Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Dialer Instant Access
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Orange
Dio maturo
Dio maturo


Registrato: 18/02/07 12:20
Messaggi: 2224
Residenza: Roma

MessaggioInviato: 11 Apr 2007 13:24    Oggetto: Dialer Instant Access Rispondi citando

I sintomi di quest'infezione sono in particolare la disconnessione, e la successiva richiesta di connessioni a numeri con tariffa elevata..
Inoltre il trojan si manifesta anche aggiungendo sul desktop un icona rappresentata da un'immagine erotica denominata per l'appunto "Istant Access".
Noto anche sotto i nomi:
Win32.TrojanYJL
Trojan.Downloader.Small.BV
Win32/Agent.NGU
Spysheriff
Trojan.Win32.Obfuscated.dr

Una volta eseguito , questo malware va a sostituirsi ai file leggittimi di applicazioni altrettanto leggittime..
Per eliminarlo bisogna ri-sostituire gli eseguibili infetti con quelli originali presenti nelle cartelle bak
per sapere tutti gli eseguibili infetti bisogna usare il tool FindAWF
- Dopo averlo scaricato. eseguire il file e si aprirà una finestra dos
- premere invio e attendere l'apertura di una pagina del blocco notes (log)

un'esempio di log di FindAWF:
Citazione:
Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: DC16-42C0

Directory di C:\WINDOWS\BAK

30/07/04 19.50 286.720 vsnpstd3.exe
1 File 286.720 byte
2 Directory 12.665.774.080 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: DC16-42C0

Directory di C:\PROGRA~1\D-TOOLS\BAK

22/08/04 18.05 81.920 daemon.exe
1 File 81.920 byte
2 Directory 12.665.774.080 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: DC16-42C0

Directory di C:\PROGRA~1\WINDOW~2\BAK

02/11/06 23.56 204.288 WMPNSCFG.exe
1 File 204.288 byte
2 Directory 12.665.708.544 byte disponibili
Il volume nell'unit? C non ha etichetta.
Numero di serie del volume: DC16-42C0



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

24076 25 Mar 2007 "C:\WINDOWS\vsnpstd3.exe"
286720 30 Jul 2004 "C:\WINDOWS\bak\vsnpstd3.exe"
24076 25 Mar 2007 "C:\Programmi\D-Tools\daemon.exe"
81920 22 Aug 2004 "C:\Programmi\D-Tools\bak\daemon.exe"
24076 25 Mar 2007 "C:\Programmi\Windows Media Player\WMPNSCFG.exe"
204288 2 Nov 2006 "C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe"


end of report

Sono questi i file che dobbiamo prima cancellare, e poi sostituire con la copia pulita all'interno della cartella BAK. Per farlo, ci possiamo servire di Avenger che si occuperà sia di eliminare la copia infetta, che di ripristinare la copia del file leggittimo (quello all'interno della cartella BAK)
- scaricare e decomprimere Avenger sul desktop
- con un doppio click avviare il file avenger.exe
- Selezionate "Input Script Manually" e cliccate sulla lente di ingrandimento.
- Nella finestra che si aprirà "View/edit script" bisognerà digitare i comandi dello script..

esempio dello script:
Citazione:
Files to delete:
C:\WINDOWS\vsnpstd3.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

Files to move:
C:\WINDOWS\bak\vsnpstd3.exe | C:\WINDOWS\vsnpstd3.exe
C:\Programmi\D-Tools\bak\daemon.exe | C:\Programmi\D-Tools\daemon.exe
C:\Programmi\Windows Media Player\bak\WMPNSCFG.exe | C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\IME\TINTLGNT\bak\TINTSETP.EXE | C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

in breve: dovete prima eliminare gli .exe infetti e poi ripristinare i file .exe nelle loro posizioni, associati alle applicazioni corrette
Una volta finito di compilare lo script procedete cosi:
- Cliccate sul tasto Done
- Poi sull'icona del semaforo
- Rispondete Yes
Il PC dovrebbe riavviarsi ( se così non fosse, fatelo voi)
controllate il log per assicurarvi, che l'operazione è andata a buon fine

se avete delle domande o perplessità a riguardo,non esitate a chiedere aiuto nella nostra sezione Pronto Soccorso Zeus
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14186
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 11 Apr 2007 14:49    Oggetto: Rispondi citando

E' da un paio di giorni che ci sto litigando.
Al momento in cui l'ho "scovato", solo 2 antivirus l'hanno riconosciuto:
drWEB CureIt
ClamWin

NOD32 aggiornato ad oggi non fa una piega

Si può provare ad utilizzare il servizio online per l'invio dei file sospetti:
VirusTotal

Mi è anche capitato che insieme a questo ci fossero altre infezioni.
I file che vengono "sostituiti" dal virus/dialer sono quelli presenti in avvio del PC (così è sicuro di partire).
Aveva addirittura sostituito il NOD32KUI.
Top
Profilo Invia messaggio privato
chemicalbit
Dio maturo
Dio maturo


Registrato: 01/04/05 17:59
Messaggi: 18597
Residenza: Milano

MessaggioInviato: 11 Apr 2007 16:22    Oggetto: Rispondi citando

bdoriano ha scritto:
Aveva addirittura sostituito il NOD32KUI.
Ehm, per gl'ignoranti?
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14186
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 11 Apr 2007 18:54    Oggetto: Rispondi citando

NOD 32 Kernel User Interface

Sarebbe il Control Center di NOD32, quello attraverso il quale si possono controllare/modificare le impostazioni di NOD32.
Top
Profilo Invia messaggio privato
valen-tina
Mortale devoto
Mortale devoto


Registrato: 31/05/07 19:31
Messaggi: 8

MessaggioInviato: 31 Mag 2007 19:38    Oggetto: Rispondi

scusate se ripesco qst vecchio 3ad....ma ho scoperto da poco di essere infetta da qst virus.....xò sn 1 completa ignorante in materia...potete provare a descivermi in maniera molto semplice cm togliermi dalle scatole qst virus?...ho postato nella sezione aiuto zeus....cm richiesto...quindi a qst 3ad nn fateci caso
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi