» Virus su GT: dati e spiegazioni

Giorgiotave · 06-06-11, 10:44

Salve ragazzi,

ecco un doveroso post per spiegare quello che è successo sul nostro forum (dalle segnalazioni mi è parso di capire che comunque l'attacco è stato diffuso a molti siti della rete).

In pratica veniva inserito nel codice del forum un iframe contenente il virus. Abbiamo applicato delle regole restrittive ed ora non dovrebbe più succedere.

Scusandomi personalmente per l'accaduto, in quanto è colpa mia il disagio creato, voglio ringraziare tutte le persone che hanno reso queste ore più piacevoli :-)

Un grazie allo Staff che come sempre dimostra la sua elevata qualità.

Vi metto qualche immagine

Il calo del traffico globale si assesta su un 40%.

Grazie a tutti per la pazienza

vnt54 · 06-06-11, 12:59

Non riesco a visualizzare le immagini,uso IE8.
Addirittura neanche con FireFox.

bluwebmaster · 06-06-11, 17:15

Scusa Giorgio potresti dirci che Virus e soprattutto con quale antivirus si elimina o altre informazioni?

Purtroppo il mio antivirus non è molto aggiornato e pertanto non so se sono stato infettato visto che mi diceva continuamente " la memoria è danneggiata " nell'uso di qualche giorno fa del forum.

Lieto che il traffico sia diminuito solo del 40 %, ma sono più preoccupato se sono stato infetto dal virus , e chissà quanti altri PC.

Grazie se vorrai darci informazioni maggiori.

Giorgiotave · 06-06-11, 21:26

Ciao Bluwebmaster,

in effetti sono stato un pò insensibile, ma dovuto al fatto che proprio non sappiamo che virus è. Questo perchè ci siamo preoccupati di toglierlo il più presto possibile.

Tuttavia domani faremo delle ricerche in rete per capire meglio il problema e segnalare una eventuale soluzione.

Prenderemo un pc apposito così, nel caso dovesse succedere (spero di no), ci facciamo infettare apposta per capirne di più.

Webmaster70 · 06-06-11, 23:29

Ciao Giorgio, Bluemaster e tutti.

Io sono stato infettato, ho studiato un po' il virus, l'ho rimosso quindi se volete posso darvi i dettagli.

bluwebmaster · 07-06-11, 00:21

Si dacci qualche info in più.
Come si fa a vedere se si è infettati?

Webmaster70 · 07-06-11, 01:03

Ecco quanto.

E' riuscito a superare i controlli di Explorer, dell'antivirus e del firewall, tutti aggiornatissimi, non credevo.

Riguardo ad Internet Explorer, che fino a giovedì mi bloccava correttamente le pagine infette del forum, il cracker venerdì è riuscito a bypassare il blocco usando un nuovo sottodominio, che probabilmente era ancora senza segnalazioni, e quindi apparentemente pulito.

Mi sono accorto del virus subito averlo preso, grazie ad un anti-...qualcosa che mi ha avvertito che due programmi stavano per mettersi in autostart.

Con un refresh della pagina, ho visto che quell'iframe ha lanciato un applet java il quale poi ha lanciato un pdf in una minuscola finestra
e, non so come ha fatto, però sono comparsi 2 eseguibili nella directory windows\temp che silenziosamente sono andati subito in esecuzione.

Mi ha modificato le impostazioni di connessione a Internet, facendo usare un server proxy locale (del virus) con IP 127.0.0.1 e porta con numero alto, da cui poteva per esempio intercettare tutti i miei login e password, o modificare le pagine che visitavo ... ipotizzo ma non so perché li ho arrestati prima.

Ho sottoposto i 2 file a virustotal.com e questi sono i risultati:

File: 0.9156790090695502.exe

Comodo TrojWare.Win32.Trojan.Agent.Gen
DrWeb Trojan.Carberp.7
Ikarus Trojan-Spy.Win32.Carberp
Kaspersky Trojan-Spy.Win32.Carberp.vd
Panda Suspicious file

File: 0.932324196429655.exe

DrWeb Trojan.DownLoader3.11565
Kaspersky Backdoor.Win32.Gbot.hgc
SUPERAntiSpyware Trojan.Agent/Gen-FraudSoft[PB]
TrendMicro BKDR_CYCBOT.SMIB

Dei 42 antivirus che usa virustotal, solo 2 sono riusciti a scoprire entrambi i troiani: DrWeb e Kaspersky.

Infine un antivirus mi ha eliminato un file "C:\windows\conhost.exe" ma non ho capito se è un falso positivo.

Quindi io guarderei se in C:\windows\temp ed in Impostazioni LAN ci sono cose strane.

Poi farei una scansione con uno di quei due programmi, DrWeb è disponibile anche in versione senza installazione e gratis.

Riguardo a quest'ultimo punto aggiungo però che nulla esclude che tutto quel sistema possa aver veicolato troiani diversi da quelli che ho preso io, e quindi magari controllare anche con altri antivirus.
Io sono giorni che scansiono con tutti gli antivirus possibili.

vnt54 · 07-06-11, 02:39

Che S.O. usi?ho windows 7 ultimate è non è successo quasi niente(ho KIS 2011) ovvero qualcosa deve aver fatto perchè mi ha disabilitato la protezione di sistema,mi sono accorto per caso in quanto volevo controllare che tutto era a posto ed invece aveva anche disabilitato la
copia shadow del volume.

vnt54 · 07-06-11, 02:40

Scusa, ma per le immagini che hai postato e non riesco a vederle è un problema solo mio?

Webmaster70 · 07-06-11, 11:05

Anch'io ho Win7 ultimate. Non so se abbia temporamente disabilitato il controllo account, certo è che durante l'infezione non mi ha chiesto alcuna conferma.

Giorgiotave · 07-06-11, 12:12

Grazie Webmaster70, faccio girare il tutto

Webmaster70 · 07-06-11, 14:08

Prego Giorgio, figurati.

Bufala · 07-06-11, 22:29

Questo è il report del mio antivirus aziendale (G-Data AntiVirus), se non ricordo male il motore "B" è quello di Kaspersky.

Risultato? Nessunissimo problema riscontrato

E' andata di culo lo so

Uploaded with ImageShack.us

06-06-11, 10:44	#1 (permalink)
Giorgiotave Data di registrazione: Oct 2004 Ubicazione: Monasterace Messaggi: 34,891	Virus su GT: dati e spiegazioni Salve ragazzi, ecco un doveroso post per spiegare quello che è successo sul nostro forum (dalle segnalazioni mi è parso di capire che comunque l'attacco è stato diffuso a molti siti della rete). In pratica veniva inserito nel codice del forum un iframe contenente il virus. Abbiamo applicato delle regole restrittive ed ora non dovrebbe più succedere. Scusandomi personalmente per l'accaduto, in quanto è colpa mia il disagio creato, voglio ringraziare tutte le persone che hanno reso queste ore più piacevoli :-) Un grazie allo Staff che come sempre dimostra la sua elevata qualità. Vi metto qualche immagine Il calo del traffico globale si assesta su un 40%. Grazie a tutti per la pazienza
	__________________ Giorgio Taverniti Blog - Il mio account Twitter! Che aspetti? Diventa MODERATRICE del Forum gt Importante evento sul Web Marketing: 5 sale, 27 argomenti, 33 esperti presenti, streaming e video registrati...a soli 149€

06-06-11, 12:59	#2 (permalink)
vnt54 User Data di registrazione: Feb 2010 Ubicazione: Prato Messaggi: 186	Non riesco a visualizzare le immagini,uso IE8. Addirittura neanche con FireFox.
	__________________ Terra di paura e vampiri..la transilvania?No..la banca Ultima modifica di vnt54 : 06-06-11 13:02. Motivo: aggiunta informazione

06-06-11, 21:26	#4 (permalink)
Giorgiotave Data di registrazione: Oct 2004 Ubicazione: Monasterace Messaggi: 34,891	Ciao Bluwebmaster, in effetti sono stato un pò insensibile, ma dovuto al fatto che proprio non sappiamo che virus è. Questo perchè ci siamo preoccupati di toglierlo il più presto possibile. Tuttavia domani faremo delle ricerche in rete per capire meglio il problema e segnalare una eventuale soluzione. Prenderemo un pc apposito così, nel caso dovesse succedere (spero di no), ci facciamo infettare apposta per capirne di più.
	__________________ Giorgio Taverniti Blog - Il mio account Twitter! Che aspetti? Diventa MODERATRICE del Forum gt Importante evento sul Web Marketing: 5 sale, 27 argomenti, 33 esperti presenti, streaming e video registrati...a soli 149€

06-06-11, 23:29	#5 (permalink)
Webmaster70 Moderatore Data di registrazione: Jun 2009 Ubicazione: Bologna Messaggi: 1,090	Ciao Giorgio, Bluemaster e tutti. Io sono stato infettato, ho studiato un po' il virus, l'ho rimosso quindi se volete posso darvi i dettagli.
	__________________ dizionario italiano inglese ⇄ diccionario italiano ⇄ traduttore inglese italiano ⇄⊃

07-06-11, 01:03	#7 (permalink)
Webmaster70 Moderatore Data di registrazione: Jun 2009 Ubicazione: Bologna Messaggi: 1,090	Ecco quanto. E' riuscito a superare i controlli di Explorer, dell'antivirus e del firewall, tutti aggiornatissimi, non credevo. Riguardo ad Internet Explorer, che fino a giovedì mi bloccava correttamente le pagine infette del forum, il cracker venerdì è riuscito a bypassare il blocco usando un nuovo sottodominio, che probabilmente era ancora senza segnalazioni, e quindi apparentemente pulito. Mi sono accorto del virus subito averlo preso, grazie ad un anti-...qualcosa che mi ha avvertito che due programmi stavano per mettersi in autostart. Con un refresh della pagina, ho visto che quell'iframe ha lanciato un applet java il quale poi ha lanciato un pdf in una minuscola finestra e, non so come ha fatto, però sono comparsi 2 eseguibili nella directory windows\temp che silenziosamente sono andati subito in esecuzione. Mi ha modificato le impostazioni di connessione a Internet, facendo usare un server proxy locale (del virus) con IP 127.0.0.1 e porta con numero alto, da cui poteva per esempio intercettare tutti i miei login e password, o modificare le pagine che visitavo ... ipotizzo ma non so perché li ho arrestati prima. Ho sottoposto i 2 file a virustotal.com e questi sono i risultati: File: 0.9156790090695502.exe Comodo TrojWare.Win32.Trojan.Agent.Gen DrWeb Trojan.Carberp.7 Ikarus Trojan-Spy.Win32.Carberp Kaspersky Trojan-Spy.Win32.Carberp.vd Panda Suspicious file File: 0.932324196429655.exe DrWeb Trojan.DownLoader3.11565 Kaspersky Backdoor.Win32.Gbot.hgc SUPERAntiSpyware Trojan.Agent/Gen-FraudSoft[PB] TrendMicro BKDR_CYCBOT.SMIB Dei 42 antivirus che usa virustotal, solo 2 sono riusciti a scoprire entrambi i troiani: DrWeb e Kaspersky. Infine un antivirus mi ha eliminato un file "C:\windows\conhost.exe" ma non ho capito se è un falso positivo. Quindi io guarderei se in C:\windows\temp ed in Impostazioni LAN ci sono cose strane. Poi farei una scansione con uno di quei due programmi, DrWeb è disponibile anche in versione senza installazione e gratis. Riguardo a quest'ultimo punto aggiungo però che nulla esclude che tutto quel sistema possa aver veicolato troiani diversi da quelli che ho preso io, e quindi magari controllare anche con altri antivirus. Io sono giorni che scansiono con tutti gli antivirus possibili.
	__________________ dizionario italiano inglese ⇄ diccionario italiano ⇄ traduttore inglese italiano ⇄⊃

Condividi questo contenuto nei Social Network:		Tweet
Ti stiamo aspettando: Registrati subito e gratis. Entra a far parte di una delle comunità più attive in Italia. Se hai dimenticato i tuoi dati li puoi recuperare subito.

06-06-11, 17:15	#3 (permalink)
bluwebmaster User Attivo Data di registrazione: Mar 2009 Messaggi: 1,210	Scusa Giorgio potresti dirci che Virus e soprattutto con quale antivirus si elimina o altre informazioni? Purtroppo il mio antivirus non è molto aggiornato e pertanto non so se sono stato infettato visto che mi diceva continuamente " la memoria è danneggiata " nell'uso di qualche giorno fa del forum. Lieto che il traffico sia diminuito solo del 40 %, ma sono più preoccupato se sono stato infetto dal virus , e chissà quanti altri PC. Grazie se vorrai darci informazioni maggiori.

07-06-11, 00:21	#6 (permalink)
bluwebmaster User Attivo Data di registrazione: Mar 2009 Messaggi: 1,210	Si dacci qualche info in più. Come si fa a vedere se si è infettati?

07-06-11, 02:39	#8 (permalink)
vnt54 User Data di registrazione: Feb 2010 Ubicazione: Prato Messaggi: 186	Che S.O. usi?ho windows 7 ultimate è non è successo quasi niente(ho KIS 2011) ovvero qualcosa deve aver fatto perchè mi ha disabilitato la protezione di sistema,mi sono accorto per caso in quanto volevo controllare che tutto era a posto ed invece aveva anche disabilitato la copia shadow del volume.
	__________________ Terra di paura e vampiri..la transilvania?No..la banca

07-06-11, 02:40	#9 (permalink)
vnt54 User Data di registrazione: Feb 2010 Ubicazione: Prato Messaggi: 186	Scusa, ma per le immagini che hai postato e non riesco a vederle è un problema solo mio?
	__________________ Terra di paura e vampiri..la transilvania?No..la banca

07-06-11, 11:05	#10 (permalink)
Webmaster70 Moderatore Data di registrazione: Jun 2009 Ubicazione: Bologna Messaggi: 1,090	Anch'io ho Win7 ultimate. Non so se abbia temporamente disabilitato il controllo account, certo è che durante l'infezione non mi ha chiesto alcuna conferma.
	__________________ dizionario italiano inglese ⇄ diccionario italiano ⇄ traduttore inglese italiano ⇄⊃

07-06-11, 12:12	#11 (permalink)
Giorgiotave Data di registrazione: Oct 2004 Ubicazione: Monasterace Messaggi: 34,891	Grazie Webmaster70, faccio girare il tutto
	__________________ Giorgio Taverniti Blog - Il mio account Twitter! Che aspetti? Diventa MODERATRICE del Forum gt Importante evento sul Web Marketing: 5 sale, 27 argomenti, 33 esperti presenti, streaming e video registrati...a soli 149€

07-06-11, 14:08	#12 (permalink)
Webmaster70 Moderatore Data di registrazione: Jun 2009 Ubicazione: Bologna Messaggi: 1,090	Prego Giorgio, figurati.
	__________________ dizionario italiano inglese ⇄ diccionario italiano ⇄ traduttore inglese italiano ⇄⊃

07-06-11, 22:29	#13 (permalink)
Bufala Esperto Data di registrazione: May 2008 Messaggi: 560	Questo è il report del mio antivirus aziendale (G-Data AntiVirus), se non ricordo male il motore "B" è quello di Kaspersky. Risultato? Nessunissimo problema riscontrato E' andata di culo lo so Uploaded with ImageShack.us
	Ultima modifica di Bufala : 07-06-11 22:42.

Strumenti di discussione
Visualizza la versione stampabile Invia la pagina tramite email