PDA

Visualizza versione completa : Ragazzi aiuto...trojan...penso....


halebop4
06-02-2001, 21.31.21
L'aiuto non è direttamente per me ma per una mia carissima amica che qualche stronzo ha preso di mira tramite ICQ lei è nuova alla navigazione su internet e si fida troppo degli altri...lui l'ha invitata prima a visitare il suo sito e poi a guardare un programma da un'altra parte lei lo ha scaricato ed eseguito (lo so è così ingenua ha un carattere d'oro e si fida della gente....) il programma non ha mostrato niente in realtà sembra che non ha fatto niente ma in realtà direi che qualcosina ha piazzato sul suo PC...10 minuti fa mi ha chiamato allarmatissima perchè lui stava bloccando la sua scrittura su ICQ e stava aprendo le foto che ha sul PC (un bello stronzo direi)...io abito vicino a casa sua e se volete altri dettagli potete contattarmi...cosa dovrei fare...che programma mi devo scaricare per verificare cosa ha messo nel suo PC? Cosa deve fare una volta tolto il Trojan? Cambiare ICQ o semplicemente fidarsi di meno della gente che incontra in rete?? Datemi(le) una mano perchè queste sono le cose che veramente fanno girare le palle probabilmente non è neanche un abile Hacker visto che ha dovuto ingannarla per farle installare il Trojan ho anche il suo numero di ICQ...

Ciao a tutti!!!

The Master
06-02-2001, 21.43.26
Ti consiglio di scaricarti The Cleaner. E' una specie di antivirus specializzato nella ricerca dei trojan. http://www.moosoft.com
Fai una scanzione e .... a questo punto non lo so perchè trojan non ne ho mai beccati. O almeno suppongo, dato che tengo the cleaner aggiornato e che tanti dicono sia così buono.

halebop4
06-02-2001, 22.25.31
Grazie, provvedo subito...poi CLEANER riesce a proteggere da questo genere di attacchi? Devo installarle un firewall? Ma porca puttana! Ce n'e' di gente stronza in giro!!!

Grazie ancora, se qualcun altro sa come devo comportarmi dopo sarò felicissimo di ascoltarlo!

Spero tanto che trovi qualcosa....

Ciao Master!!

Antares
07-02-2001, 02.34.47
Certo che devi installare il firewall, è diventata una cosa indispensabile se si vuole navigare.

Cmq furbo l'amico ma fessa la tipa, gli da un bel trojan così su icq ha il suo ip e fa quel che gli pare. :rolleyes:

halebop4
07-02-2001, 18.24.27
Spezzo una lancia a favore della mia amica, sono 2 mesi che accede a Internet, non sa cos'e' un TROJAN pensava fosse impazzito il PC (tipo HAL9000) non è fessa, è disinformata d'altronde non tutti sanno che qua fuori c'e' un mondo selvaggio dove non esistono regole!!! La verità è questa...un bel firewall? Sono programmi pesanti? Ha un PC che non è proprio un fulmine di guerra!

Ciao vi faccio sapere di cosa si tratta se riesco a scovarlo!!!!!

Bye!

\GURU/
07-02-2001, 18.46.51
Ciao mi dispiace per la tua amica ma capita spesso ai novati;)
Comunque le precauzioni sono di non aprire mai dei file .exe inviati da sconosciuti, e se lo devi proprio fare fai prima una scanzione con un antivirus come il Norton che secondo me e il migliore, non dare mai l'indirizzo di posta ad sconosciuti anzi magari direi di farglelo cambiare subito perche sicuramente lo avrà preso, cambiare le password ecc............. se non vuoi che gli dia piu fastidio penso che devi fare proprio cosi...
Secondo me si tratta di un trojan chiamato BackOreffice si tratta di un piccolo programma client e server praticamente se e bravo puo fare quello che vuole con il computer della tua amica ... spero di essere stato d'aiuto :)
ciao

halebop4
07-02-2001, 19.43.35
Beh! Le riferirò i tuoi consigli (non che non l'avessi già avvertita!!) Comunque, credo anch'io che sia decisamente il caso di cambiare le password di posta e di ICQ...una domanda, dopo cena vado da lei con 'THE CLEANER', ho fatto una scansioncina anch'io già che c'ero, una volta individuato il TROJAN cosa fa si limita a chiudere la porta IP con cui il BASTARDO sta comunicando oppure elimina del tutto il TROJAN dal sistema? Se si limita a chiudere la porta IP io non starei molto tranquillo non è che cci voglia poi tanto a trovarne un'altra visto che lei usa pareccio ICQ...se fosse capitato a me farei un bel FORMATTONE...decisamente!!

Grazie...ripeto se lo trovo ve lo faccio vedere!!!
:D:D:D:D

CIAO!!

pablo
07-02-2001, 20.11.20
The cleaner (il nome lo suggerisce) ti consente di eliminare il trojan; una volta pulito il disco potete stare tranquilli (rispetto ai trojan, naturalmente).
Volendo potresti anche evitare di installare un firewall: come un qualsiasi antivirus, fate fare periodicamente uno scan del disco all'antitrojan e non dovreste più avere problemi.
:)

halebop4
08-02-2001, 15.10.37
Ebbene si installo the cleaner faccio partire il nonmiricordocosa active e subito mi becca il trojan anzi i trojan!!! Per la precisione si tratta di MTX e di SUB SEVEN il primo il DB di THE CLEANER lo identifica come internet worm e cioè??

Ok una volta identificati gli ho detto di toglierli subito ma il Pc della mia amica aveva bisogno di RAM come di ossigeno così non li ho tolti subito ed ho chiuso tutte le applicazioni in background (una quindicina!!!) ed ho fatto partire una scansione delle unità locali...di nuovo confermata la presenza delle 2 robacce! Vado a vedere i dettagli...SUB SEVEN è arrivato con un file chiamato AMICOWEB.EXE :D:D:D:D bell'amico comunque...mentre per MTX la faccenda sembrava più complessa come files interessati mi dava IE_PACK, WIN32.DLL e MTX_.EXE...a questo punto gli ho detto di rimuovere tutto...per SUBSEVEN nessun problema per MTX decisamente si!

The Cleaner indicava in file MTX in uso e windows non mi permetteva di toglierlo, cleaner suggeriva di riavviare windows e di ripetere la scansione...vaaaa beeeeneee...riavvio....scansione....nessuno traccia di SUBSEVEN....e riecco MTX...rimuovi...NIENTE!!!! Stesso discorso di prima, al che mi girano le palle, me lo vedo li davanti dentro la cartella C:\WINDOWS...riavvio in modalità MS-DOS e lo estirpo!!!!!!!!!!!!!!

Ok facciamo ripartire windows (ammesso che riparta :)) e invece riparte...scansione...NOOOOO!! MTX è ancora lì ma questa volta con riesco a eliminarlo...almeno per al momento infatti è di venti minuti fa la telefonata della mia amica che con voce laconica annuncia: "E' ANCORA LI'"!!

Stasera gli distruggo il PC!! Dove ho sbagliato forse nella rimozione forzata da dos di MTX_.EXE?? Insomma "THE CLEANER" lo toglie, se rilancio una SCANSIONE dalla stessa sessione di WINDOWS sembra che non ci sia ma al riavvio è di nuovo lì...questa è più o meno la situazione è ovvio che qualcosa all'avvio parte! Si tratta di qualche voce sul registro????

CHI SA PARLI! CHI NON SA PARLI LO STESSO!!!

CIAOOOOOOO!

halebop4
08-02-2001, 15.14.38
Ho scritto in fretta e male...scusate...il file MTX_.EXE non c'e' più sul sistema ma THE CLEANER continua a segnalare la presenza del TROJAN!!

Il succo è questo...c@@zo che post lungo prima...

\GURU/
08-02-2001, 15.29.55
Il file incriminato è sempre nella stessa cartella???
Prova ad utilizzare il Norton antivirus eliminano anche i trojans backoreffice,netbus,ecc...

pablo
08-02-2001, 15.38.57
Mi sembra strano che The Cleaner non riesca a debellare mtx; prova a utilizzare anche tauscan http://www.agnitum.com/products/tauscan/
(...lo so, due antitrojan è un po' eccessivo, ma almeno uno così non dovrebbe avere più problemi).
Facci sapere.
:)

Antares
08-02-2001, 16.11.07
Per prima cosa vai nel registro e controlla tutte le varie chiavi run che ci sono sotto questo percorso:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion

Una volta lì troverai i trojan, quindi cancellali.
Riavvi windows e fai di nuovo la scansione con The Cleaner e con l'antivirus: ora non saranno più in esecuzione per cui potrai cancellarli per sempre. ;)

Fammi sapere.

halebop4
08-02-2001, 16.48.30
Il file incriminato non è più nella sua cartella (C:\WINDOWS) l'ho stroncato da DOS con un bel DEL C:\WINDOWS\MTX_.EXE quindi temo di aver compromesso un po la situazione (cmq ne ho una copia in vitro e se è necessario lo rimetto al suo posto)...nonostante tutto quando faccio lo scan con il CLEANER il TROJAN viene segnalato su MTX_.EXE, WIN32.DLL e su IE_PACK.EXE(?) è per questo che ho pensato al registro di sistema!! Ma nel registro lo dovrei trovare come MTX_.EXE?? Sarebbe troppo facile!! Un altro programma antivirus? Visto che CLEANER lo trovo e si dice in grado di toglierlo non dovrebbe aiutarmi comunque vale la pena tentare...

C'è qualcuno che conosce questi TROJAN sono comuni o rari il tipo che li ha messi è in gamba? O ci è riuscito solo con l'inganno? E cos'e' un INTERNET WORMS??

Stasera mi spulcio il registro e poi vi faccio sapere

CIAO, GRAZIE!

\GURU/
08-02-2001, 17.30.16
Allora i worms sono dei virus "vermi" che stanno nascosti e programmati in anticipo... non penso che siano rari inquanto creare dei virus e bastante difficile anzi e un'arte;) non delle piu belle ma....
Ma con il Norton ai fatto una passatina???? guarda che è anche un Antitrojans e quelli piu comuni li beccha al 100% e li elimina direttamente.
Farò una ricerca per scovare un programma specifico :)

\GURU/
08-02-2001, 17.57.20
Che cos'è un TROJAN ?
E' un programma, che ricade nella nomenclatura VIRUS solo per i grandi danni che può arrecare, composto da 2 pezzi: un Client ed un Server. Il Server è un eseguibile che una volta lanciato sul vostro computer, si installerà, si nasconderà ed aprirà un passaggio segreto per permettere di fare qualsiasi cosa sul vostro computer, utilizzando il Client (elemento complementare) via Internet.
Scenario tipico: qualcuno vi invia uno giochino, uno screen-saver, una mail particolare…. Voi la aprite ed apparentemente è tutto OK, ma in realtà dentro al programma che vi hanno mandato c'è anche il virus che si installa (trojan viene dal cavallo di troia!). A questo punto, chiunque sia dotato di un Client del virus in oggetto può entrare nel vostro computer, quando siete connessi in Rete.

Cosa può fare ?
Di tutto: copiare tutti i dati, cancellarvi tutti i dati, aprirvi il cassettino del CD-ROM, mandarvi messaggi, se avete un microfono sentire quello che dite, se avete una telecamera accesa può guardarvi in faccia….. e così via con la fantasia! Non sono sciocchezze! E' esattamente quello che possono fare BackOrifice e NetBus. Si, per fortuna, sono questi i trojan che permottono un simile controllo remoto. E da un mese circa, c'è anche il BACKDOOR-G.

Fai il dawnload di questo ftp://ftp.checkbo.com/ puoi scaricare il manuale in ITA ;)

halebop4
08-02-2001, 18.22.30
Grazie per le delucidazione sugli WORMS (i trojan so cosa sono) comunque nel frattempo mi sono documentato sul sito symantec ed ho visto le caratteristiche di MTX...un po VERME, un po TROJAN e un po VIRUS...tanto che la sua riparazione manuale, illustrata in maniera esemplare sul sito è abbastanza lunga e complicata....l'MTX si attacca a vari file di sistema e spesso neanche gli Antitrojan e gli Antivirus riescono a ripristinarli per cui è necessario ripescarli dai CAB di windows :(:(:(

Symantec fornisce poi un tool specifico per questo virus o che cazchio è!! L'ho scaricato...si lancia dal buon DOS...come fare senza in questi casi?? E stasera lo provo magari rimettendo nel sistema anche il fatidico MTX_.EXE...speriamo bene!

Ho scoperto inoltre che mentre SUB SEVEN era il TROJAN che la mia amica si è installata da sola...MTX era già lì da prima...tale virus arriva in vari allegati di posta fra cui CANZONE_METALLICA.MP3.PIF (o qualcosa del genere) sul PC della tipa è presente tale file, arrivato per posta un mesetto fa...FIGO IL SITO DELLA SYMANTEC...ci sono un sacco di informazioni utili...peccato che i loro programmi siano così invasivi e pesanti (è un mio parere)!

Comunque CHECKBO dovrebbe trovare BackOrifice se non sbaglio e a questo punto MTX è più VIRUS che TROJAN date un'occhiata

http://service1.symantec.com/sarc/sarc.nsf/html/W95.MTX.html

CIAO

halebop4
08-02-2001, 18.27.04
Rettifico CheckBO è una specie di Firewall e da come è presentato sul manuale direi che è "carino" ma perchè adesso ogni applicazione client-server mi sa di TROJAN!!!!

Mi sta prendendo la paranoia! Grazie \GURU/ :)!!

CIAO!

pablo
08-02-2001, 20.33.05
Scusa, non me ne sono accorto prima... :(
MTX è più propriamente un virus, non trojan: the cleaner probabilmente lo segnala come trojan perchè, tra l'altro, ha il simpatico vizio di autoconnettersi al proprio server per aggiornarsi!

Ma c'è un ma!
Teoricamente non potresti collegarti al sito della symantec, perchè mtx lo impedisce...forse sei già a buon punto!
Se invece ti sei collegato a Symantec semplicemente con un altro computer (probabile), ti posso solo dire questo: dove lavora la mia fidanzata dicono di averlo debellato installando il norton antivirus...

halebop4
08-02-2001, 21.01.46
La mia amica ha una versione un po' vecchia di Norton non so se è possibile aggiornare il database dei virus...le mie ricerche le ho fatte da altri PC soprattutto dal mio...e dicevo appunto che ho trovato, un tool specifico della symantec ma anche li non garantiscono in quanto il virus corrompe diversi file di sistema e pertanto andrebbero ripristinati a mano...un lavoraccio insomma!

Insomma sono andato lì per togliere il TROJAN che quel deficente le ha mandato e questo, grazie al vostro aiuto è stato fatto, ma mi è venuto fuori quest'altra cosa che sinceramente non credo sia affatto facile toglierla...ripeto fosse il mio PC avrei già spianato tutto...fra un po' vado a provare il TOOL di symantec o la va o la spacca!

Quello che ancora non ho capito è cosa fa MTX a parte autospedirsi?? Blocca il PC? Corrompe dati? O sta solo lì e si spedisce in giro????

CIAO vi faccio sapere!

pablo
09-02-2001, 08.49.02
Dunque, da quello che ho capito mtx funziona più o meno così: modifica il file wininit.ini, in modo da potersi sostituire a wsock.dll e quindi monitorare le connessioni.
Poi controlla se ci sono antivirus installati: se ve ne sono non fa niente, altrimenti si sostituisce a win32.dll.
Infine installa un proprio componente, mtx_.exe, che è la parte "trojan" del virus, che ogni volta che c'è una connessione si collega al proprio server per scaricare i componenti necessari per corrompere alcuni eseguibili presenti soprattutto in c\windows: più passa il tempo, più il sistema diviene corrotto (fino al blocco totale, credo, ma di questo non sono sicuro).
A ciò si aggiunga la capacità di autoinviarsi con un e-mail tutte le volte che l'utente ne invia una, allo stesso destinatario.

Ritengo che il virus la tua amica lo abbia contratto proprio in questo modo, ovvero aprendo l'allegato di un' e-mail senza testo: dubito che il virus sia stato mandato intenzionalmente (al contrario dell'altro trojan già rimosso).

Ti posto un link dove viene descritta un'ulteriore procedura per rimuovere il virus, da parte di un altro antivirus:mi sembra sia più semplice rispetto a quanto previsto da symantec:
http://www.commandcom.com/virus/mtxremoval.cfm

Tieni conto che ormai sei arrivato ad un bivio: o formatti, o applichi con successo una di queste procedure.
Non c'è molto altro da fare... :(

halebop4
09-02-2001, 10.06.49
Allora...ho deciso ieri di utilizzare FIXMTX il tool di Symantec specifico per questo virus. Sulla pagina del download, Symantec avvertiva che per alcuni file sarebbe stato necessario un loro ripristino dai CAB originali di Windows. Così visto che ormai ero al famoso Bivio di Pablo mi sono detto: o la va o la spacca! Armato di documentazione della Symantec, CD di Windows, disco di avvio di Win98 e FIXMTX! Una volta lanciato, il Tool symantec ha iniziato a individuare e correggere i file corrotti (non immaginate quanti!) dopo un paio di giri con questo tool rimanevano fuori tre file che il tool non riusciva a sistemare: Explorer.exe, Wsock32.dll e rundll32.exe era il momento di riavviare...mi sono attappato le orecchie perchè mi aspettavo il botto! E infatti il botto c'e' stato Explorer.exe era danneggiato e non era più in grado di partire...avvio con dischetto di WIN98, ed estrazione dal relativo CAB di una versione fresca fresca di Explorer...e già che c'ero anche degli altri 2 file che FIXMTX non è riuscito a disinfettare...riavvio! Parte...e già sono abbastanza contento...scansione con FIXMTX....tutto OK....scansione con THE CLEANER...tutto OK....direi che ce l'ho fatta...voi che dite?? L'unico dubbio che mi rimane è una cosa che ho fatto sul registro: ho ricercato la parola MTX all'interno del registro ed ho trovato 3 voci che facevano riferimento ad una dll chiamata MTXJAVA.DLL, ho fatto una export del registro ed ho cancellato le tre stringhe interessate...però poi il dubbio mi è venuto e rileggendo la documentazione della Symantec ho scoperto che forse le stringhe in questione potrebbero essere legittimamente appartenenti a qualche programma o a windows stesso...
Qualcuno sa di cosa si tratta?? Cos'e' questa DLL?

Sono abbastanza soddisfatto, anche se il PC si è inchiodato all'arresto del sistema proprio quando stavo andando a casa :(:(:( (ma ad un successivo riavvio e arresto era tutto OK)
Ma per il resto direi che non c'e' traccia dei due virus...
:D:D:D

Grazie ancora per la collaborazione...se qualcuno vuole aiutarmi a capire cos'e' MTXJAVA.DLL io sono qui!!

CIAOOOOOOO