Sistemi operativi, hardware e programmazione.
come liberarsi di sality e trojan ,come eliminare un virus bastardo


FinePagina

qqcreafis

Avatar
PetaWatt


Utente
Msg:10069

Stato:



Inviato il: 17/2/2013,01:36

la miseria. Mi ero portato a casa il disco rigido per "sbegarlo" con calma e ho fatto un click sull'explorer del disco infetto, ed è stata la fine!

il virus è bastardissimo, mai vista una virulenza e ripeto una bastardaggine simile, infetta quasi tutto, ma soprattutto infetta gli antivirus!!! gli strumenti di pulizia del registro


è polimorfico si autoprotegge si nasconde, è invisibile a molti antivirus,è estremamente aggressivo effettivamente la tecnica dei virus ha fatto passi da gigante negli ultimi 10 anni.

Si fa beffe di Malawerebytes , ridicolizza Combofix, sputa in faccia a superantispyware, piglia per i fondelli gli strumenti di macafee , ma soprattutto butta nello sconforto l'utente.

come si può rilevare ? Basta mettere l'esplora risorse in modalità " mostra il file nascosti e di sistema " e si rileva in C:\ un temibile AUTORUN.INF il cui scopo è schiavizzare all'avvio explorer.exe

che ad ogni sua azione va ad eseguire una parte del visus che è sempre nella radice c:\ , un .exe o un .pif da 101KB, questo pezzo di virus si può anche eliminare, ma quando si va ad eliminare

l'autorun.inf si apre una trappola, il virus diventa più cattivo manda un segnale file in uso e si rigenera gambiando forma della parte in c:\ e anche l'autorun cabia in alcune parti (penso caratteri casuali)

Il virus ha voglia di vivere e per fare questo continua ad attivare programmi noti schiavizzati ed infettati alla ricerca di nuove contaminazioni.

Infetta .exe e sembra anche src, ed oltrtutto pdf (???????????!!!!!!!!!!!!!!!!!!!)

Mi ha infettato firefox, musescore, superantispyware, Malawerebytes
segue



---------------
ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...

 

biomass

Avatar
PetaWatt


Utente
Msg:19097

Stato:



Inviato il: 17/2/2013,10:31

Domandona...
questo può succedere se ti affidi ad un antivirus leggero come
quelli free o simili.
Non credo possa succedere con antivirus più performanti tipo
il russo Kaspersky.
Mia opinione..ovvio.
Mi accorgo quando trasferisco file nei pc di amici che hanno
i free installati, che puntualmente all'inserimento della chiavetta
usb nel mio pc, ricevo l'avviso dell autorun nella periferica.



---------------
Instagram: real_biomass
Youtube: Biomass Cippomix
stufapellet.forumcommunity.net
<...

 

NonSoloBolleDiA...

Avatar
PetaWatt


AMMINISTRATORE
Msg:13786

Stato:



Inviato il: 17/2/2013,11:33

CITAZIONE (qqcreafis @ 17/2/2013, 01:36)
ed oltrtutto pdf (???????????!!!!!!!!!!!!!!!!!!!)

faccine/blink.gif che infetti un documento pdf mi sembra strano...che infetti il suo viewer mi sembra altamente probabile.
diversi anni fa con un paio di ragazzotti, e solo a scopo didattico, abbiamo iniziato a testare l'affidabilità dei sistemi presenti nella nostra rete definita ultra protetta: era una groviera faccine/laugh.gif .Sniffando le piattaforme, vedevamo il traffico, andavano a cercare le password codificate...dove in modo automatico venivano decifrate con i vari algoritmi ad X bit di protezione ...che erano 'disponibili' già dal giorno dopo della loro uscita. Lanciati in questa operazione di intelligence siamo andati oltre...mediante un foglio excel se veniva aperto, accettando l'esecuzione delle macro, generavamo ed istallavamo un programma che nella tavola dei processi nasceva come un programma di windows...praticamente invisibile. Il suo compito era comunicare dopo un mese alla nostra piattaforma che era vivo.
Allo scadere inviava la sua presenza su una porta e poi si autoeliminava dallo startup del sistema. All'appello si presentarono una 50 di programmi. Dopo questo abbiamo realizzato un sistema che si propagava in modo non convenzionale...di fatto prendendo il controllo di ogni macchina passando ogni tipo di sicurezza.Tutto questo per dire che nessun sistema informatico è affidabile...l'unica cosa che si può fare è salvare i dati. faccine/w00t.gif
Bolle



---------------
Chi sa raccontare bene le bugie ha la verità in pugno (by PinoTux).
Un risultato se non è ripet...

 

qqcreafis

Avatar
PetaWatt


Utente
Msg:10069

Stato:



Inviato il: 18/2/2013,00:58

è evidente che persone preparate possono fare di tutto, per fortuna la gente che fa questi virus è un po rozza, ma si stà evolvendo.


comunque ritorniamo alla brutta storia
L'avvio in modalità provvisoria è stato disabilitato(crash)la console di ripristino mi ha permesso di provare varie cose fixboot, chkdsk /f e tanto altro, non serviva a nulla cancellare i files conosciuti associati al virus si ricreavano . Le cose hanno iniziato a migliorare con l'installazione di xubunto su un altro disco che mi ha permesso di fare una profonda pulizia, le cose sono migliorate quando mi sono reso conto che l'explorer veniva schiavizzato, quindi l'ho cancellato da windows e l'ho messo in un'altra cartella utilizzando linux e poi il vero passo grande è stato fatto quasi per disperazione cancellare gli autorun.inf dalle voci di RUN del registro, io ne conosco 3(+2 di avvio autom) ho creato cinque file .bat questo è il vvv1.bat
eco primo

attrib -r -s -h c:/autorun.inf

attrib -r -s -h D:/autorun.inf

del D:/autorun.inf

del D:/autorun.inf

_____stessa cosa per altri file che si sono rivelati fake come gnogfo.sys (o qualcosa del genere) in system32

pause 0

Messo il nome del file nelle voci di run (hkcu, hklm ed un'altra ) e nelle cartelle di esecuzione automatica il virus miracolosamente era fermo o quasi, non ricordo bene se avevo gia nascosto l'eplorer, comunque dopo un pò il sistema si bloccava stranamente quando compariva l'icona di super antispyware, è stato chiaro a questo punto che c'erano processi zombi innestati da programmi in esecuzione automatica schiavizzati. Quindi avevo gia eliminato i file che guarda caso venivano aviati dai run del registro, in quanto avevano un'attività sospetta è dunque bastato fermare il processo di superantispyware (zombi) ed il virus era fermo, didinstallato subito antispyware riavviato, i vari vvv.bat mi davano tutti file non trovato, il virus era bloccato in coma ma ancora vivo e risvegliabile....

Si consiglia di tenere sempre aperto esplora risorse (explorer.exe) su una schermata che mostri file nascosti (snebbiati)
se il virus si attiva i file snebbiati scompaiono(vengono nascosti in quanto il virus è rhs), a questo punto spegnere con l'interruttore il più rapidamente possibile , se si è rapidi non fa neanche in tempo a ricreare i trojan nella root. Comunque i vari (e santi) vvv.bat potano al riavvio gli autorun.inf ed impediscono al virus di resuscitarsi, sempre che non siabbia lasciato qualche eseguibile impestato in esecuzione automatica quindi si riavvia da li.

Attenzione al didsistallamento dei programmi impestati si può riavviare(il virus), è successo con la disistallazione di malawarebytes, è ripartito il virus ed ha lasciato un residuo così malefico(dll da 78K) che unsuccessivo tentativo di ricopiarlo con esplora risorse lo ha riavviato.(l'ho eliminato con linux)

La maleficità del virus è impressionamte contiene penso un sacco di fake o residui di altri virus suppongo per depistare sembra crewato per incutere terrore è invisibile a molti antivirus ma con il gioco degli autorun e con la debolezza intrinseca degli antivirus è ineliminabile (in modo automatico)

Comunque il grande passo è stato dato dagli vvv.bat, il virus è stato bloccato i suoi processi sono fermi, disinstallato tutto java (partiva anche con un exe java)e adobee tanto altro basta un antivirus pulito come combofix per trovare il vero virus e non i fake , questo appare essere un driver fondamentale .sys che già era stato egnalato "locked" da combofix, comunque ora il problema sono gli exe impestati



---------------
ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...

 

qqcreafis

Avatar
PetaWatt


Utente
Msg:10069

Stato:



Inviato il: 21/2/2013,01:09

via più semplice , se non va il sistema di riavvio in modalità provvisorio provare con msconfig.exe all'avvio o in una finestra dos o doppio click sull'icona se si trova.


mettere in modalità di avvio diagnostica . funziona abbastanza bene caricare "av avira" che riconosce il virus W32/sality e fare più passaggi , possibilmente con un boot precoce che sulle ultime versioni (almeno sp3) si può settare all'installazione fare andare una scansione in modalità provvisoria poi con tutti idriver , settare l'antivirus nel modo di guardare tutti i file e di rilevare tutto , euristica al massimo, al primo passaggio ho trovato 1500 trojan di due tipi al secondo ancora 5 , all'iizio c'erano 3 oggetti nascosti, alla fine 0 .In parle povere il virus aveva attaccato quasi tutti gli exe dei due dischi. processi virali si sono avuti fino quasi al terzo passaggio.



---------------
ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...

 

qqcreafis

Avatar
PetaWatt


Utente
Msg:10069

Stato:



Inviato il: 27/2/2013,19:55

con il senno di poi . la via più semplice sarebbe stata

1° provare ad avviare in modalità provvisoria , se va in crash provare con msconfig.exe e dove c'è boot.ini settare la modalità provvisoria (o quella diagnostica su la schermata principale)

2° una volta in modalità provvisoria o comunque con servizi ridotti al minimo utilizzare su TUTTI i dischi CHKDSK /F /R /X alla riga di comando, probabilmente chiederà il riavvio ma allora forse è necessario l'avvio normale ( ci vogliono ore) in quanto il virus nasconde tramite errori file o simili

3° controllare con taskmanager l'attività del sistema se è troppo alta stare attenti potrebbe essere un processo virus attivo, bloccatelo! , stare molto attenti a non far partire nessun .exe sono TUTTI impestati(soprattutto quelli dei tool antivirus) NON CERCARE DI CANCELLARE .exe, CON PROCESSI VIRALI ATIVI QUESTI PARTONO AUTOMATICAMENTE(al limite cancellare da disco di avvio o linux).

4° scaricare un antivirus AGGIORNATO fare una scansione completa (va molto bene AV avira), scaricare una coppia di Malawarebites .Un problema potrebbe sorgere con l'aggiornamento , forse la connessione provvisoria con rete è adeguata.



5° fare scansioni complete e settare l'euristica al massimo tutti i riconoscimanti possibile e scansione negli archivi, sarà lento ma troverete migliaia di virus.

5° bis scaricare ccleaner e pulire ripetutamente il registro ( tramite errori il virus si nasconde)
5° tris utilizzare su TUTTI i dischi CHKDSK /F /R /X alla riga di comando, probabilmente chiederà il riavvio ( ci vogliono ore) in quanto il virus nasconde tramite errori file o simili
5°quarto ripetere scansioni

6° scaricare la suite di sysinternals (non scaricatela prima perchè viena attaccata dai virus ) usare rookitrevealar.exe e controllare per file nascosti e cose varie

7° scaricare ogni sorta di antirookit (da siti affidabili !! ) e fare scansioni ripetute se si trova qualcosa di incancellabile ripetere CHKDSK /F /R /X alla riga di comando sull'unità incriminata

8° ripetere un pò tutto fino a che tutti gli antirookit segnalino 0 oggetti nascosti e che tutti i file sospetti nascosti alle Api di Windows (ovviamente che non siano del sistema operativo) siano cancellati.

9° mettere un altro antivirus (ad es kaspersky) e fare scansioni approfondite, ma non fidarsi mai degli antivirus, non sono in grado di idendificare virus sconosciuti

10 Scaricare e scansionare con spybot (aggiornato !!) e continuamente pulire il registro con tool sicuri

Comunque informarsi il più possibile sul trojan trovato e tenere sempre sotto controllo i processi e l'uso di cpu da taskmanager.

comunque la logica del tutto è fermare i processi virali (almeno la maggior parte) e poi cancelalre i file e ripetere

Gli antivirus sono utili ma danno false sicurezze, spesso dell'infezione compare solo la parte che si "vuole fare vedere" ma la "testa " del virus potrebbe rimanere nascosta per sempre fino a che, anche dopo anni, viene letteralmente venduto il codice sorgente del virus (evidentemante fornisce reddito), ma a quel momento è già in circolazione la versione nuova e più potente.



---------------
ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...

 

qqcreafis

Avatar
PetaWatt


Utente
Msg:10069

Stato:



Inviato il: 28/2/2013,21:53

CITAZIONE
Non credo possa succedere con antivirus più performanti tipo
il russo Kaspersky.
Mia opinione..ovvio.

diciamo... che gli antivirus non possono "riconoscere" i virus in quanto tali, ma solo i virus conosciuti,
e quindi possiedono una debolezza intrinseca .

Se gli antivirus funzionassero davvero i virus non esisterebbero.

ad es Kaspersky non mi ha riconosciuto in c: bulw.pif file non semplicemente nascoso ma hidden alle api windows( la testa del virus?? o semplicemente una traccia semicancellata ?) , quindi ineliminabile con tutti gli antirootkit e da linu, in pratica un file orfano NTFS riportato alla realtà da un chkdsk approfondito e quindi riconosciuto ed eliminato ad una scansione seguente di Kaspersky




Modificato da qqcreafis - 28/2/2013, 22:15


---------------
ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...

 

qqcreafis

Avatar
PetaWatt


Utente
Msg:10069

Stato:



Inviato il: 28/2/2013,22:23

ed in effetti finchè non è stato eliminato continuava a comparire un avviso in cui si chiedeva di installare una nuova periferica inesistente

Quindi tante scansioni di vari antivirus non hanno demolito i servizi fasulli e le modifiche ad explorer.exe che richiamavano in vita il virus ( che questo sia stato un filr reale o un errore di scrittura)



---------------
ODE AD UNO STUDENTE MERITEVOLE (Sermone)
Allora Xyz è stato bravo! noi dobbiamo riconoscere ...

 
 InizioPagina
 

Versione Completa!

Home page     TOP100-SOLAR    Home page forum