Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Trojan (.jar) ?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Trojan (.jar) ?

Postdi KID.A » 06/08/04 23:47

Mentre navigavo alcuni siti(senza fare alcun download), l'Antivirus mi segnala:
c[1].jar - Exploit-ByteVerify (presente nella dir dei Temporaty Internet Files)
-> Delete

1)
Ora, è un tipo di file java(se non sbaglio) un archivio java: può essere effettivamente un trojan ?
La cancellazione del file considerato "infetto" è stata sufficiente oppure si è installato ???

2)
A fine di quella connessione, ho notato una pag di Internet Explorer aperta con questo URL:
http://127.0.0.1:8081/index.html? (è il localhost...ma la porta?)
Posso verificare durante prox connessioni se c'è qualche porta in "listening", mendiate
Codice: Seleziona tutto
netstat
oppure, com'era il comando dettagliato
Codice: Seleziona tutto
netstat -a
?

----------
Ho fatto scansione con Antivirus di tutto HardDisk= ok
Devo controllare qualche chiave di Registro ?

Nota:
Controllando gli .exe recenti, ho trovato file "msorunner.exe"(31kb) in C > WinNT creato proprio quella stessa sera...?? è un file di sistema ?
fatemi sapere, GRAZIE!
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Sponsor
 

Postdi 12 » 07/08/04 09:32

ke windows hai?
mm vediamo ho fatto una ricerca in google su sto msorunner.exe ma nn spunta nemmeno una pagina :eeh:
12
Utente Senior
 
Post: 1413
Iscritto il: 12/01/04 19:45
Località: Milèn

Postdi Dylan666 » 07/08/04 11:27

Se l'antivirus ha trovato il file ha anche provveduto a rimuoverlo con chiavi e schifezze annesse. Rifai la scansione e se non dice nulla dormi sonni tranquilli. Magari aggiorna prima del controllo e dai pure una passata anti-spyware.
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi KID.A » 07/08/04 12:07

utilizzo un NT 4.0 (non ho privilegi di admin)

l'antivirus (VirusScan di Network Associates) l'ha segnalato mentre navigavo, am non mi è chiaro se lo ha bloccato o se già può essersi installato qcosa ?
....eventualmnte quali chiavi dovrei controllare manualmente.
Da scansioni successive non risultano problemi.

- ma questo .jar byte-verify che problemi può dare ?
- msorunner.exe: anch'io in effetti non ho trovato nulla (ma cos'è?)
grazie, ragazzi!
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Postdi Dylan666 » 07/08/04 12:17

Con quel nome su Google trovi vari siti e descrizioni del jar. ma ripeto, se l'av lo ha scovato non devi rimuovere NULLA a mano, anche al registro ci pensa lui in automatico. Se proprio vuoi verificarlo in alcuni siti danno le istruzioni della rimozione manuale, quindi puoi vedere che file e chiavi da loro nominati sul tuo PC non ci sono più.

PS: ma siamo sicuri che non ha sbagliato a scrivere digitando msorunner.exe invece di msrunner.exe?
Del secondo qualcosa in Google si trova (virus)...
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi KID.A » 07/08/04 15:29

grazie Dylan:
adesso guardo i links per vedere se files e chiavi sono state tutte rimosse,poi aggiorno ancora antivirus e ripasso con scansione...cmq, mi conforta il fatto che tu mi confermi che posso dormire tranquillo!

mi resta solo 1 dubbio:
il discorso della pagina explorer con porta--> http://127.0.0.1:8081/index.html? (è il localhost...ma la porta?)


ho controllato: il file si chiama proprio "msorunner.exe" ....??
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Postdi Dylan666 » 07/08/04 15:37

La pagina non mi piace per nulla e fossi in te ricorrerei a un firewall e se correggendo la homepage non funziona allora a AD-aware. Sul file non so che dirti, nemmeno coi metamotori di ricerca trovo nulla.... casomai toglilo ma tienilo da parte.
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi KID.A » 07/08/04 15:45

Dylan666 ha scritto:La pagina non mi piace per nulla e fossi in te ricorrerei a un firewall e se correggendo la homepage non funziona allora a AD-aware. .


il fatto (triste) è che su questo pc che posso utilizzare sono Utente (non-admin) e non posso installare...proverò cmq a installare magari OutPost (è sarà sufficiente bloccare l aporta ?)
la pagina sembra strana anche a me, ma devo dire che si è presentata solo a fine di quella connex quando rilevato .jar
Quella pagina, indicherebbe che si è installato un server web che cerca di aprire la porta 8081 ? per ricevere comandi ?

non so cosa posso farci...
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Postdi KID.A » 07/08/04 15:55

aggiungo (x completezza e chiarezza):
la pagina con la porta 8081 non è più ricomparsa, e NON è stata impostata come homepage di Explorer (è questo che intendevi, no?)

cosa dici:
Firewall (outpost)
o Trojan Scanner (tipo Tauscan
o AD-Aware ? (...sempre che mi conceda installazione)

-----
il famoso msorunner.exe, da TaskManage risulta sempre inutilizzato (memoria utilizzata=0k - cpu=0)[/url]
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Postdi Dylan666 » 07/08/04 15:59

firewall tutta la vita
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi KID.A » 07/08/04 16:06

scusa se mi ripeto (x sicurezza):
la pagina con porta 8180 per preoccupare dovrebbe essere stata impostata come homepage o ripresentarsi ? oppure basta che sia comparsa 1 volta per far pensare che qualcosa cerchi di comunicare attrav la porta ?

ps:
OutPost va bene ?
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Postdi Dylan666 » 07/08/04 16:16

La pagina così come è rimane "strana" comunque, comunque sia sbucata. Dal browser l'URL accedeva al tuo stesso PC attraverso la porta indicata. Ora, da te usava l'IP locale, ma mi piacerebbe sapere cosa si sarebbe visto se qualcuno avesse digitato il tuo IP pubblico (quello internet). Magari fallo da un'altro PC se hai la possibilità.

PS: a me piace ZoneAlarm ma è questione di gusti ;)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi KID.A » 07/08/04 16:20

ma io ho connex analogica, quindi l?IP è dinamico, no ?
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Postdi KID.A » 07/08/04 16:25

ho controllato in Pannello controillo > Aggiungi/rimuovi applicaz.
lì non figura esserci la JVM ...quindi il .jar non ha potuto esser eseguito ?

la pagina con porta, proprio non riesco a spiegarmela...

ps:
c'è chi dice che in Zonealarm ci siano degli spyware (boh?)
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Postdi Dylan666 » 07/08/04 16:27

Si ma i trojan funzionano in modo tale che ha il "programma di controllo" parte con una scansione casuale di IP alla ricerca di una "vittima" che abbia l'EXE maligno in ascolto...

Ecco come agisce uno di quelli più famosi:
http://www.crazynet.it/sicurezza/subseven.htm
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Dylan666 » 07/08/04 16:28

KID.A ha scritto:ps:
c'è chi dice che in Zonealarm ci siano degli spyware (boh?)


Assolutamente falso (mai sentito prima)
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi KID.A » 07/08/04 16:37

firewall chiuderebbe i discorsi definitvamemente ?
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Postdi Dylan666 » 07/08/04 16:40

A meno che non dai i permessi a cavolo al 99% sì.
Dico 99 e non 100 per questo discorso, ma andiamo a finire nelle finezze...

http://www.pc-facile.com/category.php?cat=29
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi KID.A » 07/08/04 16:46

grazie Dylan
ora vedo se (pure senza privilegi) riesco a isntallare un firewall...se proble, ti disturbo ancora
ciao
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Postdi KID.A » 09/08/04 01:05

scusami Dylan se posto ancora,
io purtroppo su questa macchina (NT 4.0) non ho privilegi di admin, quindi temo di non riuscire ad installare...ma se ci riesco, oltre a metterci:

- un bel Firewall (Outpost o Zonealarm)
>> per l'immediato, (per verificare con sicurezza se davvero non ho nessun trojan, o schifezze e .EXE maligni in ascolto) mi può servire un sw Trojan-scanner, tipo:Tauscan o The Cleaner che consigliano qui
>> oppure può servire fare una scasione anche in qualcuno di questi links qui:
http://www.pandasoftware.com/activescan ... ncipal.htm
http://housecall.trendmicro.com/houseca ... t_corp.asp
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

Ti allego, inoltre, lo screenshot di "netstat -a" da stato Offline:
ti sembra tutto normale o sospetti qualcosa?
screenshot: Netstat -a ieri e oggi
GRAZIE!


ps:
ho provato a spostare il file dubbio "msorunner.exe"dalla dir C>winNT
però, a riavvio di sistema mi comapre finestra di errore

"IMPOSSIBILE TROVARE IL FILE "C:\WINNT\msorunner.exe" o uno dei suoi componenti - Verificare che il percorso e il nome siano corretti e che tutte le librerie necessarie siano disponibili"
=significa che è un file di sistema?
Non so se serve granché, am ho aperto msorunner.exe con Notepad, queste le stringhe finali leggibili
tƒÑ‹èV‹÷+ðó¤^éçþÿÿ]+} ‰}üa]à PE-PACK: MEMORY ALERT PE-PACK: IMPORT LDR
ERROR Memory allocation failed! Unable to load %s %s not found in %s Ordinal %.4Xh not found
& & 7& E&

KERNEL32.DLL GetModuleHandleA LoadLibraryA GetProcAddress VirtualAlloc VirtualFree

ExitProcess USER32.DLL MessageBoxA wsprintfA  € ÿÿÿÿ Á% ™%

,& µ%  jT  °   Ð -   
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
-=þ PE-PACK v1.0 -þ- (C) Copyright 1998 by ANAKiN þ=-
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

Inoltre, da ricerca nel Registry, risultano sia "msorunner.exe" sia "msrunner.exe"[sebbene quest'ultimo file NON risulta nel disco...] come stringhe presenti in
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Doc Find Spec MRU
e
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
screenshot: Registry_CURRENT_USER
screenshot: Registry_LOCAL_MACHINE


pps:
i file .jar di questo tipo vengono scaricati perché richiamati nei codici HTML come una semplice applet?
e perché vengono eseguiti "in automatico" ?
(perdona le espressioni magari imprecise...)
KID.A
Utente Senior
 
Post: 662
Iscritto il: 27/05/02 17:35

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Trojan (.jar) ?":

trojan win32/sirefef
Autore: marzianu
Forum: Sicurezza e Privacy
Risposte: 27

Chi c’è in linea

Visitano il forum: Nessuno e 14 ospiti