Trojan (.jar) ?

[orsostanco]

Per evitare che questi inconvenienti risuccedano io mi comporterei così:
1) Settare la guardia in tempo reale dell' antivirus in modo che vieti l' accesso al PC ai files infetti.
2) Cancellare frequentemente i files temporanei internet, comunque sempre prima di chiudere il browser.
3) Installare un buon firewall.
4) Mantenere costantemente aggiornato il sistema operativo e l' antivirus.
Ciao.

Mentre navigavo alcuni siti(senza fare alcun download), l'Antivirus mi segnala:

c[1].jar - Exploit-ByteVerify (presente nella dir dei Temporaty Internet Files)
-> Delete

1)
Ora, è un tipo di file java(se non sbaglio) un archivio java: può essere effettivamente un trojan ?
La cancellazione del file considerato "infetto" è stata sufficiente oppure si è installato ???

2)
A fine di quella connessione, ho notato una pag di Internet Explorer aperta con questo URL:
http://127.0.0.1:8081/index.html? (è il localhost...ma la porta?)
Posso verificare durante prox connessioni se c'è qualche porta in "listening", mendiate

Codice: Seleziona tutto

netstat

oppure, com'era il comando dettagliato

Codice: Seleziona tutto

netstat -a

?

----------
Ho fatto scansione con Antivirus di tutto HardDisk= ok
Devo controllare qualche chiave di Registro ?

Nota:
Controllando gli .exe recenti, ho trovato file "msorunner.exe"(31kb) in C > WinNT creato proprio quella stessa sera...?? è un file di sistema ?
fatemi sapere, GRAZIE!

[Dylan666]

Per ordine sperando di risponedere a tutto:

1. I programmi anti-trojan non li ho mai provati un firewall fa quello che fanno loro e anche di più.
   
2. Le scansioni on-line sono utili spesso, ma non ti aspettare miracoli (se hai un antivirus aggiornato è difficile trovino qualcosa che sia sfuggito a lui)
   
3. Il netstat così è difficile da interpretare, specialmente senza sapere che processi generano le connessioni (lo si scopre con "netstat -o" ma mi pare solo in 2000 e XP)
   
4. Il fatto che venga il messaggio di errore NON è sinonimo di file di sistema: semplicemente per avviarsi utilizzava una chiave che ora porta al file che hai spostato, e da qui la schermata di windows
   
5. -=þ PE-PACK v1.0 -þ- (C) Copyright 1998 by ANAKiN þ=- una cosa del gener non è certo da file di sistema
   
6. cercando quella stringa su Google qualcosa viene fuori ma in tedesco (o ti fai aiutare a tradurlo o aspetti ezechiel). Comunque da qui sembrerebbe solo un generico compressore di EXE freeware
   
7. MRU nel registro è una siga presente in più parti e significa most-recently-used: in pratica è un elenco delle ultime voci che hai cercato o usato recentemente, nulla di cui preoccuparsi
   
8. CurrentVersion>Run
   è la chiave che dicevo prima che genera "l'errore". Esportale e cancellala
   
9. il link a quella chive non funziona per uno slash di troppo alla fine (ma cancellandolo va OK)
   
10. Non so come funzionino i virus applet

[piercing]

msorunner sembrerebbe un file di Pest Patrol, quindi, potrebbe essere giusto che sia nella chiave che hai descritto

per quanto riguarda il jar... questo viene downloadato in automatico, in quanto è il file sorgente in java che viene interpretato dalla java virtual machine...
è normale che ne venga effettuato il download, esattamente come un file .gif, tanto per fare un esempio...

[KID.A]

grazie a tutti per il paziente aiuto!

x Dylan:

trojan
- ho letto sui vari siti di antivirus, che consigliano di fare scansione in modalità VGA (per NT): perché ?
- il fatto che (offline) abbia molte porta in listening: significa solo che sono aperte (per default,per così dire), o che c'è qualche eseguibile che cerca di "uscire"?
Vuoi che ti posti netstat durante connessione? (opzioni supportate: -n/s/r/e non -o ,purtroppo)
- ok per Firewall, lascio perdere Trojan scanners...le scansioni online, potenzialmente possono prelevare dati dal pc !?

msorunner.exe
Guarda che assursità: date creazione/modifica
Ho letto i topics in tedesco: dicono in sostanza che compare come autore aprendo alcuni eseguibili (nel loro caso trattasi di Dialers), ma in effetti come dal tuo linksembra solo un compressore di .exe (i links ted. dicono "sw per unire e comprimere un exe + righe di comando"...mah
[ cmq, l'articolo su HHTport è molto interessante: Funziona davveroin una lan sotto server proxy...permetterebbe davvero di non essere monitorati nelle navigazioni? e pure aggirare restrizioni di URLs da parte dell'admin di rete? + scaricare mail mediante client + peer2peer ? ]

Registry - (chiave a msorunner.exe)
io ho ri-collocato msorunner.exe in C>WinNT e NON compare più alcuna finetsra d'errore
...io la stringa nella chiave di registro non l'ho modificata, è proio così(anche a me sembra strana): C:\WINNT\msorunner.exe /i
Mi consigli di esportare (come backup) l'intera chiave + cancellare la stringa relativa a msorunner ?

Peraltro, a me suonano strani pure "msmsn"+"msmssn.exe" (?) e "nsa"(NationalSecurityAgency ?!)....
msmsn.exe= ha l'icona tipo explorer con scritto V6-nelle Proprietà dice: "Content access plugin":ecco, icona

ps:
ZoneAlarm-> leggi
e fammi sapere che ne pensi.
[mio fratello ha XP-pro: il firewall integrato monitora solo traffico in entrata? se sì, sarà meglio sostituirlo con qualcosa di meglio..?]


----------------
x Piercing:

msorunner sembrerebbe un file di Pest Patrol, quindi, potrebbe essere giusto che sia nella chiave che hai descritto

ti riferisci alla chiave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ?
Da cosa lo deduci ? cosa sarebbe di preciso?
Sembra atipica anche a te la stringa: C:\WINNT\msorunner.exe /i ?

Senti, c'è un file di sistema da cui posso vedere quali sarebbero le applicazioni che Windows "originariamente" dovrebbe eseguire in AutoRun ? (win.ini ?)

il file.jar è richiamato nei sorgenti html come un Object ?
non mi è chiara la differenza da un'applet (=questa è solo .class forse?) ma anche un'applet è un eseguibile, no?


============
Ciao, grazie e scusate se sono un po' pesante...

[piercing]

msorunner sembrerebbe un file di Pest Patrol, quindi, potrebbe essere giusto che sia nella chiave che hai descritto

ti riferisci alla chiave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ?
Da cosa lo deduci ? cosa sarebbe di preciso?
Sembra atipica anche a te la stringa: C:\WINNT\msorunner.exe /i ?

Sinceramente non so neanche cosa faccia Pest Patrol e dove si installi... ho fatto solo una ricerca per la stringa che hai riportato vedendo col notepad quel file... certo è che se non l'hai installato tu... sarà stato qualche altro programmino... la cosa migliore probabilmente è scaricarlo dalla rete, installarlo, e vedere se i file sono uguali... poi eventualmente disinstalla... lo /i è un comando di qualche tipo... ma ripeto... non so neanche cosa faccia Pest...

Senti, c'è un file di sistema da cui posso vedere quali sarebbero le applicazioni che Windows "originariamente" dovrebbe eseguire in AutoRun ? (win.ini ?)

non esiste, in quanto dipende da cosa vuoi installare... google in questo caso è sempre di aiuto... controlla tutti i processi attivi, eventualmente aiutandoti con qualche programma che ti faccia vedere il percorso del file attivo, in quanto nel task manager questa info non viene riportata...

il file.jar è richiamato nei sorgenti html come un Object ?
non mi è chiara la differenza da un'applet (=questa è solo .class forse?) ma anche un'applet è un eseguibile, no?

non credo ci sia nessuna differenza con un applet... anzi, ritengo che proprio di codice sorgente di un'applet stiamo parlando...


Consigli... armati di tanta pazienza e di un pò di buoni programmini (HiJackThis, StartupControlPanel, Regedit, Aida,...) , e comincia ad infilare su google qualunque stringa ti suoni strana... prima di levare cancellando i file comunque pensaci bene 2 volte... usa finchè è possibile i programmi di disinstallazione....

[KID.A]

msorunner sembrerebbe un file di Pest Patrol, quindi, potrebbe essere giusto che sia nella chiave che hai descritto

ti riferisci alla chiave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ?
Da cosa lo deduci ? cosa sarebbe di preciso?
Sembra atipica anche a te la stringa: C:\WINNT\msorunner.exe /i ?

Sinceramente non so neanche cosa faccia Pest Patrol e dove si installi... ho fatto solo una ricerca per la stringa che hai riportato vedendo col notepad quel file... certo è che se non l'hai installato tu... sarà stato qualche altro programmino... la cosa migliore probabilmente è scaricarlo dalla rete, installarlo, e vedere se i file sono uguali... poi eventualmente disinstalla... lo /i è un comando di qualche tipo... ma ripeto... non so neanche cosa faccia Pest...

....ma quale programmino dovrei scaricare+installare: questo?

di pest patrol, io ne so meno di te...
cosa ti ha fatto pensare a pest?

grazie, buon weekend

[Dylan666]

trojan
- ho letto sui vari siti di antivirus, che consigliano di fare scansione in modalità VGA (per NT): perché ?

Perché se il virus è stato lanciato all'avvio magari l'antivirus non riesce a cancellarlo (risultando in esecuzione), oppure quest'ultimo viene ostacolato. Invece in modalità provvisoria le chiavi di avvio e autoesecuzione vengono ignorate

- il fatto che (offline) abbia molte porta in listening: significa solo che sono aperte (per default,per così dire), o che c'è qualche eseguibile che cerca di "uscire"?

Dipende che processi sono, cosa alcoltano ecc... Io NT come OS non lo conosco proprio ma forse Googlando saprai ogni listening a che serve

Vuoi che ti posti netstat durante connessione? (opzioni supportate: -n/s/r/e non -o ,purtroppo)

No, ripeto che io personalmente non riuscirei a dirti a occhio se sono connessioni standard

- ok per Firewall, lascio perdere Trojan scanners...le scansioni online, potenzialmente possono prelevare dati dal pc !?

È chiaro che legalmente non possono, e se il sito è rinomato direi che sei al sicuro

[ cmq, l'articolo su HHTport è molto interessante: Funziona davveroin una lan sotto server proxy...permetterebbe davvero di non essere monitorati nelle navigazioni? e pure aggirare restrizioni di URLs da parte dell'admin di rete? + scaricare mail mediante client + peer2peer ? ]

se è un proxi il discorso degli URL torna, quello del p2p non so come farebbe

Mi consigli di esportare (come backup) l'intera chiave + cancellare la stringa relativa a msorunner ?

Certo, è la procedura standard

Peraltro, a me suonano strani pure "msmsn"+"msmssn.exe" (?) e "nsa"(NationalSecurityAgency ?!)....
msmsn.exe= ha l'icona tipo explorer con scritto V6-nelle Proprietà dice: "Content access plugin":ecco, icona

Googla, anche io non psso fare altro:
http://www.computing.net/windowsnt/wwwb ... 22293.html

ps:
ZoneAlarm-> leggi
e fammi sapere che ne pensi.

Mai usata la versione Pro, quindi non saprei. Comunque mi pare di capire che quella in esame è una opzione superflua e disattivabile. E comunque a te va bene la free

[mio fratello ha XP-pro: il firewall integrato monitora solo traffico in entrata? se sì, sarà meglio sostituirlo con qualcosa di meglio..?]

È risaputo che quel firewall fa schifo (pure sul forum si è detto tante volte e se cerchi c'è anche linkato un articolo in cui MS lo ammette). Ormai è uscito lo SP2, ma il nuovo firewall ancora non l'ho visto

[KID.A]

ok, grazie davvero
...e buone vacanze (per chi ha la fortuna di farle!)

[Sergio1983]

(pure sul forum si è detto tante volte e se cerchi c'è anche linkato un articolo in cui MS lo ammette)

http://www.pc-facile.com/forum/viewtopi ... 005#115005

[KID.A]

ottimo Sergio!
grazie