| Precedente :: Successivo |
| Autore |
Messaggio |
Zeus News
Ospite
|
|
| Top |
|
 |
panterarosa87
Dio minore
Registrato: 14/12/08 18:41
Messaggi: 817
Residenza: terlizzi
|
 Inviato: 12 Feb 2009 21:21 Oggetto: |
 |
|
mamma mia e pericoloso.
siccome non ne sono molto esperto vorrei sapere se posso incontralo col mulo e quale e l'antivirus per batterlo |
|
| Top |
|
|
freemind
Supervisor sezione Programmazione
Registrato: 04/04/07 20:28
Messaggi: 4643
Residenza: Internet
|
| Inviato: 12 Feb 2009 23:02 Oggetto: |
|
|
| panterarosa87 ha scritto: | | siccome non ne sono molto esperto vorrei sapere se posso incontralo col mulo e quale e l'antivirus per batterlo |
Cercando in rete qualche info in più sul virus mi pare di aver capito che è abbastanza cattivo da battere!
Non saprei cosa consigliarti come av.
Da quello che ho capito infetta però i client windows ma per quel che riguarda i server?
Buca solo le macchine microsoft?
Che falle sfrutta? |
|
| Top |
|
|
anyfile
Semidio
Registrato: 27/08/05 16:20
Messaggi: 408
|
| Inviato: 13 Feb 2009 11:28 Oggetto: |
|
|
| freemind ha scritto: |
Da quello che ho capito infetta però i client windows ma per quel che riguarda i server?
Buca solo le macchine microsoft?
Che falle sfrutta? |
Non riesco a trovare molte informazioni (adesso vedo di fare una ricerca più approfondita).
Però mi sembra di intuire che, proprio come un parassita, ha due funzionamenti.
Da una parte tenta di modificare i file sui server web in modo che la pagina servita venga modificata così che chi visita quella pagina venga rindirizzato anche su un altro sito (tramite iframe). Questo è la modalità di trasmissione. Non ho capito come faccia a modificare i file dei web server, né quali sia in grado di modificare.
Dall'altra parte una volta raggiunto un "ospite" (per usare una terminologia usata in biologia) vi si insedia.
Ma a questo punto mi viene una considerazione. Sbaglio o non basta semplicemnte che uno si colleghi ad un server per infettarsi? Tutto sommato l'unica cosa che dovrebbe succedere è che il client riceve dei pacchetti che tramite il protocollo http contiene una sequenza di informazioni (nel caso di un file html sarà costituito da un header in testo seguito da del testo che contiene il file html, in altri casi potrebbe trattarsi di un header seguito da un codice binario encodato in qualche modo).
Ma perché succeda qualcosa sul clinet deve essere che il programma del client faccia qualcosa. Pertanto se ricevendo del codice (anche se fatto apposta) succede qualcosa di anomalo allora deve essere che ci sia un comportamento anomalo nel client. Questo attacco dovrebbe quindi influenzare soltanto i client che ricevendo questo codice rispondono in maniera anomala.
Una volta che il virus è all'interno del sistema infetta dei file exe e minili (mi sembra di capire che infetta anche i file .scr, che di fatto vengon eseguiti dal sistema Windows praticamente come se fossero exe). A questo punto quando iuno di questi file viene eseguito agisce e si propaga anche come un normale virus inoltre apre una back door che consente di entrare nel computer dall'esterno. |
|
| Top |
|
|
panterarosa87
Dio minore
Registrato: 14/12/08 18:41
Messaggi: 817
Residenza: terlizzi
|
| Inviato: 13 Feb 2009 21:07 Oggetto: |
|
|
| freemind ha scritto: | | panterarosa87 ha scritto: | | siccome non ne sono molto esperto vorrei sapere se posso incontralo col mulo e quale e l'antivirus per batterlo |
Cercando in rete qualche info in più sul virus mi pare di aver capito che è abbastanza cattivo da battere!
Non saprei cosa consigliarti come av.
Da quello che ho capito infetta però i client windows ma per quel che riguarda i server?
Buca solo le macchine microsoft?
Che falle sfrutta? |
che dire spero di non incontrarlo |
|
| Top |
|
|
lukazzen
Eroe
Registrato: 30/01/07 10:57
Messaggi: 47
|
| Inviato: 14 Feb 2009 12:27 Oggetto: |
|
|
mannaggia la pupazza !!!!
l'ho prso io !
dopo un aggiornamento di avira, mi ha iniziato trovare virus su wmplayer.exe, emule.exe,ecc.... 
Credevo che era stato un aggiornamento sbagliato di Avira stile AVG !
Ora il pc non mi parte piu  ! (sto scrivendo da un notebook)
C'e' qualche rimedio in giro ?
Ora che ci penso, stavo su hattrick.....vi risulta che ia stato infettato ?
Ora sto provando questo tool di rimozione.....
Vi faccio sapere se esce qualcosa..... |
|
| Top |
|
|
panterarosa87
Dio minore
Registrato: 14/12/08 18:41
Messaggi: 817
Residenza: terlizzi
|
| Inviato: 14 Feb 2009 16:57 Oggetto: |
|
|
| lukazzen ha scritto: | mannaggia la pupazza !!!!
l'ho prso io !
dopo un aggiornamento di avira, mi ha iniziato trovare virus su wmplayer.exe, emule.exe,ecc....
Credevo che era stato un aggiornamento sbagliato di Avira stile AVG !
Ora il pc non mi parte piu ! (sto scrivendo da un notebook)
C'e' qualche rimedio in giro ?
Ora che ci penso, stavo su hattrick.....vi risulta che ia stato infettato ?
Ora sto provando questo tool di rimozione.....
Vi faccio sapere se esce qulcosa..... |
io uso Lphant come programma p2p potrei incontralo anche qui.
non mi fido di andare dove mi ai indicato,lo potrei incontrare anche io! |
|
| Top |
|
|
lukazzen
Eroe
Registrato: 30/01/07 10:57
Messaggi: 47
|
| Inviato: 14 Feb 2009 19:45 Oggetto: |
|
|
.....allora non ci andare !
Comunque, ho fato la scansione e non e' uscito niente....mi appresto a formattare.
Bye |
|
| Top |
|
|
panterarosa87
Dio minore
Registrato: 14/12/08 18:41
Messaggi: 817
Residenza: terlizzi
|
| Inviato: 14 Feb 2009 21:15 Oggetto: |
|
|
| lukazzen ha scritto: | .....allora non ci andare !
Comunque, ho fato la scansione e non e' uscito niente....mi appresto a formattare.
Bye |
e si si risolve tutto |
|
| Top |
|
|
mdweb
Dio maturo
Registrato: 18/12/07 15:59
Messaggi: 4412
|
| Inviato: 14 Feb 2009 23:03 Oggetto: |
|
|
bisogna stare attenti quando si naviga.
Sembra che l'antivirus non può fare molto |
|
| Top |
|
|
freemind
Supervisor sezione Programmazione
Registrato: 04/04/07 20:28
Messaggi: 4643
Residenza: Internet
|
| Inviato: 15 Feb 2009 19:00 Oggetto: |
|
|
Se il codice che viene inserito in una pagina web sfrutta delle vulnerabilità del client (il browser), purtroppo basta visitare la pagina "bastarda" per essere infettati.
Ora quello che a me non è chiaro è cosa sfrutta il virus per modifare le pagine sul server. Non è un attacco xss non viene inoculato dell codice attraverso la sessione, qui si parla di pagine modificate direttamente sul server.
Sarebbe bello che venissero rese note le tecniche di attacco ai server e chiarissero bene queli sono i sistemi operativi server "deboli". Mi pare di intuire che sia solo la roba di microsoft ad essere in pericolo sia lato server che lato client.
Se fosse così la morale è: "Per chi sviluppa in php, lasciate perdere i server microsoft!". |
|
| Top |
|
|
panterarosa87
Dio minore
Registrato: 14/12/08 18:41
Messaggi: 817
Residenza: terlizzi
|
| Inviato: 15 Feb 2009 19:22 Oggetto: |
|
|
io mi conetto a razor back,mega sever,sciadom kikdom,big bang,edonkei.
non sono della microsoft vero? |
|
| Top |
|
|
anyfile
Semidio
Registrato: 27/08/05 16:20
Messaggi: 408
|
| Inviato: 16 Feb 2009 11:11 Oggetto: |
|
|
| freemind ha scritto: |
Sarebbe bello che venissero rese note le tecniche di attacco ai server e chiarissero bene queli sono i sistemi operativi server "deboli". |
Sarebbe però anche interessante sapere quali siano le tecniche per cui il clinent viene infettato uno volta che si visitano quelle pagine. Il probelma è nel browser oppure nel sistema operativo e quali versioni danno problemi e quale falla viene sfruttata?
(E soprattutto sarebbe utile che le falle venissero toppate). |
|
| Top |
|
|
freemind
Supervisor sezione Programmazione
Registrato: 04/04/07 20:28
Messaggi: 4643
Residenza: Internet
|
| Inviato: 16 Feb 2009 22:08 Oggetto: |
 |
|
Ho trovato un articolo molto tecnico in inglese che descrive come il virus lavora.
Purtroppo non spiega come viene effettuata l'infezione del server (o se sì, mi è sfuggita)
Mi pare chiaro che però solo i server windows sono in pericolo così come i client.
Parasitic Infector Analysis II: What changed?
(Tratto da securitylabs.websense.com)
| Citazione: |
02.09.2009 - 8:00 AM
Back in October 2006, I wrote an analysis of a PE infector called Virut. The analysis looked at the very first, rather simple, version of that virus (virut.a). This time, I'll look at the evolution of this file infector, and talk about what has changed since the first analysis. You may want to start by reading that blog post first.
Most of the features from the old version, such as the IRC bot component, are still present. The code for that particular feature hasn't changed a lot, and a lot of code from the very first variant is still used. On the other hand, a few features appeared, including, but not limited to, memory residency, htm, php and asp infection and pseudo polymorphism.
(segue con codice assembler e molti tecnicismi)
|
|
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
