| Precedente :: Successivo |
| Autore |
Messaggio |
Danielix
Amministratore
Registrato: 31/10/07 16:30
Messaggi: 9729
Residenza: All'inferno. Con Jimi Hendrix. E con gusto.
|
 Inviato: 15 Set 2012 15:08 Oggetto: Virus Sality, gran simpaticone |
 |
|
Ciao ragazzi, il computer dei miei figli piccoli ha preso Sality (qui il report di VirusTotal).
Si presenta come un collegamento a un programma per MS-DOS, di nome bbmwk.pif, piazzato nella root di C:\ e con proprietà di file nascosto e file di sistema (per Bdo e R16: chiaramente ce l'ho e se vi serve ve lo passo alla solita maniera  ).
Dopo qualche ricerca in Rete ho scoperto che è una bestiolina veramente dannosa e soprattutto difficile da rimuovere, e che l'unica maniera per riuscirci è usare un apposito tool di Kaspersky: SalityKiller.
L'ho scaricato, e dopo averlo lasciato lavorare in pace una mezz'oretta, a suo dire ha totalmente bonificato il computer.
Effettivamente dopo il riavvio sembrava non esserci alcuna anomalia, peccato però che adesso quando cerco di entrare in C:\ (da Risorse del computer) mi appare questo:
Simpatico, vero? 
E non c'è verso di entrare in C, e quindi in Programmi o Windows.
Ora, siccome:
| Kaspersky ha scritto: | | The SalityKiller.exe utility given in this article allows detecting and disinfecting only the following Sality modification Virus.Win32.Sality.aa, Virus.Win32.Sality.ae, Virus.Win32.Sality.ag, Virus.Win32.Sality.bh |
mi viene un legittimo dubbio... 
La cosa che più mi preoccupa è che si legge ovunque che se il computer infetto è in una LAN, Sality potrebbe infettare anche gli altri Pc connessi, anche se io non vedo proprio come potrebbe.
Il SO è XP Pro SP3 (non aggiornato) e tenete presente che non ha alcun antivirus installato (perché altrimenti non mi permetterebbe di tenerci i vari software-spia e keyloggers che uso per tenere i piccoli sotto controllo  )
Che fò?  |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 15 Set 2012 15:34 Oggetto: |
|
|
Ma ciao Dan! 
Potresti usare Kaspersky Rescue Disk per fare una scansione da esterno.
Ovviamente, sai già come inviarmi la bestiolina, vero?  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 15 Set 2012 15:52 Oggetto: |
|
|
| Citazione: | | (per Bdo e R16: chiaramente ce l'ho e se vi serve ve lo passo alla solita maniera |
Mandala.
Grazie.
Il virus imbarcato, è distruttivo.
Una "rogna" . 
|
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 15 Set 2012 16:08 Oggetto: |
|
|
Sono andato a documentarmi un pochetto e, giusto per promemoria, lascio qualche indicazione.
Il virus Sality è particolarmente rognoso e, in caso di presenza di pc in rete, cerca di infettare anche gli altri pc. Inoltre, disabilita eventuali antivirus e infetta anche i files di sistema.
Prima di procedere con la rimozione è d'obbligo disconnettere dalla rete il pc infetto.
Alcune pagine con i tools utilizzabili:
Dopo la rimozione, è obbligatorio controllare i files di sistema con l'apposito comando (es.: sfc /scannow). |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 15 Set 2012 17:36 Oggetto: |
|
|
Ancora meglio, in questo caso, utilizzare uno dei CD live disponibili:
Solo per citarne qualcuno |
|
| Top |
|
|
Danielix
Amministratore
Registrato: 31/10/07 16:30
Messaggi: 9729
Residenza: All'inferno. Con Jimi Hendrix. E con gusto.
|
| Inviato: 16 Set 2012 13:03 Oggetto: |
|
|
| Citazione: | | in caso di presenza di pc in rete, cerca di infettare anche gli altri pc |
Sì, ma come??? A me francamente pare impossibile, o meglio, al massimo potrei concepirlo se i Pc in LAN fossero connessi tra loro in FTP, ma se sono connessi alla rete domestica in modo "normale" in mezzo c'è un router/switch che funge solo da access point...
La cosa mi preoccupa abbastanza perché da qualche mese sono deliberatamente senza antivirus, per mettere alla prova la teoria che il miglior antivirus sta tra la tastiera e la sedia, e fino adesso tutto è andato liscio...
| Citazione: | | Potresti usare Kaspersky Rescue Disk |
Ma lascia decidere me o fa tutto da solo? Perché se fa da solo eliminerebbe anche il malware che ho messo io
| Citazione: | | Ovviamente, sai già come inviarmi la bestiolina, vero? |
Yesss... adesso provvedo a passarvi la bestia  |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 16 Set 2012 13:27 Oggetto: |
|
|
| edit. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 16 Set 2012 14:26 Oggetto: |
|
|
| Danielix ha scritto: | | Citazione: | | in caso di presenza di pc in rete, cerca di infettare anche gli altri pc |
Sì, ma come??? A me francamente pare impossibile, o meglio, al massimo potrei concepirlo se i Pc in LAN fossero connessi tra loro in FTP, ma se sono connessi alla rete domestica in modo "normale" in mezzo c'è un router/switch che funge solo da access point... |
Sfrutta le condivisioni files/directory e, molto probabilmente, lascia una copia di se stesso nelle cartelle condivise. L'utente distratto clicca sul file che vede nella cartella e il virus si propaga.
| Danielix ha scritto: | | Citazione: | | Potresti usare Kaspersky Rescue Disk |
Ma lascia decidere me o fa tutto da solo? Perché se fa da solo eliminerebbe anche il malware che ho messo io |
Ti chiederà l'operazione da fare a ogni file riconosciuto come pericoloso.
Dimenticavo: Analisi by Symantec (in PDF) |
|
| Top |
|
|
Danielix
Amministratore
Registrato: 31/10/07 16:30
Messaggi: 9729
Residenza: All'inferno. Con Jimi Hendrix. E con gusto.
|
| Inviato: 18 Set 2012 21:45 Oggetto: |
|
|
Aggiornamento:
ho scaricato Kaspersky Rescue CD e bruciato in CD, l'ho lanciato sulla macchina dei piccoli e... ha trovato 375 tra trojan e virus!
Non ho neppure cliccato su 'Disinfetta': domani vado di format e chi s'è visto s'è visto.
Una curiosità che forse può interessarvi: il virus Sality, oltre a infettare immediatamente qualsiasi chiavetta usb appena inserita, fa una cosa estremamente maligna: in C:\ mette un file autorun.inf con le istruzioni per lanciare all'avvio un file che crea sul momento sempre in C:\, entrambi con la proprietà "Nascosto", e quando da 'Opzioni cartella' tu metti la spunta su "Visualizza file e cartelle nascosti", li vedi, li elimini (usando Unlocker poiché sono "in uso") ma immediatamente non vedi più i file nascosti, ossia rimette la spunta su "Non visualizzare file e cartelle nascosti"!
Allora tu vai di nuovo su 'Opzioni cartella', rimetti la spunta su visualizza e... ci trovi di nuovo il file autorun.inf e un altro file con un nome ogni volta random.
Puoi fare questo giochino mille volte, e mille volte ricompare un file con un nome diverso e il suo bravo autorun.inf per lanciarlo
Mi piacerebbe allora (giusto per curiosità e sfida) sapere dove si trova fisicamente il virus, e nei processi non c'è...
E mi piacerebbe sapere anche come mai, con 375 tra virus e trojan, quel Pc non dà alcun problema: tutto funziona regolarmente...  |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 18 Set 2012 22:07 Oggetto: |
|
|
Puoi postare il log dell'elenco dei files trovati infetti?
Magari c'è qualcosa di interessante...  |
|
| Top |
|
|
Zeus
Amministratore
Registrato: 21/10/00 02:01
Messaggi: 13266
Residenza: San Junipero
|
| Inviato: 19 Set 2012 07:27 Oggetto: |
|
|
| Comunque i virus si prendono anche senza scaricare software strani... le vulnerabilità di sistema operativo, browser e applicazioni varie (office, acrobat, flash, ecc.) e via dicendo sono sempre più numerose. |
|
| Top |
|
|
Danielix
Amministratore
Registrato: 31/10/07 16:30
Messaggi: 9729
Residenza: All'inferno. Con Jimi Hendrix. E con gusto.
|
| Inviato: 19 Set 2012 16:44 Oggetto: |
|
|
Sì, infatti... qualcosa è successo... 
@ bdo & R16:
triste notizia, amici miei: avendo per le mani il cd di Kaspersky Rescue CD mi son detto "massì, facciamo una scansione al mio, giusto per", e il risultato è triste e curioso al contempo: mi ha trovato 3 file infetti (uno .exe e due .pif), tutti e tre identificati come Virus Sality.
La parte curiosa è che me li ha trovati solo esclusivamente dentro un punto di ripristino, che ho provveduto ad eliminare subito.
Ora, so bene che la prima cosa che fa un malware dopo aver infettato un computer è posizionarsi dentro ai punti di ripristino, ma nel mio caso i tre file erano solo lì! O almeno, Kaspersky non ha rilevato null'altro... Che significa??
| bdoriano ha scritto: | | Puoi postare il log dell'elenco dei files trovati infetti? |
E dove lo trovo? |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 19 Set 2012 18:21 Oggetto: |
|
|
Ciao Dan.
| Citazione: | | La parte curiosa è che me li ha trovati solo esclusivamente dentro un punto di ripristino, |
Sì è successo anche a me.
Io l'ho aperto su una macchina virtuale, e dopo averlo "annusato" un pò ho chiuso tutto.
Dopo aver chiuso, si inalbera Avira per dirmi che un punto di ripristino è infetto da Sality.
Ho rovesciato come un calzino il pc, ma non ho trovato nulla.
Il pc funziona bene, ma resto con le antenne dritte.
P.S:
Con la funzione "Cerca" di Xp digita in ambedue i campi: (in "Tutti i file e cartelle")
.pif
Dimmi cosa trova. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 19 Set 2012 22:03 Oggetto: |
|
|
| Zeus ha scritto: | | Comunque i virus si prendono anche senza scaricare software strani... le vulnerabilità di sistema operativo, browser e applicazioni varie (office, acrobat, flash, ecc.) e via dicendo sono sempre più numerose. |
Infatti, ora basta solo aprire un sito compromesso (che contenga una semplice animazione o un banale javascript) per rimanere infetti.
@Dan
Sality è davvero molto bravo a nascondersi. Devo ancora trovare il tempo di testarlo su un pc per analizzarne il comportamento.
Kaspersky Rescue CD crea una cartella sul disco C: (Kaspersky Rescue Disk 10.0) in cui trovi i database aggiornati e il log della scansione (in formato .rpt.
Inoltre, al termine della scansione, dovrebbe darti la possibilità di poter salvare il risultato in un file di testo.
Oltre al CD di Kaspersky, ti consiglio una scansione supplementare con Avira CD. Al termine delle scansioni, è consigliata una scansione di controllo dei files di sistema (sfc /scannow). |
|
| Top |
|
|
Danielix
Amministratore
Registrato: 31/10/07 16:30
Messaggi: 9729
Residenza: All'inferno. Con Jimi Hendrix. E con gusto.
|
| Inviato: 19 Set 2012 23:49 Oggetto: |
|
|
| R16 ha scritto: | Dopo aver chiuso, si inalbera Avira per dirmi che un punto di ripristino è infetto da Sality.
Ho rovesciato come un calzino il pc, ma non ho trovato nulla. |
Ho capito male io, o mi stai dicendo che dalla macchina virtuale ti è passato a quella fisica???!! 
| R16 ha scritto: | Con la funzione "Cerca" di Xp digita in ambedue i campi: (in "Tutti i file e cartelle")
.pif
Dimmi cosa trova. |
Questo:
Il primo: "_default", mi risulta sia un normale file di Windows, e l'analisi di VirusTotal mi dà 0 su 43.
Il secondo invece: "firefox", l'analisi di VirusTotal mi dà 1 su 43 "TrojanDownloader.Generic.acpx", ma l'antivirus solitario è Jiangmin.
Il terzo: "mbam-chameleon", stessa cosa del secondo e stesso antivirus.
Molto poco significativo, direi (forse).
| bdoriano ha scritto: | | Al termine delle scansioni, è consigliata una scansione di controllo dei files di sistema (sfc /scannow). |
sfc /scannow l'avevo già subito lanciato dopo l'amara scoperta di Kaspersky, ma io non l'ho mai compreso questo comando: si mette a fare una scansione dei file di sistema e finisce, senza dirti nulla... Tra l'altro a me non chiede il cd d'installazione di XP, ad altri invece sì (anche per il computer dei miei figli l'ha chiesto). Non sai mai se ha sostituito un file o non ha trovato nulla...
| bdoriano ha scritto: | | ti consiglio una scansione supplementare con Avira CD |
Sì, adesso lo scarico e lo brucio e domani lancio la scansione: vada per il format sul Pc dei miei figli, ma sul mio non se ne parla proprio! Questa cosa dovete aiutarmi a verificarla ed eventualmente uscirne fuori.
BTW: domani installo un antivirus: esperimento terminato!
(Avast o Avira? Questo è il dilemma...)
Una cosa però: il mio computer non dà alcun problema, va una scheggia e non presenta neppure una minuscola anomalia... Non pare manco Windows!
Un'altra: il firewall ovviamente ce l'ho, e se Sality volesse comunicare con l'esterno io avrei il messaggio di avviso, immagino, anche se... infettando i file di sistema con già i permessi (penso a svchost.exe, specialmente) forse non è poi così scontato...
Thanks |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 20 Set 2012 08:35 Oggetto: |
|
|
Se Sality trova una cartella condivisa in rete, va a lasciare il suo ricordino.
Anche nell'utilizzo di macchine virtuali si è soliti usare cartelle condivise per scambiare files.
Quindi, è probabile che ci sia traccia del virus nel pc reale... ma dovrebbe essere solo una traccia (a meno che non venga condivisa una cartella di sistema del pc reale o, peggio ancora, l'intero disco). |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 20 Set 2012 18:17 Oggetto: |
|
|
Ciao Dan.
Gli stessi file che ho trovato nel mio.
Chiariamo subito: io li ho buttati nel cestino.
E restano lì, finchè non mi convinco che sono legittimi.
Oppure finchè il pc non mi dia qualche problema per entrare nel Prompt dei comandi. (cosa non successa fino adesso.)
Non dimentichiamo, che il "balordo" agisce anche con finestre DOS, e aprendo MSDOS_default (1 dei 3 file trovati) mi dà una strana finestra Dos.
Non collegata a nessun programma. (le "Proprietà" indicano un generico "Windows")
Sarebbe interessante se bdoriano facesse una ricerca su un XP pulito, e con la funzione "Cerca" trovasse i file .pif nella nostra stessa posizione.
Solo allora, rischio di ripristinarli dal cestino. |
|
| Top |
|
|
Danielix
Amministratore
Registrato: 31/10/07 16:30
Messaggi: 9729
Residenza: All'inferno. Con Jimi Hendrix. E con gusto.
|
| Inviato: 26 Set 2012 22:00 Oggetto: |
|
|
| bdoriano ha scritto: | Ancora meglio, in questo caso, utilizzare uno dei CD live disponibili:
|
Bene, li ho usati (sul mio) tutti e quattro, e non hanno trovato nulla di nulla, neppure con l'euristica.
A quanto stiamo come percentuale di affidabilità e certezza?
Per il computer dei figli: ho formattato e reinstallato di sana pianta il giorno dopo averlo detto, quindi purtroppo niente log o bestioline simpatiche da passarvi.
@ R16:
appena reinstallato XP sono andato a controllare in C:\WINDOWS ed effettivamente il primo file "_default" era già lì. È proprio un file di Win XP, puoi stare tranquillo.
Una domanda per entrambi: non ho ancora voglia di installare un antivirus; che tools "sgamavirus" posso usare (possibilmente standalone, ma se proprio occorre installarli va bene lo stesso) che non girino in real-time in background, ma facciano semplicemente una scansione quando decido di lanciarli io?
Non mi riferisco ovviamente a "robetta" tipo MBAM (che ho e ogni tanto uso) o a SUPERAntiSpyware, ma a qualcosa di "serio", tipo... un antivirus "a richiamo"...
Oppure un antivirus che si faccia stoppare, ma stoppare proprio!, sia a livello di processi che di servizi. So per certo che Avast mi mangiava davvero un sacco di risorse e mi rallentava parecchio il computer, che invece ora è una scheggia |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 26 Set 2012 22:18 Oggetto: |
|
|
Affidabilità tra buona e ottima.
Nell'elenco ho dimenticato di menzionare l'ottimo Bitdefender rescue cd. 
Giusto come prova del 9...
Un antivirus on-demand?
Potresti installare Avira Free e cambiare le impostazioni della Realtime protection per avviarla solo in fase di lettura.
Un'ottima alternativa è BitDefender Free, ma non so ancora dirti come configurarlo (devo trovare il tempo di giocarci).
Dimenticavo: sembra che anche Emsisoft Anti-Malware rappresenti una buona alternativa. |
|
| Top |
|
|
R16
Dio maturo
Registrato: 07/03/08 22:58
Messaggi: 10128
|
| Inviato: 27 Set 2012 21:16 Oggetto: |
 |
|
| Citazione: | | che non girino in real-time in background, ma facciano semplicemente una scansione quando decido di lanciarli io? |
Ma non esistono "sgamavirus" seri alle condizioni che hai descritto.
Al massimo puoi fare come detto da bdoriano: installa Avira, disabilita il "Realtime Protection" e lo lasci dormire.
Quando ti viene in mente, lo riattivi, lo aggiorni, e fai la scansione.
Ma mi sembra un controsenso. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
