela.zip", ed io stavo parlando proprio con una che si chiama angela.

E singolare comunque la cattiveria e l'accanimento nello scaricare una caterva di porcherie, ciascuna delle quali , per quanto rilevata, non era rimovibile da altri antivirus, ma in opzione era possibile soltanto mettere in quarantena.

Il fatto poi di avere l' hijackthis assolutamente pulito mi rende ancora piu' incomprensibile la ricomparsa continua delle minacce messe in quarantena.

Comunque anche questo è un campo assai specialistico, ed addentrarsi nei perchè e nei per come presuppone conoscenze specifiche approfondite e non certo superficiali come le mie. Questo è il campo si Ste, di Luke, di Astrus e di altri "degenerati" equivalenti.

Grazie comunque per la delucidazione. Se mi risponde Eset, cui ho dettagliato l'episodio, vi rendero' edotti.

Vorrei sperare che l'esperto abbia ragione quando dice che probabilmente KAV avrebbe potuto intercettare il tutto.

Mi meraviglio solo del fatto che, al di là del real time, l'euristica di NOD32 non abbia fatto il suo mestiere ; e anche di questa cosa aspetto risposta da Eset.

[Shadowplay]

nessuno è perfetto,manco Nod32(ma Kaspersky e Bitdefender ci vanno molto vicini)

[astrus85]

Mi sembra pero' (ma ripeto : mi sembra) che un conto è gestire la posta in entrata ed un altro conto è gestire un file trasmesso tramite messenger. In pratica, credo, che sulle mail esiste un ciclo di controllo "dedicato" e specificamente definito nel kernel dell'antivirus, mentre probabilmente l'arrivo di un file su messenger potrebbe essere intercettato non in real time (quindi al momento del download) ma forse solo se lo mandi in esecuzione.

ciao pazzo,
come hai già detto te l'antivirus ha al suo interno un modulo che si occupa della scansione email andando a controllare il traffico della porta 110 ,quella usata di default dal protocollo pop3 (non a caso un problema di avg era scambiare il traffico di emule capitato sulla porta 110 con spedizione di e-mail http://forum.swzone.it/showthread.php?t=95478 ) ..essendo una porta standard è facile dedicargli un controllo apposito. Messenger come trasmissione file usa le porte dalla 6891 alla 6900 TCP ,skype altre e altri apllicativi altre ancora..quindi penso sia quella la difficoltà,imho, e perciò come hai detto te i file ricevuti con messenger o li scansioni appena scaricati oppure potrà rilevare l'infezione quando il codice va in esecuzione (almeno chè non si sfrutti l'opzione apposita di scansione fornita da messenger stesso)

il fatto che il log di hijackthis risultasse pulito è sicuramente legato all'uso di tecnica rootkit, anche le più diffuse infezioni su messenger caratterizzate dai nomi file Photoalbum, mysummer,e via dicendo non erano rilevabili tramite hiajckthis, e vedendo la quantità di utenti infettati nel periodo di boom nemmeno l'euristica degli altri più disparati antivirus riuscivano a fermare in partenza il codice maligno

sul fatto che il file fosse con estensione html,molto spesso il file all'interno dello zip ha doppia estensione, come prima estansione un'innocuo .txt, .doc che va a nascondere la seconda più pericolosa
che poi lo zip avesse il nome di tua sorella,questa mi è nuova e mi lascia spiazzato ...mentre il file interno aveva uno dei nomi tipici, image[numeri random]
penso che nel contesto in cui eri anche io avrei aperto quel simpatico file con tranquillità senza notare nulla (penso un pò tutti)

[Blybly]

penso che nel contesto in cui eri anche io avrei aperto quel simpatico file con tranquillità senza notare nulla (penso un pò tutti)

se finisci la frase così poi si monta la testa e va a finire ci crede

per il resto che hai scritto....... non capisco dove vuoi parare con le porte e i moduli mail. nod32 ha il modulo AMON e quello doveva riconoscere il virus nel momento che metteva piede nel disco. Forse era a fare un pisolino ed allora................ci ha pensato il pazzo a dargli la sveglia

[astrus85]

e vedendo la quantità di utenti infettati nel periodo di boom nemmeno l'euristica degli altri più disparati antivirus riuscivano a fermare in partenza il codice maligno

equivale alla tua definizione di pisolino

[Blybly]

fin li c'eravamo arrivati, ma non ho capito il resto

[astrus85]

ti riferisci alle porte? intendevo dire che come aveva già detto pazzo il controllo delle e-mail è diverso da quello che può essere il controllo per file ricevuti tramite messenger proprio perchè l'antivirus ha un controllo dedicato del traffico pop3

[il pazzo]

Astrus, la tua analisi è risultata comprensibile anche per me, il che, come ho sempre sostenuto, rinforza il concetto che essere ferrati su un argomento significa anche saperlo spiegare a tutti ( Bly ovviamente è escluso dai "tutti" perchè è soltanto un lercio multimediale e basta ).

Ho capito di piu' dal tuo post che dagli ultimi due anni di interesse per i virus....grazie amico.