Condividi:        

Occhio al virus java

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Occhio al virus java

Postdi GAD » 04/11/06 17:46

Negli ultimi 2 mesi ho beccato un malware particolarmente difficile da eliminare e che nessun antivirus pare riuscire ancora ad identificare per via della sua struttura. A quanto pare dovrebbe essere una backdoor che serve ad un amministratore remoto per crearsi un'armata di zoombie da sfruttare per attaccare siti remoti, rubare vostre informazioni ecc..
Da quanto ho visto il malware viene scaricato automaticamente da parecchi siti contagiati se il client che naviga ha java abilitato (succede sia con ie che con firefox).
Il malware scarica in modo nascosto un file jar con nome che varia a caso nella cartella temporanea di java e poi lo lancia. Il programmino lanciato crea un utente amministratore sulla macchina locale (quindi da remoto il creatore della backdoor puo' accedere e fare quello che vuole col vostro pc).
Inoltre viene creato un servizio di sistema solitamente in c:\programmi\file comuni\system o c:\programmi\file comuni\services (visibile solo in strumenti di amministrazione->servizi) utilizzando appunto l'utente di comodo appena creato..ne consegue che accedendo col proprio utente si e' nell'impossibilità di arrestare il servizio per poi cancellare il file exe.
In pratica un circolo vizioso dove solo l'utente amministratore-remoto ha diritto di fermare e cancellare il servizio nocivo mentre windows sta girando.
Il nome del servizio e il nome del file exe che lancia varia in modo casuale quindi ci sono solo un paio di accorgimenti per vedere se il pc e' infetto:
1) controllare in c:\document and settings (ove sono visibili le cartelle utenti) se esiste una cartella col nome di un utente che non avete formato da caratteri casuali tipo "xvn6745tr4" ecc...
2) controllare in c:\programmi\file comuni\services e in c:\programmi\file comuni\system se avete una sfilza di file exe con nomi brevi (solitamente 3-4 lettere) di cui non potete cambiare attributi, eliminare, spostare ecc.. e tali file sono seminascosti (visibili solo attivando l'opzione cartella "visualizza file nascosti")
3) Cosa piu' importante: in pannello di controllo -> strumenti di amministrazione -> servizi scorrete la lista verso il basso controllando la colonna "Connessione".Se avete un servizio che viene avviato con un utente con nome differente dal vostro profilo, o da "sistema locale" "localsystem" allora siete infetti. NB: l'utente che troverete sarà lo stesso di cui potete trovare la cartella in c:|document adn settings.


Visto il circolo vizioso dei diritti utente e incancellabilità del servizio poiche' ancora attivo per l'altro utente nocivo non ci sono molte scappatoie per eliminare la cosa.
Su windows xp home l'unico modo e' utilizzare un cd di boot tipo bartpe, hirens boot cd ed andare ad eliminare il file incriminato. Poi riavviare ed andare ad eliminare i temporanei di java nella cartella c:\document and settings\nome_utente\dati applicazioni\sun\java\1.0\jar
e poi agire sui registri cercando il nome che era associato al servizio per eliminarne le chiavi.

Su windows xp professional invece si e' facilitati
1) andare nelle opzioni cartella e deselezionare "l'utilizzo della condivisione file semplice"
2) andare a vedere l'elenco dei servizi windows e individuare la cartella dove sta il processo malvagio
3) andare in quella cartella sul disco->proprietà->protezione->proprietario-> fate diventare proprietario della cartella e dei files il vostro utente selezionando la voce [x]sostituisci proprietario in sottocontenitori ed oggetti
4) una volta fatto potete eliminare tutti i file exe nocivi presenti (semmai riavviando in modalità provvisoria poiche' uno processo sarà sicuramente attivo al momento e non eliminabile)
5) eliminate da c:\document and settings la cartella del profilo farlocco che esisteva e accertatevi nel pannello di controllo utenti se ci sono altri utenti (con nomi generati casualmente )che non avete creato voi
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Sponsor
 

Postdi GAD » 04/11/06 17:49

PS: dopo aver pulito disabilitate il supporto java dal browser ed evitate di andare su certi siti.. mi sono accorto che il 90% dei siti da cui il malware si prende sono porno e vista la faticaccia di avere pc pulito non ne vale la pena!
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa

Postdi Luke57 » 04/11/06 17:52

Ciao, non è altri che il linkoptimizer e/o Gromozon che imperversa da diverso tempo su tutte le latitudini.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi GAD » 04/11/06 18:12

Non mi sono interessato piu' di tanto a linkoptimizer ma credo sia una versione piu' bastarda discesa da lui.
Avevo provato con un paio di tools professionali del caso, gli anti rootkit e i detector che nominalmente della sysinternals e di altri che erano fatti apposta ma nemmeno la roba professionale "nominalmente" per linkoptimizer lo segnalava quindi pensavo fosse una variante non ancora identificata.
Quando l'ultimo albero sarà abbattuto,l'ultimo pesce catturato,l'ultimo fiume avvelenato,
soltanto allora gli uomini si accorgeranno chei soldi non possono essere mangiati
GAD
Moderatore
 
Post: 2184
Iscritto il: 22/09/02 14:36
Località: Nebbiosa


Torna a Sicurezza e Privacy


Topic correlati a "Occhio al virus java":


Chi c’è in linea

Visitano il forum: Nessuno e 17 ospiti