Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
LizaMoon infetta quattro milioni di siti
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 04 Apr 2011 16:03    Oggetto: LizaMoon infetta quattro milioni di siti Rispondi citando

Commenti all'articolo LizaMoon infetta quattro milioni di siti
Lo "scareware" spinge i visitatori ad acquistare un falso antivirus che invece compromette la sicurezza del PC.


Foto via Fotolia
Top
ioSOLOio
Amministratore
Amministratore


Registrato: 12/09/03 18:01
Messaggi: 16342
Residenza: in un sacco di...acqua

MessaggioInviato: 04 Apr 2011 16:19    Oggetto: Rispondi citando

si sfruttano vulnerabilità tecniche sui siti per arrivare alle vulnerabilità psicologiche degli utenti....
internet, il passaparola, i forum, ecc..oramai le risorse per un veloce e certo controllo sono così facile e sostanzialmente immediate che non si dovrebbe cadere in certe reti....
eppure truffe nigeriane, scareware di questo tipo e via dicendo continuano a mietere vittime
Top
Profilo Invia messaggio privato
amldc
Dio maturo
Dio maturo


Registrato: 02/05/06 16:21
Messaggi: 1303

MessaggioInviato: 04 Apr 2011 17:46    Oggetto: Rispondi citando

Mi è capitato la scorsa settimana da un cliente che 'non aveva fatto installare niente' salvo avergli permesso di 'proseguire' nella pulizia per fermarsi preoccupato solo quando gli ha chiesto la carta di credito.

Risultato:
- antivirus disabilitato
- prompt DOS disabilitato
- regedit disabilitato
- task manager disabilitato
- praticamente qualsiasi strumento utile disabilitato
oltre ovviamente alla finestra della falsa scansione che segnala la presenza di una ventina di infezioni.

Fortunatamente, in seguito alla perdita di tempo (una giornata!) per rimuovere una versione precedente da un altro cliente ho trovato un modo abbastanza semplice per fare la pulizia: avviare in modalità provvisoria e ripristinare il sistema ad un salvataggio precedente all'infezione.

In questo modo, dopo il riavvio l'antivirus ha ripreso a funzionare e rilevato tre o quattro infezioni che ha provveduto a ripulire.
Top
Profilo Invia messaggio privato
cerebro84
Mortale devoto
Mortale devoto


Registrato: 18/12/07 23:51
Messaggi: 12

MessaggioInviato: 04 Apr 2011 19:13    Oggetto: Rispondi citando

Mio fratello se l'è beccato ieri scaricando uTorrent (credo), è bastato ripristinare il sistema al giorno prima in modalità provvisoria. Per fortuna è abbastanza sveglio da capire subito che non si trattava di un vero antivirus.
Top
Profilo Invia messaggio privato
dany88
Dio maturo
Dio maturo


Registrato: 12/02/09 11:14
Messaggi: 1300

MessaggioInviato: 04 Apr 2011 19:35    Oggetto: Rispondi citando

ne ho comprato 2 copie...... Very Happy
Top
Profilo Invia messaggio privato
carobeppe
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 17/08/07 23:48
Messaggi: 195

MessaggioInviato: 04 Apr 2011 20:31    Oggetto: Rispondi citando

Citazione:
Fortunatamente, in seguito alla perdita di tempo (una giornata!) per rimuovere una versione precedente da un altro cliente ho trovato un modo abbastanza semplice per fare la pulizia: avviare in modalità provvisoria e ripristinare il sistema ad un salvataggio precedente all'infezione.



Noi invece solitamente si avvia in modalità prompt dei comandi e si cancella in toto la cartella TEMP di internet explorer contenuta nell'account utente più tutti i file eseguibili lì contenuti, quindi lanci un regedit e ripristini ad explorer.exe la shell di default. Aaaah, se non ci fossero questi troiai che circolano per la rete quanti privati in meno che vedremmo...
Top
Profilo Invia messaggio privato HomePage
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14133
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 05 Apr 2011 07:03    Oggetto: Rispondi citando

Lo scareware installato da Lizamoon si chiama Windows Stability Center e il programma di avvio viene creato in %UserProfile%\Application Data\Microsoft\nomerandom.exe
%UserProfile% = cartella del proprio profilo
Per Windows XP corrisponde a C:\Documents and Settings\nomeutente.
Per Windows Vista/7 corrisponde a C:\Users\nomeutente.
Top
Profilo Invia messaggio privato
amldc
Dio maturo
Dio maturo


Registrato: 02/05/06 16:21
Messaggi: 1303

MessaggioInviato: 05 Apr 2011 08:21    Oggetto: Rispondi citando

bdoriano ha scritto:
Lo scareware installato da Lizamoon si chiama Windows Stability Center e il programma di avvio viene creato in %UserProfile%\Application Data\Microsoft\nomerandom.exe
%UserProfile% = cartella del proprio profilo
Per Windows XP corrisponde a C:\Documents and Settings\nomeutente.
Per Windows Vista/7 corrisponde a C:\Users\nomeutente.


Trovare dove si piazza non è un problema enorme, quello che (suppongo) mi mancava, quando ho perso una giornata, era il ripristino della shell - indicato da carobeppe - dato che non riuscivo più a reinstallare l'antivirus nonostante l'eliminazione dell'eseguibile e dell'impostazione di avvio nel registro. Inoltre, se ricordo bene, quella volta aveva provveduto a scaricarsi qualche altra porcheria, per cui c'era anche altro da ripulire.

Citazione:
Aaaah, se non ci fossero questi troiai che circolano per la rete quanti privati in meno che vedremmo...

Devo ammettere che in effetti procurano lavoro, ma non necessariamente solo dai privati Very Happy. Gli sprovveduti ci sono anche nelle aziende
Top
Profilo Invia messaggio privato
bdoriano
Amministratore
Amministratore


Registrato: 02/04/07 11:05
Messaggi: 14133
Residenza: 3° pianeta del sistema solare... (Barzotti)

MessaggioInviato: 05 Apr 2011 21:21    Oggetto: Rispondi

Dato che non ho ancora avuto il "piacere" di incontrare la bestiolina, mi limito a riportare le info che trovo nei siti specializzati.

Le chiavi di registro da modificare sono le seguenti:
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    va cancellata la stringa Shell
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    la stringa Shell deve essere impostata a Explorer.exe
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi