[OT] Rootkit/DIaler "Labbra Rosse", Gli tagli la testa, ma non muore!!!! |
Benvenuto Visitatore ( Log In | Registrati )
[OT] Rootkit/DIaler "Labbra Rosse", Gli tagli la testa, ma non muore!!!! |
Sunday 1 April 2007 - 00:38
Messaggio
#1
|
|
Expert GBA/NDS Gruppo: Membri Messaggi: 1.434 Iscritto il: Thu 7 October 2004 - 12:26 Da: Modena Utente Nr.: 2.114 Feedback: 1 (100%) |
Ciao a tutti!
Sono diversi giorni che l'antidialer rileva tentativi di connessione da parte di un dialer. Quest'ultimo, a quanto pare, si presenta come un'icona che rappresenta 2 labbra rosse. Avevo già sentito parlare di questo dialer, ma pare che circolino alcune varianti. Di per sè non è pericolosissimo, se ben protetti, ma toglierlo è pressochè impossibile. A quanto ho capito, c'è "qualcosa" che modifica una chiave di registro in modo da lanciare, all'avvio, un processo, da un'altra chiave di registro, che nel mio caso è nominato upduvihv.exe il quale, a sua volta, crea un file .exe nominato con 6 lettere casuali. Una bella matrioska, non c'è che dire, e non sono nemmeno sicuro che sia di soli 3 livelli. Beh. Non so se è capitato a qualcun altro ma non riesco a togliermelo dalle palle in alcun modo. Kasperksy intercetta le chiamate, ma non lo trova dopo una scansione completa. Provo di editare manualmente le chiavi di registro, cancellare i file associati ma, come dopo aver tagliato la testa a un'hidra, ad ogni riavvio si ricreano dannazione. Qualcuno è riuscito a ERADICARLO totalmente e, se sì, in che modo? CWSHREDDER non trova nulla, avg rootkit nemmeno, VirIt trova qualcosina ma non lo toglie completamente (altri dicono di sì, boh), Kaspersky sembra accorgersi della minaccia solo quando si manifesta apertamente. -------------------- |
|
|
Sunday 1 April 2007 - 01:47
Messaggio
#2
|
|
Special User Gruppo: Membri Messaggi: 177 Iscritto il: Fri 12 January 2007 - 13:38 Utente Nr.: 16.059 Feedback: 0 (0%) |
L'unica soluzione secondo me è formattare... e abbandonare Windows DEFINITIVAMENTE...
...O dovresti sporgere una bella denuncia a carico di chi ha creato il dialer. Dovremmo iniziare un po tutti a denunciare creatori di Dialer e di Spam(Vanno denunciati i siti a cui queste merde portano), iniziare a farci qualche soldino e farli finalmente chiudere... |
|
|
Sunday 1 April 2007 - 03:03
Messaggio
#3
|
|
Fanatic GBA/NDS Gruppo: Membri Messaggi: 976 Iscritto il: Mon 7 November 2005 - 20:00 Da: Pescara Utente Nr.: 8.472 Feedback: 6 (87.5%) |
da internet explorer apri strumenti-opzioni internet-impostazioni.visualizza oggetti e pialla tutto (a parte il flash player).
poi da strumenti-gestione componenti aggiuntive pialla tutto anche qui (a parte il flash player). poi start-esegui scrivi msconfig e alla voce avvio rimuovi le voci "sospette" Scusa se scrivo striminzito ma sono le 4... vado a nanna Quoto per le denunce... a me non mi hanno mai fregato e mai lo faranno, specialmente ora che ho l'adsl, ma sono delle società davvero pezzenti e meritano di fallire. -------------------- Fiero possessore di:
NES CON PIU' DI 50 GIOCHI PAL: » Clicca per leggere lo Spoiler! « SNES CON 40 GIOCHI:» Clicca per leggere lo Spoiler! « Nintendo DS Lite tricolore (bianco-nero-grigio) + SuperCard DS ONE SDHC 8GB |
|
|
Sunday 1 April 2007 - 03:20
Messaggio
#4
|
|
Expert GBA/NDS Gruppo: Membri Messaggi: 2.029 Iscritto il: Fri 16 September 2005 - 22:04 Da: Fogland Utente Nr.: 7.393 Feedback: 1 (100%) |
Mi pare di capire che il nome del file upduvihv.exe sia costante. Prova ad aprirlo con un editor esadecimale per vedere se all'interno c'è qualcosa che possa ricordare il nome di un file e/o un percorso. Probabilmente c'è un file ben nascosto da qualche parte, con estensione e nome insospettabile, che questo upduvihv.exe provvede a rinominare di volta in volta con nomi a casaccio.
-------------------- Get your Free Pascal compiler for Nintendo DS and Gameboy Advance NOW!
|
|
|
Sunday 1 April 2007 - 10:59
Messaggio
#5
|
|
Expert GBA/NDS Gruppo: Banned Messaggi: 1.802 Iscritto il: Tue 6 December 2005 - 03:12 Utente Nr.: 9.212 Feedback: 3 (80%) |
niente di tutto questo
Segui bene quello che scrivo. Per prima cosa. Ricordati il nome del file per esteso (e prendine nota) ora cerca di vedere se quel file apre una finestra internet (con relativa URL) e prendi nota anche della url. Ora che hai questi dati riavvia il pc in modalità provvisoria A questo punto apri regedit e cerca il file in questione ,e anche la url (sena WWW) elimina tutte le spunte relative a quel file nel registro di sistema A questo punto appena finito di eliminare il tutto Elimina il dato fisico dal sistema appena puoi Aggiorna il tuo browser alla versione 7 di IE o usa Firefox -------------------- Segnalato !
The law of NoooooB E ora sponsorizato da NIPPON KAZAUWA ! » Clicca per leggere lo Spoiler! « |
|
|
Sunday 1 April 2007 - 12:55
Messaggio
#6
|
|
Fanatic GBA/NDS Gruppo: Membri Messaggi: 976 Iscritto il: Mon 7 November 2005 - 20:00 Da: Pescara Utente Nr.: 8.472 Feedback: 6 (87.5%) |
niente di tutto questo Segui bene quello che scrivo. Per prima cosa. Ricordati il nome del file per esteso (e prendine nota) ora cerca di vedere se quel file apre una finestra internet (con relativa URL) e prendi nota anche della url. Ora che hai questi dati riavvia il pc in modalità provvisoria A questo punto apri regedit e cerca il file in questione ,e anche la url (sena WWW) elimina tutte le spunte relative a quel file nel registro di sistema A questo punto appena finito di eliminare il tutto Elimina il dato fisico dal sistema appena puoi Aggiorna il tuo browser alla versione 7 di IE o usa Firefox Azz mi ero scordato della parte del regedit... vabbè, alle 4 di notte non connetto... E megaquotone per firefox -------------------- Fiero possessore di:
NES CON PIU' DI 50 GIOCHI PAL: » Clicca per leggere lo Spoiler! « SNES CON 40 GIOCHI:» Clicca per leggere lo Spoiler! « Nintendo DS Lite tricolore (bianco-nero-grigio) + SuperCard DS ONE SDHC 8GB |
|
|
Sunday 1 April 2007 - 13:15
Messaggio
#7
|
|
Expert GBA/NDS Gruppo: Membri Messaggi: 1.434 Iscritto il: Thu 7 October 2004 - 12:26 Da: Modena Utente Nr.: 2.114 Feedback: 1 (100%) |
@dexther
Proverò a fare quanto hai indicato, anche se avevo già fatto diversi cipollamenti in modalità provvisoria. edit: il file non apre nessun url purtroppo, bensì a quanto pare crea dal nulla un punto di accesso remoto chiamato "internet". Ad un certo punto, più o meno casuale, il troian/dialer cerca di abbattere la tua connessione corrente e farne partire una verso degli 899 che variano randomicamente (ne ho visti almeno 3 diversi). Per fortuna, come dicevo, ho installato antidialer e kaspersky (fino alla fine del periodo di prova almeno) che intercettano immediatamente il tentativo di chiamata. Sulla formattazione preferirei non farlo :-) anche perchè dovrei reinstallare TUTTO... argh... siccome ho win2000 (che ritengo il miglior SO di casa microzozz... ebbella forza, non è tutta farina del suo sacco...) erano 4 anni che non avevo alcun problema di questo tipo... Vi tengo aggiornati, anche perchè 'sto dialer è più bastar%o di quanto credessi. @enrsil1983 avevo già dato un'occhiata sui controlli ActiveX ed era tutto a posto maledizione :-( -------------------- |
|
|
Versione Lo-Fi | Oggi è il: Mon 29 April 2024- 07:41 |