Isolata oggi la quarta variante del Trojan.Spambot. Ringrazio l’utente Matteo_GMG per la segnalazione.
Prevx1 identifica e rimuove anche questa quarta variante.
32 Responses
Isolata oggi la quarta variante del Trojan.Spambot. Ringrazio l’utente Matteo_GMG per la segnalazione.
Prevx1 identifica e rimuove anche questa quarta variante.
anche questa tutta italiana ! E continuano ad arrivarmi segnalazioni di persone che abboccano alla grande, anche persone che dovrebbero essere avvezze alla cosa.
Confermatemi però la cosa: l’infezione avviene SOLO se si lancia il remover_tool, giusto ? non ci sono exploit visitando il sito !?
Nessun exploit al momento 🙂
Ma un DoS contro l’host no? 🙂 🙂 :-).
Questi cambiano il file ogni giorno.
😀 😀 😀 bella idea 😀 😀
Secondo me pure a natale ne mettono uno nuovo 🙂 Stanno rompendo un po’ troppo comunque ed anche rischiando abbastanza.
Elenco domini
http://www.adwaredestroyer.biz
http://www.adwarezap.biz
http://www.adwarewipe.biz
http://www.cleanyourpc.biz
http://www.free-spyware-killer-software.biz
http://www.killmalaware.biz
http://www.mycleanpc.biz
http://www.notmorespyware.biz
http://www.personalspywareremover.biz
http://www.privacywall.biz
http://www.protectyourpc.biz
http://www.safemaster.biz
http://www.SpyProductKiller.biz
http://www.SpyStuffKiller.biz
http://www.TenKillerDirect.biz
http://www.watchwareassassin.biz
quakcuno non è attivo credo
STRANISSIMO:
il 2 dicembre ho scaricato alcuni campioni di questo removal_tool, quando ancora non veniva riconosciuto, ma mi sono guardato bene dal mandarlo in esecuzione. Oggi, all’accensione il mio antivirus (trend micro officescan) mi trova in W:System Volume Information_restore{…}RP114A0018580.exe il TROJ_AGENT.HDX.
(il download l’ho fatto con wget !)
Il programma non è installato ma sto exe….. da dove sbuca ? perché sta in _restore ? e su W:, il disco dove avevo salvato il file infetto ?
Francesco, non preoccuparti, se non l’hai eseguito, il file si trova sulla cartella “restore” di Windows perchè è finito nei file temporanei di internet explorer e probabilmente dopo aver creato un punto di ripristino ( manuale o automatico ) il file è stato spostato sulla cartella “restore”, credo che venga conservato anche il contenuto del cestino.
Per essere sicuro di non avere più copie dei virus su disco, la prossima volta ricordati di cancellare anche i punti di ripristino o disabilitare temporaneamente la suddetta funzione.
Il dubbio mi deriva proprio dal fatto di NON averlo scaricato da browser ! l’ho scaricato con wget su una macchina linux e poi copiato con scp sulla mia.
Non conosco XP e questa directory potrebbe essere quella del “cestino”…. ma perché gli avrebbe cambiato il nome in A00….exe ?
Nel cestino i files vengono rinominati, è normale
Altri domini
http://www.adwarestoper.com
http://www.nowimprotected.com
http://www.protect-corp.biz
http://www.spywareexecutioner.com
http://www.spywarekillersite.com
Non riesco a rimuovere la WEBDESK.DLL neppure utilizzando l’apposito tool di NOD32, o altri antivirus tipo Kaspersky che pur riconoscono il trojan. Che debbo fare. Va rimossa quasta dll oppure si può lasciare in giro?
Grazie
Provato con Prevx1? Altrimenti si può anche agire manualmente
Ciao ragazzi….
quando si annuncia l’uscita di una nuova variante , credo che la minima cosa sia quella di dire di che si tratta … è fin troppo facile dire:
“Isolata oggi la quarta variante del Trojan.Spambot. Ringrazio l’utente Matteo_GMG per la segnalazione”
Chi lo ha stabilito che è una nuova variante spambot ?
Qual’è la differenza tra la terza e la quarta variante ?
Quali modifiche sono state apportate a questa variante?
etc…etc….
Solitamente quando una variante é differente dalla prima, dalla seconda e dalla terza io la definisco nuova variante 😉
Detto questo, ma perché vi ponete sempre con stile critico? “la minima cosa” “é fin troppo facile” “chi lo ha stabilito”
Insomma, scusate, non ci si potrebbe rimanere male a leggere determinati commenti? 🙂 Anche perché un’analisi tecnica avanzata di questo trojan giá c’é, se non ho scritto molti altri dettagli evidentemente non c’é tutta questa grande differenza, giusto il minimo indispensabile per evitare di essere di nuovo riconosciuto dai software antivirus.
Se poi aggiungi che giusto ieri sono nate molte critiche perché avevo scritto un’analisi troppo dettagliata del trojan 😀
Ti scarichi il file è lo vedi.
le prime 2 erano compresse tramite upx,le ultime 2 con exe32pack.
“Qual’è la differenza tra la terza e la quarta variante ?”
MD5 e Sha1 e mi pare qualche byte nelle dimensioni.
Ciao
“Se poi aggiungi che giusto ieri sono nate molte critiche…………”
L’altro ieri,stai perdendo la cognizione del tempo,lollarone!!!!
…che, in effetti, é un particolare fondamentale eh 😀
direi VITALE!!!
E’ ancora + facile non dire niente,tanto l’importante è che io so la differenza,poi,che gli altri non lo sanno fatti loro,chi si accontenta gode……
va bene va bene, ok 😉
Sto rispondendo a Steven.
Bye
ah ma io il particolare mi riferivo al giorno, non all’MD5/SHA1 e quello che avevi detto tu sopra : In tal caso scusa, non avevo capito bene il riferimento. Il commento tuo iniziale della differenza tra terza e quarta variante era giusto 🙂 Sorry
anche io mi riferivo al giorno(Direi Vitale)
Poi ho risposto nuovamente a Steven
Ciao
Gianluca
Il motivo dello stile critico? perchè sei famoso, un punto di riferimento per molti, e quindi tanti “wannabe” puntano sul sezionare ciò che dici nel minimo dettaglio pur di coglierti in fallo… Guarda solo quello che è successo a Paolo Attivissimo con la questione “11 settembre”…
Ma qui non si parla di attentati,si parla di malware,il discorso è diverso,poi cosa gli è successo?posso solo immaginare.
Ciao
ciao,
la critica, da che mondo è mondo è sempre esistita , e aggiungo anche, che grazie a quest’ultima ,si migliora e si avanza nella vita ….
Chiusa questa piccola parentesi , vorrei aggiungere che noto con dispiacere, che c’è qualcuno che ancora non ha perso il difetto di essere presuntuoso, e spiego anche il perchè;
Non credo che tutti siano esperti e del “mestiere” per scaricarsi il file e analizzarlo, quindi mi sembra completamente fuori luogo come risposta quella data da te Lucas… ma non mi meraviglia piu di tanto….
@Marco: Le mie non erano critiche, ma piuttosto riflessioni, e ti assicuro che non sono stato l’unico a farle, ma se le trovi fuori luogo , basta non prenderle in considerazione…..
Ho già avuto modo di dirti che fai un lavoro straordinario in questo campo ,ed è forse proprio per quello che mi sono meravigliato della magra descrizione sull’argomento in questione….
Buon pomeriggio
Ciao Steven,
mi dispiace se te la sei presa a male. Ovviamente non voleva essere offensivo il mio commento. Solo che lo stile con cui avevi scritto quel post sembrava più da critica “distruttiva” che critica “costruttiva” 🙂 E’ che spesso, come avevo già detto in altro loco, non conta solo cosa si dice ma anche come lo si dice. Se in caso mi sono sbagliato, ovviamente, scusami…di mattina presto potrei aver benissimo equivocato 😉
Comunque, l’analisi tecnica è sostanzialmente è la stessa che avevo fatto giorni fa, come ti avevo scritto sopra. Sono cambiate alcune caratteristiche, praticamente che non toccano il funzionamento stesso del trojan ma che servono a rendere il malware irriconoscibile ai software antivirus che non utilizzano degli unpacker per exe32pack e basano le proprie signature sulla versione compressa del trojan.
Spero che così sia magari un po più chiaro e aiuti di piu la comprensione 🙂
Buon pomeriggio!
Marco 🙂
Quinta variante oggi… 😉
e si mo facciamo tombola…
Marco: ti ripeto ; la mia era solo una constatazione … tu cosa penseresti se domani mattina leggi su un forum :
nuova variante gromozon in circolazione…..grazie a caio per la seganalazione .
Sono Lucass no Lucas,una s cambia molto,la risposta che ti ho dato,l’ho data apposta perchè purtroppo so chi sei.
Ciao
L’italiano è un optional per te …quindi anche se non lo scrivi proprio il tuo nome, si capisce lo stesso chi sei….figurati se una “s” avrebbe potuto renderti irriconoscibile …
Si è un optional,sai quello che penso di te,non mi voglio ripetere.
Ciao