PDA

Visualizza versione completa : che cavolo è questo????


blackfate
24-09-2001, 20.54.30
MI è arrivato un file che si chiama cscript.exe in mail.
Pensavo fosse un virus, ma inoculateit mi dice che è pulito.... io cmq non lo apro, visto che mi è arrivato da una persona che non conosco, l'indirizzo della quale era nascosto da un'altro indirizzo. (il primo lo vedo in outlook, il secondo nel servizio di notifica di arrivo di una mail sul cellulare)
Se vado su "proprietà del programma" windows mi dà questi dati:
Versione: 5.0.531.7
Nome del prodotto: Microsoft Windows Scripting Host
Produttore: microsoft
nome: CScript
ecc....

Se qualcuno che se ne intende lo volesse "analizzare" sarei disposto a spedirglielo..... che cavolo sarà mai!!!!!

carodani
25-09-2001, 13.58.27
scusa la risposta banale ma: chi te lo manda?? chiedi a lui cosa sia!

blackfate
25-09-2001, 20.19.28
Altre ipotesi.....?:rolleyes: :rolleyes: :rolleyes:
Credi non abbia spedito una mail per chiedere chiarimenti?.... bè, puoi immaginare con che solerzia ha risposto il mittente se sono qui a chiedere che diamine è sto cscript.......:o
Skerzi a parte, non sarà mica un trojan o un programma di backdoor???? Non l'ha mai visto nessuno???:eek: :eek:

blackfate
25-09-2001, 20.57.38
Sul sito di Microsoft italia ho trovato questa roba:
:confused:
Informazioni su Windows Script Host
Microsoft® Windows® Script Host è un host per la creazione di script indipendente dal linguaggio specifico per moduli di gestione di script ActiveX®. Nella piattafroma Windows a 32 bit implementa funzioni di script semplici, ma potenti e flessibili, consentendo di eseguire script sia dal desktop di Windows che dal prompt dei comandi.

Windows Script Host è ideale per operazioni script non interattive, ad esempio script per l'accesso o per attività amministrative e di automazione.

Vantaggi di Windows Script Host
Windows Script Host offre i seguenti vantaggi:

Sono disponibili due file eseguibili distinti, WScript.exe e CScript.exe, per l'esecuzione di script in Windows o dal prompt dei comandi. WScript.exe offre una pagina delle proprietà Windows per l'impostazione delle proprietà di script, mentre CScript.exe offre parametri della riga di comando.:confused:


Ora La DOMANDA E': PERCHE' DIAMINE UNO SCONOSCIUTO DOVREBBE AVERMI MANDATO STA ROBA?

Inoltre ho cercato di vedere se nel mio SO ci fosse già tale file, e in effetti c'era, incluso in windows... solo che quello che è stato installato con windows ha un "peso" di 88kb, mentre quello che mi è arrivato "pesa" 120Kb..... che sia stato modificato? e a che pro?

Vitoz
25-09-2001, 21.14.09
blackfate, scommettiamo un deca che la porcata che ti e' arrivata e' il W32/Magistr, o roba simile, il quale si appende random ad un file della c\windows, aumentandolo appunto di dimensioni, prima di sparacchiarlo in giro tramite la rubrica di Outlook ?

buttalo via ;)

o se ti va, lo zippi CON CAUTELA, e me lo mandi all' indirizzo che, se sei dell' idea, ti faro' avere con un msg privato ;)

p.s: il cscript E' appunto di 88k, non di 120

blackfate
25-09-2001, 23.31.13
se sei così gentile, te lo farei vedere, anche perchè, se è il Magistr, come mai l'antivirus non me l'ha beccato? Cmq non vorrei dare disturbo: a cestinarlo e disintegrarlo ci metto un attimo....:D

Vitoz
25-09-2001, 23.34.37
hai un pvt ;)

blackfate
26-09-2001, 21.11.34
Te l'ho spedito... credo... è successa un pò di bagarre con troppe finestre aperte in outlook:D :D :D ... dammi conferma... grazie ancora.:)

Vitoz
26-09-2001, 23.22.10
arrivato :)

pero' la cosa diventa curiosa: non viene riconosciuto come virus :eek:

eppure avrebbe tutti i crismi per esserlo (modalita' in cui ti e' arrivato, dimensioni particolari, e cosi' via)

rimangono diverse possibilita': o e' un giocattolo nuovo, e quindi non ancora in grado in grado di essere riconosciuto da due antivirus diversi (Inoculate e McAfee), o e' un file davvero pulito (ma allora perche' ti e' arrivato ?), o al limite un file distruttivo creato ad hoc, magari in grado di fare un bel format c:, e abilmente mascherato (questi affari "fatti in casa" non vengono di norma riconosciuti dagli antivirus, perche' spesso sono esemplari unici; questa cmq mi pare l' ipotesi piu' azzardata)

oppure chi lo ha spedito ha sbagliato indirizzo, e intendeva davvero mandare quel file "sano" ad un altro

il file si riferisce alla versione che dici tu, che e' evidentemente meno recente rispetto a quella che abbiamo entrambi, che e', almeno nel mio caso, la 5.1.0.4615: questo potrebbe spiegare le dimensioni differenti, ma non spiega il mistero

boh... ovviamente non lo mando in esecuzione, me lo tengo ed eventualmente ti faccio sapere in caso di identificazione con futuri aggiornamenti dell' antivirus ;)

caso davvero curioso... :p

blackfate
27-09-2001, 20.51.19
Grazie vulcaniano!!!! fa piacere che c'è gente disponibile al mondo.... a buon rendere.:) :) :) :)

Vitoz
27-09-2001, 21.54.46
ti ringrazio :):)

sono un "appassionato" di virus, quindi e' un piacere :D

Oberdan
27-09-2001, 23.32.55
Saresti così gentile da inviarmi quel file?
Vorrei dargli un'occhiata anch'io. Grazie. ;)

Vitoz
28-09-2001, 00.00.26
certo Oberdan :)

mi mandi un pvt con la tua mail ? ;)

Oberdan
28-09-2001, 15.01.56
Confermo in pieno l'analisi di Vitoz!
Ho dato in pasto il file sospetto ad AVP, con le opzioni di "analisi euristica" e "redundant scan" attive: pulito e innocente. ;)
Ho poi mandato in esecuzione il file, su di un sistema di prova, ed è semplicemente quello che dice di essere: il Windows Script Host! :)
Per sapere perché te lo abbiano inviato in attach bisognerebbe interrogare la magica sfera di cristallo; ma non sono attrezzato... :D :) :D

blackfate
28-09-2001, 18.46.40
In effetti una mail che ha tutte le caratteristiche tipiche di un veicolo per virus e trojan, che cavolo porta in giro files innocenti???..... magari era solo qualcuno che stava facendo le "prove generali"..... Ma non hanno altro da fare!!!!!:mad: :mad: :mad: