|
| Precedente :: Successivo |
| Autore |
Messaggio |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
 Inviato: 17 Feb 2009 19:37 Oggetto: [VIRUS] Attenzione a SystemGuard 2009 |
 |
|
Ciao a tutti, 
oggi pomeriggio, mentre facevo delle ricerche con Google, mi è capitato un tentativo di infezione.
Uno dei siti che stavo aprendo (con IE7) mi ha reindirizzato su un'altra pagina e ha tentato di installarmi un programmino malefico. 
All'inizio, si è presentato il seguente avviso:
Subito dopo, nel browser, è comparsa questa finestra:
che simulava una scansione in corso (notare le diciture in inglese su Windows in italiano...  )
e, dopo qualche secondo, è comparso quest'altro messaggio:
Cliccando sul bottone Erase all threats viene scaricato un programmino di circa 68KB nominato SystemGuard2009.exe che, al momento del download, il mio antivirus non ha riconosciuto.
Giunto a casa, ho aggiornato l'antivirus e il file scaricato viene prontamente segnalato. 
Ho inviato a VirusTotal il suddetto file. (clicca qui per il risultato della scansione)
Per il momento, solo 9 antivirus lo riconoscono come pericoloso/sospetto. (Antivir, CAT-QuickHeal, eSafe, Microsoft, NOD32, Panda, Prevx1, Rising, SecureWeb-Gateway) 
Mi raccomando, NON CASCATECI!!! 
PS: appena possibile, farò delle prove con un pc virtuale per analizzarlo meglio.  |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 17 Feb 2009 23:47 Oggetto: |
|
|
Ok, ho fatto un'analisi "preliminare" del soggetto...
In fase di "installazione", vengono scaricati ed eseguiti 3 programmi:
- C:\Documents and Settings\All Users\Application Data\Microsoft\Network\svchost.exe
- C:\Programmi\System Guard 2009\systemguard.exe
- C:\WINDOWS\system32\winscenter.exe
Dopo un riavvio del PC (voluto), ho riscontrato le seguenti modifiche al registro:
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
systemguard c:\programmi\system guard 2009\systemguard.exe
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
ieModule c:\documents and settings\all users\application data\microsoft\network\dlls\iemodule.dll
InternetConnection c:\documents and settings\all users\application data\microsoft\network\dlls\lmwfctqnrm.dll
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
[Uninstall\System Guard 2009]
"DisplayName"="System Guard 2009"
"UninstallString"="C:\Programmi\System Guard 2009\uninstall.exe"
Inoltre, sono presenti i seguenti files:
- C:\WINDOWS\syscert.exe
- C:\WINDOWS\sys.com
- C:\WINDOWS\reged.exe
- C:\WINDOWS\vmreg.dll
- C:\WINDOWS\spoolsystem.exe
- C:\WINDOWS\sysexplorer.exe
- C:\WINDOWS\system32\winscenter.exe
- C:\Documents and Settings\All Users\Application Data\winlogon.exe
- C:\Documents and Settings\All Users\Application Data\Microsoft\Network\svchost.exe
- C:\Documents and Settings\All Users\Application Data\Microsoft\Network\track.sys
- C:\Documents and Settings\All Users\Application Data\Microsoft\Network\DLLs\c.cgm
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 18 Feb 2009 00:36 Oggetto: |
 |
|
Sul PC utilizzato per l'"infezione" avevo già pre-installato sia MBAM che SuperAntiSpyware.
Il risultato della scansione con MBAM:
| Citazione: | Malwarebytes' Anti-Malware 1.34
Versione del database: 1749
Windows 5.1.2600 Service Pack 3
17/02/2009 23:00:07
mbam-log-2009-02-17 (22-59-58).txt
Tipo di scansione: Scansione rapida
Elementi scansionati: 74513
Tempo trascorso: 4 minute(s), 26 second(s)
Processi delle memoria infetti: 2
Moduli della memoria infetti: 0
Chiavi di registro infette: 2
Valori di registro infetti: 3
Elementi dato del registro infetti: 0
Cartelle infette: 2
File infetti: 16
Processi delle memoria infetti:
C:\WINDOWS\system32\winscenter.exe (Trojan.FakeAlert) -> No action taken.
C:\Programmi\System Guard 2009\systemguard.exe (Rogue.SystemGuard2009) -> No action taken.
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\system guard 2009 (Rogue.SystemGuard2009) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\System Guard 2009 (Rogue.SpywareGuard2009) -> No action taken.
Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systemguard (Rogue.SystemGuard2009) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\InternetConnection (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ieModule (Trojan.FakeAlert) -> No action taken.
Elementi dato del registro infetti:
(Nessun elemento malevolo rilevato)
Cartelle infette:
C:\Programmi\System Guard 2009 (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\quarantine (Rogue.SystemGuard2009) -> No action taken.
File infetti:
C:\WINDOWS\system32\winscenter.exe (Trojan.FakeAlert) -> No action taken.
C:\Downloads\SystemGuard2009.exe (Rogue.Installer) -> No action taken.
C:\Programmi\System Guard 2009\conf.cfg (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\mbase.vdb (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\quarantine.vdb (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\queue.vdb (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\systemguard.exe (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\uninstall.exe (Rogue.SystemGuard2009) -> No action taken.
C:\Programmi\System Guard 2009\vbase.vdb (Rogue.SystemGuard2009) -> No action taken.
C:\Documents and Settings\Doriano\Desktop\System Guard 2009.lnk (Rogue.SystemGuard2009) -> No action taken.
C:\WINDOWS\sysexplorer.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\reged.exe (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\spoolsystem.exe (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\sys.com (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\syscert.exe (Rogue.SpywareGuard) -> No action taken.
C:\WINDOWS\vmreg.dll (Rogue.SpywareGuard) -> No action taken. |
Il risultato della scansione con SuperAntiSpyware (avevo dimenticato di aggiornarlo all'ultima versione):
| Citazione: | SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 02/17/2009 at 11:28 PM
Application Version : 4.23.1006
Core Rules Database Version : 3763
Trace Rules Database Version: 1724
Scan type : Quick Scan
Total Scan Time : 00:23:08
Memory items scanned : 472
Memory threats detected : 3
Registry items scanned : 548
Registry threats detected : 9
File items scanned : 1297
File threats detected : 20
Rogue.SpywareGuard2008
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\NETWORK\DLLS\IEMODULE.DLL
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\NETWORK\DLLS\IEMODULE.DLL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad#ieModule
HKCR\CLSID\{578516F4-3996-48A4-9A36-F10836535B69}
HKCR\CLSID\{578516F4-3996-48A4-9A36-F10836535B69}\InprocServer32
HKCR\CLSID\{578516F4-3996-48A4-9A36-F10836535B69}\InprocServer32#ThreadingModel
C:\WINDOWS\reged.exe
C:\WINDOWS\spoolsystem.exe
C:\WINDOWS\sys.com
C:\WINDOWS\syscert.exe
C:\WINDOWS\sysexplorer.exe
C:\WINDOWS\vmreg.dll
Trojan.FakeAlert-WinSCenter/A
C:\WINDOWS\SYSTEM32\WINSCENTER.EXE
C:\WINDOWS\SYSTEM32\WINSCENTER.EXE
Rogue.SystemGuard2009
C:\PROGRAMMI\SYSTEM GUARD 2009\SYSTEMGUARD.EXE
C:\PROGRAMMI\SYSTEM GUARD 2009\SYSTEMGUARD.EXE
[systemguard] C:\PROGRAMMI\SYSTEM GUARD 2009\SYSTEMGUARD.EXE
C:\Programmi\SYSTEM GUARD 2009\conf.cfg
C:\Programmi\SYSTEM GUARD 2009\mbase.vdb
C:\Programmi\SYSTEM GUARD 2009\quarantine
C:\Programmi\SYSTEM GUARD 2009\quarantine.vdb
C:\Programmi\SYSTEM GUARD 2009\queue.vdb
C:\Programmi\SYSTEM GUARD 2009\uninstall.exe
C:\Programmi\SYSTEM GUARD 2009\vbase.vdb
C:\Programmi\SYSTEM GUARD 2009
C:\Documents and Settings\Doriano\Menu Avvio\Programmi\SYSTEM GUARD 2009\System Guard 2009.lnk
C:\Documents and Settings\Doriano\Menu Avvio\Programmi\SYSTEM GUARD 2009\Uninstall.lnk
C:\Documents and Settings\Doriano\Menu Avvio\Programmi\SYSTEM GUARD 2009
HKLM\Software\System Guard 2009
HKLM\Software\System Guard 2009\Lic
HKLM\Software\Microsoft\Windows\CurrentVersion\Run#systemguard [ C:\Programmi\System Guard 2009\systemguard.exe ]
Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad#InternetConnection [ {10765A06-191B-42D2-AD8D-3594BAAFCC47} ] |
|
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
