Condividi:        

Probabile virus non riconosciuto dall'antivirus

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Probabile virus non riconosciuto dall'antivirus

Postdi piercing » 13/06/04 15:23

Ho ricevuto un'email veramente ben confezionata... con un simpatico allegato che ha tutte le caratteristiche per essere un virus...

ho fatto la scansione dell'antivirus e non viene riconosciuto come pericoloso... anche se sono sufficientemente certo che lo sia...

Questa è la mail... e ovviamente il link indicato non esiste...

Codice: Seleziona tutto
Return-Path: <nome.cognome@fastwebnet.it>
Delivered-To: piercingmail@M
Received: (qmail 32123 invoked from network); 12 Jun 2004 18:21:15 -0000
Received: from unknown (HELO mail.aruba.it) (213.140.6.96)
  by mx1.aruba.it with SMTP; 12 Jun 2004 18:21:15 -0000
Message-ID: <x066783627.9057849936494462194@hfthkckpo>
From: pc <nome.cognome@fastwebnet.it>
To: <piercingmail@aruba.it>
Subject: Ti e stata inviata una Cartolina Virtuale!
Date: sab, 12 giu 2004
MIME-Version: 1.0
Content-Type: multipart/mixed;
   boundary="----=_Part_12533_5165481.7055667488644"
X-Priority: 3
Microsoft Outlook Express 5.00.2314.1300
X-Spam-Rating: mx1.aruba.it 1.6.2 0/1000/N

------=_Part_12533_5165481.7055667488644
Content-Type: text/plain;
   charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable

Ciao!

pc ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.

------=_Part_12533_5165481.7055667488644
Content-Type: application/octet-stream;
   name="link.cartoline.it.viewcard.index.4g345a.pif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
   filename="link.cartoline.it.viewcard.index.4g345a.pif"
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(eccetera eccetera...)


La dimensione dell'allegato è di 12.800 byte...

Qualcuno ne sa qualcosa in più??
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Sponsor
 

Postdi BianConiglio » 13/06/04 18:42

è certamente un virus... se hai ancora la mail salva l'allegato ed inoltralo alla casa produttrice del tuo antivirus, di solito esistono delle opzioni per farlo gia all'interno della gui degli av, sennò cerca nel loro sito.

:D
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi BianConiglio » 13/06/04 18:44

anzi lascia perdere.... è solo il tuo av che è restio, per ora, a segnalarlo.. tempo qualche gg e si aggiorneranno pure loro

http://www.f-secure.fr/v-descs/zafi_b.shtml
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi piercing » 13/06/04 18:46

lo tengo sul desktop ancora qualche giorno...

è particolare il fatto che sia il nome del file, sia il link riportato nel testo siano molto simili... e abbiano la stessa chiave identificativa...

inoltre il testo della mail è in italiano...

qualche smanettone incallito??

stranamente "pc" è il nome di default delle macchine che installiamo in azienda... ma nessuno dei clienti ha l'indirizzo email al quale mi è arrivata la mail...

bah...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi piercing » 13/06/04 18:48

si conigliastro... è proprio lui...

sempre detto che gli ungheresi programmano troppo bene ;-)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi BianConiglio » 13/06/04 18:49

bha, l'importante è che non ti sia infettato :D
cmq si, questa è l'ultima versione di sto virus, modificata a quanto pare da un simpatico italiano ;)
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Dax0r » 13/06/04 18:52

che antivirus usavi?
Dax0r
Utente Senior
 
Post: 163
Iscritto il: 13/09/03 14:32

Postdi piercing » 13/06/04 18:53

infettato???? naaaaa :P

puzzano già dal titolo della mail sti virus... ancora ce ne vorrà prima che riescano a fare qualcosa di credibile sul serio... dovrebbero studiare un pò di piscologia e tecnica di comunicazione...

anzi... mi asepttavo che dall'indirizzo linkato si arrivasse a scaricare qualche simpatico ActiveX... invece non esiste niente :cry:
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi piercing » 13/06/04 18:55

Uso mcafee 6.02...

ma lo uso solo per scansionare gli allegati per curiosità... non lo lascio attivo di default...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Ribonix » 13/06/04 19:01

Anch'io ho ricevuto quel messaggio e anche con nomi diversi. fatto sta che la dimensione è sempre di 12,8 KB.
Ho inviato l'allegato alla Symantec, che ho salvato in c:\virus , ecco la risposta di Symantech:

Questo messaggio è una risposta generata automaticamente. Questo sistema è appositamente studiato per analizzare ed elaborare i virus inviati al Symantec Security Response e non può accettare corrispondenza o richieste di informazioni. Per informazioni più dettagliate sui file inviati, rivolgersi al rappresentante del Supporto tecnico. Non rispondere a questo messaggio.

Qui di seguito viene fornito un aggiornamento sullo stato dei file infetti inviati:

Data: 11 giugno 2004

[...]

Abbiamo analizzato i file inviati. Ecco un resoconto di quello che abbiamo scoperto in merito a ciascun file che abbiamo ricevuto:

nome file: C:\virus\Surprise.exe <===questo è l'allegato che ho inviato
computer: RIBONIX
risultato: Il file è infettato da W32.Erkez.B@mm

Note dello sviluppatore:

C:\virus\Surprise.exe is non-repairable threat. Please delete this file and replace it if necessary. Please follow the instruction at the end of this email message to install the latest rapidrelease definitions.

Symantec Security Response ha determinato che i campioni forniti sono infettati con un virus, worm o Trojan. Sono state create definizioni beta in grado di rilevare questa minaccia. Seguire le istruzioni alla fine di questo messaggio di e-mail per installare le più recenti definizioni beta.

Istruzioni per lo scaricamento e l'installazione delle definizioni beta:
1. Aprire il browser Web. Se si utilizza una connessione di accesso remoto, connettersi a un qualsiasi sito Web, quale ad esempio: http://securityresponse.symantec.com/
2. Fare clic su questo collegamento al sito ftp: ftp://ftp.symantec.com/public/english_u ... efsi32.exe. Se vi sono problemi di accesso al sito (l'operazione può richiedere anche un minuto se la connessione è lenta), copiare e incollare l'indirizzo nella barra degli indirizzi del browser Web e poi premere Invio.
3. Quando viene visualizzata una finestra di dialogo per lo scaricamento, salvare il file sul desktop di Windows.
4. Fare doppio clic sul file scaricato e seguire le istruzioni.
Allah Akhbar! Allah Akhbar! Allah Akhbar!
Avatar utente
Ribonix
Utente Senior
 
Post: 346
Iscritto il: 12/02/03 22:41
Località: 3GYPT

Postdi Ribonix » 13/06/04 19:07

@piercing
un consiglio d'amico: non rendere pubblico il tuo indirizzo di posta, nè i dati sensibili: lo spam è sempre dietro l'angolo... ;)
Allah Akhbar! Allah Akhbar! Allah Akhbar!
Avatar utente
Ribonix
Utente Senior
 
Post: 346
Iscritto il: 12/02/03 22:41
Località: 3GYPT

Postdi piercing » 13/06/04 19:17

Ribonix ha scritto:@piercing
un consiglio d'amico: non rendere pubblico il tuo indirizzo di posta, nè i dati sensibili: lo spam è sempre dietro l'angolo... ;)


e mica è quello il mio indirizzo ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi BianConiglio » 13/06/04 19:18

infatti non sono veri i dati scritti sopra :D
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Ribonix » 13/06/04 19:19

meglio così ;)
Allah Akhbar! Allah Akhbar! Allah Akhbar!
Avatar utente
Ribonix
Utente Senior
 
Post: 346
Iscritto il: 12/02/03 22:41
Località: 3GYPT

Postdi piercing » 13/06/04 19:20

BianConiglio ha scritto:infatti non sono veri i dati scritti sopra :D


biancooooo... stai buono con i tuoi alambicchi!!!! ehehehheh :lol:
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Ribonix » 13/06/04 21:03

h. 21,50. dopo 48 h. circa sono arrivate le definizioni...
il virus in questione è confermato: W32.Erkez.B@mm
Allah Akhbar! Allah Akhbar! Allah Akhbar!
Avatar utente
Ribonix
Utente Senior
 
Post: 346
Iscritto il: 12/02/03 22:41
Località: 3GYPT


Torna a Sicurezza e Privacy


Topic correlati a "Probabile virus non riconosciuto dall'antivirus":


Chi c’è in linea

Visitano il forum: Nessuno e 20 ospiti