Olimpo Informatico

[Silent Runner]

Salve: oggi mi sono trovato a fare i conti con il programma Tauscan 1.7 della Agnitum per l'eliminazione di Trojan Horse ed ho scoperto che, costui, anche disattivando la funzione di ricerca avanzata che può generare dei falsi positivi, mi ha disintegrato il file da 15 mega appena scaricato (il famigerato "jre-1_5_0_04-windows-i586-p.exe" scaricato dal sito ufficiale della Sun (ben nota per propagare cavalli di troia con dentro Ulisse e tutti i suoi compagni, irsuti e puzzolenti), per installare il famoso Java Virtual Machine tanto utile per visualizzare le applet...). Ebbene, il diligente Tauscan mi ha trovato un bel Trojan (così dice lui ma io che ne sò se ha le traveggole o meno?).

Inoltre, curiosando in un altro pc ho trovato 3 file infettati e mi ha dato questo messaggio:

Found Infected C:\WINNT\system32\wininet.dll - Dropper 10
Found Infected C:\WINNT\system32\dllcache\wininet.dll - Dropper 10

Poi, ha pure aggiunto:

Failed to open D:\pagefile.sysFound Infected D:\Programmi\Agnitum\Tauscan 1.7\Infected\wininet.dll - Dropper 10

Domandona: Quanto è affidabile tauscan 1.7 aggiornato in data odierna?

Eè vero che il file "jre-1_5_0_04-windows-i586-p.exe" scaricato da Sun contiene un Trojan così sfacciatamente?

E il file "wininet.dll" si può toccare o succede una tragedia? (Tauscan non fa discorsi. Cancella tutto!)

Dropper 10 è veramente un Trojan Horse od è solo un contagocce?

Se qualche divinità conosce Tauscan e mi fa sapere qualcosa, porrò fiori e frutta sul suo altare personale...

Grazie.

[holifay]

ma ti ripondo io

[Silent Runner]

Grazie infinite Holifay! Sei stata preziosissima, soprattutto per la faccenda del file wininet.dll! Una spiegazione veramente esauriente for an Utontous like me...

Per le altre risposte:

1) Per l'infezione del file "jre-1_5_0_04-windows-i586-p.exe" non saprei dirti... Se si è infettato durante lo scaricamento il trojan doveva essere già presente nel PC e ne' Tauscan ne' AVG (free) entrambi aggiornati mi hanno dato segno. Inoltre ho un firewall (Outpost free, sempre dell'Agnitum) impostato su allow must). Il file incriminato l'ho scaricato dal sito della Sun in italiano. Haio qualche consiglio su dove posso trovare una versione sicura o come posso proteggermi oltre a fare un bel repulisti con Tauscan, l'antivirus e ...che altro? Una volta infetto, a quanto capito, il file non si può più ripulire e Tauscan lo cassa...

2) Vero, non avevo disabilitato la cancellaziòn e non l'avevo scritto nel mio post (non è che volevo far sembrare più atipatico "Tauscan": è solo che... vabbé non importa!) Vedi che succ. ad essere prevenuti e faciloni? Me lo sono meritato!

3) ...Dropper eh? Già, ma che bello! Un trojan che ti apre le porte ai suoi fratelli. Pensavo ingenuamente che bastasse tenere l'antivirus superaggiornato tutti i giorni + firewall ...A saperlo settare il Firewall!
Vabbé ma forse voglio troppe cose...
Se hai qualche altro consiglio o gentilissima Holifay, io resto in ascolto.

Ps. Le arance come le vuoi? Ne esistono molte varietà, alcune quasi estinte od in via di recupero... non certo quelle che trovi al supermercato!

Grazie di nuovo, grazie davvero. Per quel che vale, Eterna Gratitudo!

[ioSOLOio]

[holifay]

bè, consigli sinceramente non ne ho molti

1) il link diretto al file di Sun è questo

2) Outpost io lo tengo in "block most"

3) AVG non è infallibile. Senza bisogno di disinstallarlo prova a fare qualche scansione on-line:
Kaspersky
Symantec
Trendmicro

4) Dubito che sia così, ma verifica di non avere un file HOSTS "strano": pensando di scaricare dal sito dell SUN, magari invece scarichi da chissà dove. Apri con il blocco note il file "hosts" in c:\%windir%\system32\drivers\etc e controlla che dopo un po' di voci che iniziano per # ci sia solo una riga con "127.0.0.1 localhost"

[holifay]

[chemicalbit]

[Silent Runner]

[holifay]

[kingofworms]

[Silent Runner]

...Yauuurgh! Bill Gates in persona...

Grazie kingofworms ...ma in qualità di utonto non so proprio quale indirizzo mettere nel Wins per chiudere quel benedetto Netbios e se non lo trovo sono daccapo... Salvo che non si possa assegnare in automatico...

Sembra una stupidaggine ma hai mai provato a camminare in una stanza buia piena di sedie sparse a casaccio?...

[kingofworms]

Momento: in realtà non è detto che ci sia per forza un pc che funga da server Wins; se poi non stiamo parlando di una lan, allora non ci sarà sicuramente.
Symantec - se non ho frainteso il tuo post - ha detto di chiudere al mondo la porta su cui gira il servizio tramite il firewall, vale a dire la 42. Non so come si faccia con Outpost.

E già che ci siamo:

[Silent Runner]

Mi spiego: ho 2 PC con win 2000 + Outpost AVG caricati su entrambi e collegati in rete tramite cavo incrociato. sul mio (chiamiamolo "A") è installato un modem ADSL USB e, con esso, mi connetto ad internet.

Tramite la rete LAN, l'altro computer (chiamiamolo "B") ha un accesso ad internet attraverso lo stesso modem.
Non ci sono mai state interferenze o rallentamenti di sorta, fin qui tutto bene, salvo qualche problema con Outpost che, appena inserito, impediva l'accesso alla LAN del computer B.

Non so come, sfrucugliando un po, la connessione la rete si è avviata ed ora pare funzionare correttamente con entrambi gli Outpost attivi su "Allow most mode".

Ho parlato di problemi con gli IP perché, quando ho sostituito il mio PC ho avuto quanche problema (Utontaggine) a capire l'uso degli IP. Ho poi assegnato IP sostituendo solo il n. finale e tutto è partito regolarm. Se però dovessi ripetere il tutto, non so che cosa riuscirei a fare... Inoltre ho altri 2 PC che collego ogni tanto (mi manca un router) ed ho dovuto assegnare altri IP, ...ecco perché ti ho parlato di tutti quegli IP

Per ricapitolare, Symanbtec mi ha consigliato la procedura di disinstallazione di Net Bios (aggiunta da me per ignoranza) con queste parole:

"In Windows 2000 Pro, NetBIOS non è necessario per le operazioni in rete, eccetto nel caso in cui siano presenti in rete computer che utilizzano i sistemi operativi NT 4.0 Workstation o Windows 98. Pertanto, per eliminare le potenziali minacce alla sicurezza, è consigliabile disattivare NetBIOS. Per disattivare NetBIOS, è necessario configurare TCP/IP per l'utilizzo di WINS."


E queste sono le istruzioni:

Nella barra delle applicazioni di Windows, fare clic su Start > Impostazioni > Rete e connessioni di Accesso remoto
Fare clic con il pulsante destro del mouse su Connessione Area locale e selezionare Proprietà nel menu
Fare clic sulla scheda Generali
Selezionare Protocollo Internet (TCP/IP) nell'elenco Componenti
Fare clic su Proprietà
Fare clic su Avanzate nella finestra Proprietà protocolli Internet (TCP/IP)
Fare clic sulla scheda WINS
Fare clic su Aggiungi
Digitare l'indirizzo IP del server WINS
Fare clic su Aggiungi


e qui viene il bello... che indirizzo dovrei mettere?
Po continua con l'ovvio...

Fare clic su OK per chiudere la finestra Impostazioni avanzate TCP/IP
Fare clic su OK per chiudere la finestra Proprietà protocollo Internet (TCP/IP)
Fare clic su OK per chiudere la finestra Proprietà Connessione area locale

e buona notte.


Per disattivare il NEBIOS scrive poi così:

Disattivare NetBIOS

Nella barra delle applicazioni di Windows, fare clic su Start > Impostazioni > Rete e connessioni di Accesso remoto
Fare clic con il pulsante destro del mouse su Connessione Area locale e selezionare Proprietà nel menu
Fare clic sulla scheda Generali
Selezionare Protocollo Internet (TCP/IP) nell'elenco Componenti
Fare clic su Proprietà
Fare clic su Avanzate nella finestra Proprietà protocolli Internet (TCP/IP)
Fare clic sulla scheda WINS
Selezionare Disattiva NetBIOS su TCP/IP
Fare clic su OK per chiudere la finestra Impostazioni avanzate TCP/IP
Fare clic su OK per chiudere la finestra Proprietà protocollo Internet (TCP/IP)
Fare clic su OK per chiudere la finestra Proprietà Connessione Area locale
...Capisci perché mi sono incartato?

[kingofworms]

Ah, capito.
Però, nonostante i consigli di Symantec e considerata la struttura della tua rete (e il fatto che sospetto non ti entusiasmi metterti a configurare un pc come server Wins), lascerei attivo il povero NetBIOS e mi limiterei a erigere una difesa tramite patch, firewall e le solite cose, approfondendo tra l'altro la configurazione di Outpost.

[Silent Runner]

Grazie del consiglio... proverò a seguirlo anche se alle volte, la voglia e la curiosità crashano il tutto.

Ciao.

[Tantric]

HOLI ha scritto:
La procedura manuale più semplice è questa:

1.) chiudi tutti i programmi...
Grazie per le tue spiegazioni (utilissime anche per me), mi dice per favore una procedura per chiudere con certezza TUTTI i programmi (mi serve anche per quando devo installare quallcosa).

Tante arance e grazie

P.s.: come fai ad attivare HTML ed allegare qualunque cosa nelle risposte?