Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Virus furbo

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

Virus furbo

Postdi cassioli » 30/03/04 09:34

Ehi, c'e' un virus che pensa di essere piu' furbo di me, aiutatemi a smentirlo... ;)
'sto fetecchione e' comparso appena ho avviato il mio client di posta, Calypso, senza darmi il tempo di cliccare niente: il client ha scaricato la posta in automatico, e visualizzato l'anteprima del mex piu' recente, e Norton mi ha subito detto che ha beccato Beagle dentro a Attach.zip in c:\downloads

Ora, la cosa e' meno semplice di quanto sembri: normalmente, quando guardo l'anteprima di un mex con allegato infetto, questo viene salvato automaticamente in C:\Programmi\Calypso3\HtmlDocs\Inbound Images\ , e intercettato da Norton ; in DOWNLOADS, invece, sono io che in genere salvo manualmente files che scarico con Opera... che pero' non era ancora stato avviato, quando e' partito Norton!

Non solo: quando sono andato a vedere il messaggio di cui era apparsa l'anteprima, ho visto che non conteneva nessun allegato, e' solo testo! Pero', il mex e' lungo 29KB. PERO', e' un mex che contiene risposte a risposte ad altre risposte, per cui e' molto lungo, per cui FORSE e' per quello che e' lungo 29KB...

Insieme a quel mex, di nuovi ce n'erano solo altri due, entrambi senza allegato, e lunghi appena 2k.

Indi, la cosa e' alquanto misteriosa. :?:

Buon divertimento... ;)

Luca
cassioli
Utente Senior
 
Post: 1014
Iscritto il: 05/03/04 11:02

Sponsor
 

Postdi mrblue » 30/03/04 09:54

Beagle è un worm e dal sito dellasymadec puoi prelevare il tool per rimuoverlo poi fai un winsoz update,
mentre per capire come funziona dovresti leggere il sorgente che altro
non è che un eseguibile in "formato" testo, che sfruttando il mime e una
vulnerabilità di IE viene salvato nel path che è stato utilizzato l'ultima
volta da IE.
Se vuoi ulteriori info vai qui.
ciao
Sbagliare è umano, ma per riuscire davvero a incasinare completamente le cose ci vuole un computer.
---------------------
http://mrblue73.blogspot.com/
mrblue
Utente Senior
 
Post: 364
Iscritto il: 22/10/01 01:00
Località: Roma

Postdi cassioli » 30/03/04 09:57

mrblue ha scritto:Beagle è un worm e dal sito dellasymadec puoi prelevare il tool per rimuoverlo poi fai un winsoz update,
mentre per capire come funziona dovresti leggere il sorgente che altro
non è che un eseguibile in "formato" testo, che sfruttando il mime e una
vulnerabilità di IE viene salvato nel path che è stato utilizzato l'ultima
volta da IE.

'sto stro**o! Pero' io non uso IE proprio per questi motivi! Uso Opera!!!
Mo vedo cosa dice il link qui sotto, vediamo un po'....
Se vuoi ulteriori info vai qui.
ciao
cassioli
Utente Senior
 
Post: 1014
Iscritto il: 05/03/04 11:02

Postdi mrblue » 30/03/04 10:55

:oops:
mrblue ha scritto:dal sito dellasymadec

il sito è della simatec...
Sbagliare è umano, ma per riuscire davvero a incasinare completamente le cose ci vuole un computer.
---------------------
http://mrblue73.blogspot.com/
mrblue
Utente Senior
 
Post: 364
Iscritto il: 22/10/01 01:00
Località: Roma

Postdi mrblue » 30/03/04 10:56

ok serve ncora un altro caffe!!!
s y m a t e c !!
Sbagliare è umano, ma per riuscire davvero a incasinare completamente le cose ci vuole un computer.
---------------------
http://mrblue73.blogspot.com/
mrblue
Utente Senior
 
Post: 364
Iscritto il: 22/10/01 01:00
Località: Roma

Postdi cassioli » 30/03/04 11:19

mrblue ha scritto:ok serve ncora un altro caffe!!!
s y m a t e c !!


Bevi, bevi...

SYMANTEC, con la N :lol: :lol:

Luca
cassioli
Utente Senior
 
Post: 1014
Iscritto il: 05/03/04 11:02

Postdi cassioli » 30/03/04 13:08

mrblue ha scritto:Beagle è un worm e dal sito dellasymadec puoi prelevare il tool per rimuoverlo poi fai un winsoz update,

In realta', non devo rimuoverlo, Norton gli ha segato le gambe pirma che potesse attivarsi...
mentre per capire come funziona dovresti leggere il sorgente

Ho provato a cercare un po' in giro, ma non riesco a trovare descrizione del sorgente... e Norton non mi fa accedere al file infetto!

che altro
non è che un eseguibile in "formato" testo, che sfruttando il mime e una
vulnerabilità di IE viene salvato nel path che è stato utilizzato l'ultima
volta da IE.
Se vuoi ulteriori info vai qui.
ciao

Non ho trovato niente di utile in questo link, e non sono ancora riuscito a capire come ha fatto il file Attach.zip a comparire dal nulla, visto che non e' allegato a nessun messaggio che ho ricevuto. Ma cos'e', un virus fantasma?!? :-?

Luca
cassioli
Utente Senior
 
Post: 1014
Iscritto il: 05/03/04 11:02

Postdi Dylan666 » 30/03/04 13:27

cassioli ha scritto:Ho provato a cercare un po' in giro, ma non riesco a trovare descrizione del sorgente... e Norton non mi fa accedere al file infetto!


http://www.tsrm.org/tsrmnewsvirus.htm

http://punto-informatico.it/salvapc/index.asp?i=85

http://virus.html.it/virus/cat_3/virus_19/beagle.html

Buona lettura
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi mrblue » 30/03/04 14:24

E se tutto cio non toi fosse bastato
cassioli ha scritto:come ha fatto il file Attach.zip a comparire dal nulla, visto che non e' allegato a nessun messaggio che ho ricevuto.
Luca

Solo perche non è visibile dal tuo client di posta non vuol dire che non
sia "allegato".
Quello che vedi sotto è una piccola parte di un eseguibile convertito in base64 (lo standard di codifica usato dal mime, per inviare le email),

Codice: Seleziona tutto
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA8AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAACHRRZkwyR4N8MkeDfDJHg3OQc4N8YkeDcZB2Q3yCR4N8MkeDfCJHg3wyR5
N0QkeDc5B2E3ziR4N1QHPTfCJHg3GQdlN98keDc5B0U3wiR4N1JpY2jDJHg3AAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAUEUAAEwBAwAQhH07AAAAAAAAAADgAA8BCwEHAAAoAQAAnAAAAAAAAHUkAQAA
EAAAAEABAAAAAAEAEAAAAAIAAAUAAQAFAAEABAAAAAAAAAAA8AEAAAQAAPzXAQACAACAAAAEAAAQ

questo è semplice testo ma se decodificato (e se fosse tuttto) sarebbe la calcolatrice di windows 8)
Sbagliare è umano, ma per riuscire davvero a incasinare completamente le cose ci vuole un computer.
---------------------
http://mrblue73.blogspot.com/
mrblue
Utente Senior
 
Post: 364
Iscritto il: 22/10/01 01:00
Località: Roma


Torna a Software Windows


Topic correlati a "Virus furbo":


Chi c’è in linea

Visitano il forum: Nessuno e 18 ospiti