PDA

Visualizza versione completa : troj/dropper EB alias adclicker il virus che si firma


prandot
06-02-2006, 11.43.34
Vi racconto la mia esperienza, sperando possa essere utile ad altri.
Ricevo un messaggio di posta da un collega, insieme ad altri simili, che invita ad aprire l' allegato con il "giochino del momento"e fin qui niente di strano e uno potrebbe fermarsi, ma la cosa che mi ha tratto in inganno stata la firma del collega in fondo al documento e l' invito di trasmettere il giochino ai "colleghi".
Comunque non fidandomi del tutto ho salvato l' allegato sul disco rigido e gli ho fatto una scansione con il NAV 2006 che mi d il via libera...
Da l sono iniziati i miei problemi. Appena aperto mi si capovolto il desktop e tutte le finestre, senonch intervenuto l' antispyware della microsoft che mi ha avvisato delle modifiche del registro e ha inoltre bloccato un BHO (browser helper object) e il Norton mi blocca a questo punto il responsabile (joke.flipped)
Pensavo che l fosse tutto finito (ho fatto una scansione con il Norton risultata Ok) ed invece dopo 10 giorni mi cade la connessione internet per merito del programma stopdialer che ha bloccato il dialer ssaver, il quale tentava di collegarsi a un numero che cominciava con 809...
Qui mi vengono i dubbi che in effetti non tutto sia a posto e riapro il Norton e noto che la definizione dei virus ferma a 10 gg prima, da allora non si pi aggiornato (bloccato dal virus).
Approfondendo la cosa riesco a determinare la causa dei miei problemi che il trojan del titolo, trovato grazie a riferimenti sul sito della Sophos.
Il norton aggiornato finalmente lo scopre per non riesce ad eliminarlo del tutto, mi elimina solo il file kaboom.dll, mentre rimangono diverse voci del registro e nella cartella System Volume information (sottocartelle restore)che devo eliminare manualmente.
Commento finale:
sono stato un pollo ad aprire l' allegato, ma l' email era veramente ingannevole
l' aggiornamento automatico del Norton impotente contro minacce recenti
Il Norton non permette una pulizia radicale, lasciando vari residui del virus potenzialmente pericolosi

Lionsquid
06-02-2006, 11.59.01
Originariamente inviato da prandot
...cut...
Commento finale:
sono stato un pollo ad aprire l' allegato, ma l' email era veramente ingannevole
l' aggiornamento automatico del Norton impotente contro minacce recenti
Il Norton non permette una pulizia radicale, lasciando vari residui del virus potenzialmente pericolosi

1) beh.. pollo forse no, ma fai affidamento ad un AV notoriamente in ritardo sugli aggiornamenti, anche io apro gli allegati che puzzano di virus lontano 1 miglio, so che sono infetti prima ancora di sottoporli all'AV e se l'AV dice che tutto ok, spedisco il file sui vari siti per le scansioni online dove uno o l'altro smascherano il trojan di turno...e finora non mi sono mai infettato

2) Il NAV il pi lento AV all'aggiornamento.. io aggiorno MANUALMENTE qualsiasi AV su qualsiasi pc prima di fare un qualsiasi download!!!

3) cambia AV!!!!!