Alcuni pensieri su Trojan.Spambot
Tanto perché ho poco sonno arretrato, mi metto pure a fare alcune riflessioni alle 2.50 di notte.
Recuperiamo le informazioni su quello che sappiamo del Trojan.Spambot - sperando di non fare errori grossolani dovuti al sonno.
Esistono al momento tre varianti di questo trojan, uscite nell’arco di quattro giorni - differiscono tra di loro principalmente per il packer utilizzato, upx e exe32pack. Removal_tool.exe una volta lanciato nel sistema, controlla che l’e-mail utilizzata nel pc non abbia nel dominio una di queste stringhe in elenco:
police.it
poliziadistato.it
polizia-penitenziaria.it
polstrada.it
poliziamunicipale.it
polmunicipalemartina.it
munipol.it
polizia.it
carabinieri.it
carabinieri-bellinzona.com
carabinieri.net
interno.it
uilinterno.it
mininterno.it
nsd.it
admi.it
concorsi.it
esteri.it
codacons.it
punto-informatico.it
clusit.it
criminologia.org
diritto.it
agcom.it
attivissimo.net
serviziinformazionesicurezza.gov.it
sisde.it
governo.it
palazzochigi.it
In altre parole controlla che il pc che sta attaccando non sia quello di un membro di una di queste società /enti/associazioni. In caso non lo è, installa nel sistema una dll, denominata Webdesk.dll, sotto C:\WINDOWS\SYSTEM32 e la registra come BHO (Browser Helper Object), cioè come componente aggiuntivo di Internet Explorer. Crea le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\(BD2E165D-1BC6-23AA-345B-1C234F173CBD)
HKEY_CLASSES_ROOT\WebDesk.webq\
HKEY_CLASSES_ROOT\WebDesk.webq.1\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\(BD2E165D-1BC6-23AA-345B-1C234F173CBD)
La dll tenta di scaricare dei file da uno di questi domini:
www.blackblues00.com
www.rockantistar.com
www.fantasywaves.com
www.blackskycorp.com
www.rosewinery.com
http://www.omegashippingcorp.com/s2.php
Facenti parte tutti di un unico server localizzato in Argentina all’indirizzo IP 200.73.174.199
Se, invece, il pc che sta per essere infettato risulta facente parte della “lista nera” - vedi il controllo di cui sopra - il removal_tool.exe agisce da “vero removal tool”, andando a rimuovere - se presenti - i seguenti file:
(I primi tre passandogli in esecuzione i parametri UNI o UNINSTALL)
C:\WINDOWS\
soundlib.exe
soundgui.exe
svchosts.exeC:\WINDOWS\SYSTEM32\
mouseges.dll
mousegex.dll
wbcfinder.dll
webmons.dll
webmon.dll
webquick.dll
webdes.dll
In entrambi i casi verrà visualizzata una messagebox, intitolata Virus Killer 5.1, che chiederà :
Avviare la scansione virus?
Se si clicca su Sì, il programma entra in sleep mode per un tempo di circa 5000ms, dopo di che restituirà uno di questi messaggi:
Non sono stati rilevati virus
o
Sono stati rimossi i seguenti virus: Evil mailer 1.0.87
Sono stati rimossi i seguenti virus: Evil mailer B
Sono stati rimossi i seguenti virus: Evil mailer C
Queste ultime tre a seconda della variante del trojan.
Risulta interessante altresì notare che le pagine web da dove viene scaricato il removal_tool.exe sono raggiungibili solo se abbiamo un IP italiano, altrimenti la connessione viene rifiutata.
Quello che risulta un pò strano è il come mai, per cancellare alcuni file, gli venga passato un parametro particolare. Come se chi avesse scritto uno di quei file avesse scritto anche questo removal tool poiché ne conosce le modalitá di “rimozione”.
Ho controllato nei nostri database e qualcosa di interessante ne potrebbe essere uscito fuori.
Webmon.dll (e di conseguenza penso anche le altre dll) é legato a soundlib.exe - probabilmente un worm, cosà come anche soundgui.exe é legato a webquick.dll. La cosa interessante, che fa da filo conduttore, é che fanno anche riferimento allo stesso server argentino.
Queste infezioni, tuttavia, sono giá conosciute dai primi di Novembre. Sembra, inoltre, che ci sia di mezzo - oltre al server argentino - anche un altro server peró questa volta interno alla comunitá europea. Vedremo eventualmente il da farsi.
Tutto questo casino per dire? 
Niente di che, giusto qualche informazione aggiuntiva e possibili spunti di riflessione su questa infezione (e per perdere giusto un paio d’ore di sonno visto che avevo iniziato a scrivere alle 2 e ho finito ora che sono le 4).
Continueró/emo a monitorare la situazione, garantendo gli interventi piú rapidi possibili in caso di nuove varianti del trojan.
Ringrazio tutti coloro che utilizzano Prevx o che leggono comunque con interesse il mio sito per la fiducia che mi/ci accordate.
Marco
*** UPDATE ***
Nuova variante, QUI
supermario
Dicembre 4th, 2006 at 09:09
“controlla che l’e-mail utilizzata nel pc non abbia nel dominio una di queste stringhe in elenco:”
Se, invece, il pc che sta per essere infettato risulta facente parte della “lista nera� - vedi il controllo di cui sopra - il removal_tool.exe agisce da “vero removal tool�, andando a rimuovere - se presenti - i seguenti file:
Quindi se uno si crea un account e-mail finto nel proprio mailreader, può ingannare il virus. Ad esempio uno che è infettato potrebbe creare un account tipo supermario@polizia.it e rieseguire il virus. Oppure il virus si accorge che è uno stratagemma? Sarebbe interessante fare una prova, se funziona il virus sarebbe l’antidoto di se stesso.
maverick
Dicembre 4th, 2006 at 10:05
“essendo stato per tre volte Prevx il primo a individuare e rimuovere tutte e tre le varianti del trojan in un lasso di tempo particolarmente ristretto”. Mo non te la tirare pero’
Marco
Dicembre 4th, 2006 at 10:11
un commento che si poteva evitare no?
D’altronde non mi sembra che sia stato mai detto da qualche parte eccetto qui 
mi sembrerebbe altresà stupido non dire niente a favore di Prevx in queso caso 
maverick
Dicembre 4th, 2006 at 10:18
Vabbe’ sei perdonato
. Comunque visto che si tratta di un’infezione solo italiana non credo sia stato troppo difficile.Speriamo di essere i primi (noi italiani) anche quando si tratta di minacce globali 
. Sarebbe molto gratificante
Marco
Dicembre 4th, 2006 at 10:21
hehehe
anzi, per quanto riguarda minacce globali la cosa é molto piú semplice, ci sono molti piú occhi a monitorare la situazione
maverick
Dicembre 4th, 2006 at 10:22
Appunto. Essere i primi in quel caso è piu’ difficile.
Marco
Dicembre 4th, 2006 at 10:28
alla fin fine poi l’importante non é il ricercatore che arriva primo, é che ci si arrivi prima che faccia troppi danni
Visto il numero di teste che sono dietro i malware…loro collaborano tanto bene 
maverick
Dicembre 4th, 2006 at 10:37
Ovvio ma qui si parlva di “prestigio” personale. Comunque anche quelli che combattono contro questa spazzatura collaborano .Quelli delle societa’ di antivirus non credo visto la giusta concorrenza. Quello che mi riesce difficile capire è quanto possa rendere un adware.Mentre è chiara la motivazione dei virus per dos e per rubare dati sensibili non riesco a quantificare la mole di denaro che si puo’ ottenere con un bho adware.
Marco
Dicembre 4th, 2006 at 10:46
Comunque, a puro scopo informativo, ho rimosso quella parte che hai citato prima. In effetti non voleva essere una sorta di “elevazione personale”
Evidentemente non avevo riflettuto bene, vista l’ora tarda, alle possibili “ripercussioni” dell’affermazione, cioé che avrebbe potuto dare adito a fraintendimenti 
maverick
Dicembre 4th, 2006 at 10:55
Comunque se hai info su quanto si possa guadagnare con questa immondizia e ne vale la pena quasi quasi passo dall’altra parte della barricata… tanto non mi sei neppure troppo simpatico
Scherzo
Alessandro Recchia
Dicembre 4th, 2006 at 10:59
Ma non si potrebbe killare con il kill bit 400 i relativi CLSID del malware?
Adesso faccio qualche prova.
haa ummm
Dicembre 4th, 2006 at 11:42
semplicemente grazie!
enrico
Dicembre 4th, 2006 at 13:06
Grazie! Ho letto del tentativo del coso di installare file prelevandoli da altri siti e della lista di domini presenti al suo interno che gli dice di agire in maniera diversa.
Ma la domanda e’: quale e’ il fine ultimo oltre all’allarmismo diffuso (che e’ di per se’ un bel successo per chi scrive questi cosi)? Scaricare file che fanno cosa?
Non capisco inoltre una cosa: la lista dei domini che “prende dalla posta” si basa sulle impostazioni solo di outlook o di altri client mail? Ovvero, non avendo la posta configurata su outlook (usando ad esempio solo Eudora) come si comporta quest’affare?
P.S. Sono le classiche domande che ti farebbero al TG, e’ solo per far capire che grado di curiosita’ c’e’ nei media su queste cose.
luca
Dicembre 4th, 2006 at 15:44
>Ma la domanda e’: quale e’ il fine ultimo oltre all’allarmismo diffuso (che e’ di per se’ un bel successo per chi scrive questi cosi)? Scaricare file che fanno cosa?
La risposta è: QUALUNQUE COSA!
Una volta che hai installato sul tuo PC un programma scritto da un BASTARDO, il tuo PC puo’ fare QUALUNQUE cosa!
Esempi?
- Memorizzare tutti i tasti che premi e inviarli a qualcuno.
- Inviare a qualcuno il contenuto del tuo hard disk
- spedire mail di SPAM a qualche milione di persone nel mondo, che se la prenderanno CON TE anziche’ con l’autore del virus!
- utilizzare la tua rubrica indirizzi per diffondere a tutti il virus
ecc. ecc. ecc.
Certi virus, poi, non si limitano a leggere la rubrica di outlook, ma leggono TUTTI i file dell’hard disk in cerca di indirizzi e-mail! Non è difficile trovarli, data la presenza di “@” in tutti!
luca
Dicembre 4th, 2006 at 15:46
Vorrei segnalare la presenza del dominio “attivissimo.net” nella lista degli “indirizzi da evitare” del virus!
Paolo Attivissimo è “uno che ci capisce”, e a quanto pare i virus writer lo sanno!
Marco
Dicembre 4th, 2006 at 15:54
veramente c’è nella lista
Lucass
Dicembre 4th, 2006 at 16:03
>>Paolo Attivissimo è “uno che ci capisce�, e a quanto pare i virus writer lo sanno!
Marco
Dicembre 4th, 2006 at 16:23
? Non ho capito Gianluca
Lucass
Dicembre 4th, 2006 at 16:25
uhm,il commento non è stato postato per intero,comunque,non avevo scritto niente in particolare,sono un commento ironico a quell’affermazione,ciao
Gianluca
Alessandro Recchia
Dicembre 4th, 2006 at 16:27
Ho realizzato un piccolo exe che imposta in automatico il kill bit per i CLSID relativi al BHO e alla DLL impedendone di fatto l’installazione. Il problema è che i domini relativi all’infezione sono tutti irragiungibili e quindi non posso verficare se in effetti il programma funziona.
Marco, non è che puoi inviarmi il file via posta?
Lucass
Dicembre 4th, 2006 at 16:35
http://www.spywarekillersite.biz/
questo è attivo.
Ciao
Gianluca
Marco
Dicembre 4th, 2006 at 16:37
@Lucass:
ah ecco
mi sembrava strano in effetti come commento…mancava un pezzo 
Alessandro Recchia
Dicembre 4th, 2006 at 16:39
Lucass Says:
Dicembre 4th, 2006 at 16:35
h**p://www.spywarekillersite.biz/
questo è attivo.
Ciao
Gianluca
Purtroppo non riesco a raggiungere nemmeno questo
Proverò da casa più tardi. Comunque grazie.
Lucass
Dicembre 4th, 2006 at 16:41
Sei sotto proxy o qualcosa di simile?io lo raggiungo il sito,se non riesci,te lo mando via e-mail oppure te lo manda Marco,ciao
Marco
Dicembre 4th, 2006 at 16:51
Non lo raggiungi perché l’IP che utilizzi per la connessione non è italiano Alessandro
Alessandro Recchia
Dicembre 4th, 2006 at 16:54
x Marco
l’ip è italiano. Più probabile, anzi sicuramente, che sia come dice Lucass, in quanto giro dietro un proxy.
Chi me lo gira via mail? Marco tu dovresti avere il mio indirizzo…
Marco
Dicembre 4th, 2006 at 19:49
Si scusa, mi sono spiegato male
Non so con quale IP tu ti connetta, so però che sulle mie pagine web (e quindi penso su tutte) arrivi con un IP inglese ed è per quello che non ti connette al sito web. Tra poco ti scrivo via e-mail, sono tornato adesso a casa, il tempo di rientrare 
alessandro recchia
Dicembre 4th, 2006 at 20:11
Marco Says:
Dicembre 4th, 2006 at 19:49
Si scusa, mi sono spiegato male Non so con quale IP tu ti connetta, so però che sulle mie pagine web (e quindi penso su tutte) arrivi con un IP inglese ed è per quello che non ti connette al sito web. Tra poco ti scrivo via e-mail, sono tornato adesso a casa, il tempo di rientrare
questa mi è nuova. dall’ufficio mi connetto attraverso un proxy aziendale, che l’azienda per la quale opero ha esteso a livello italiano per tutte gli uffici sparsi per il territorio italiano. In tutta sincerità non ho mai verificato che ip sia, ma da quello che so’ il proxy dovrebbe essere situato a Milano.
Domani verifico.
Io abito a Verona e da casa non giro dietro un proxy, ma quella pagina non la raggiungo comunque. Non vorrei che facesse già parte di un grosso blocco che avevo impostato tempo fa su vari domini e/o ip. circa 2 milioni di ip bloccati
Imho se mi giri l’eseguibile via posta domani verifico se il “mini tool” che ho creato funziona.
Grazie
maverick
Dicembre 4th, 2006 at 22:30
Dove li hai trovati gli Ip fetenti?
amvinfe
Dicembre 5th, 2006 at 01:38
chissà perchè sono convinto che meno si entri nei dettagli, meglio è.
Questo naturalmente il mio pensiero.
alessandro recchia
Dicembre 5th, 2006 at 09:13
amvinfe Says:
Dicembre 5th, 2006 at 01:38
chissà perchè sono convinto che meno si entri nei dettagli, meglio è.
Questo naturalmente il mio pensiero.
A cosa ti riferisci?
amvinfe
Dicembre 5th, 2006 at 09:20
mi riferisco al fatto che è in corso un’indagine di polizia e visto ciò che è successo con LinkOptim., non credo che dare determinati dettagli aiuti, anzi.
Marco
Dicembre 5th, 2006 at 09:20
Alessandro: con l’ip che hai al momento riesci ad accedere a quel sito ora vero?
alessandro recchia
Dicembre 5th, 2006 at 10:11
Ora si, ma ieri sera no. Misteri della tecnologia
Marco
Dicembre 5th, 2006 at 10:22
perche ieri avevi un IP inglese
oggi no, non so per quale motivo
amvinfe
Dicembre 5th, 2006 at 10:25
vabbè, qualora voleste replicare mi scuso se non risponderò subito ma sono giorni che dormo due o tre ore a notte, appena potrò leggerò i vostri commenti
Marco
Dicembre 5th, 2006 at 10:32
Marco, non é che ci sia molto da dire. Sai meglio di me che in questo campo ci sono due tipologie differenti di pensiero al riguardo: chi pensa che le persone debbano sapere il meno possibile, chi pensa che invece sia necessario diffondere le notizie.
Personalmente non vedo quali danni possa portare una descrizione dettagliata del trojan, visto e considerato che quello che é stato fatto ed sta succedendo é registrato su numerosi log. Inoltre, dicendo cosÃ, vai indirettamente contro qualunque societá di antivirus che rilascia una descrizione dettagliata di malware.
Insomma, forse é piu danno dire che é in corso un’indagine di polizia - notizia che mette in allarme gli eventuali virus writer - piuttosto che descrivere il trojan.
Marco
amvinfe
Dicembre 5th, 2006 at 10:39
tu dici?
Sicuro che tutte le software-house la pensino nella stessa maniera?
Io non ho scritto di non rilasciare schede tecniche, io ho scritto d’evitare di rilasciare dettagli importanti, tu sdai benissimo quali, che possano compromettere l’identificazione degli autori del malware.
Io so del contrario, non scriverei certe cose se non avessi elementi certi e non raccolti leggendo nei vari blog o forum o solo per il semplice “sentito dire”
Marco
Dicembre 5th, 2006 at 10:42
Restare nell’alone di mistero non aiuta di certo. Se vuoi essere piu esplicito la mia e-mail sai qual é, altrimenti risulta abbastanza inutile criticare - come spesso accade
E comunque, pensi veramente di conoscere il pensiero di tutte le societá di antivirus?
Io ho specificato di quelle che rilasciano schede tecniche avanzate. Inoltre, nella mia analisi, non vedo dati sensibili che 1) non potessero essere ricavate da informazioni sparse su internet 2) possano deficitare eventuali indagini di polizia.
Resta ovviamente valido l’invito dell’e-mail
amvinfe
Dicembre 5th, 2006 at 10:59
a volte rimanere nell’”alone” del mistero può essere più producente ed aiutare in maniera più concreta che apparire per forza.
Anche tu conosci la mia email
Marco
Dicembre 5th, 2006 at 11:02
Veramente quello che ha da dire sei tu, non io
Sei tu quello che parte criticando e poi nasconde la mano dietro interessanti giochi di retorica 
amvinfe
Dicembre 5th, 2006 at 11:06
sì, ma se modifichi il tuo commento mi riesce difficile rispondere in modo sensato
Marco
Dicembre 5th, 2006 at 11:08
ho aggiunto, non editato il commento, quindi la risposta sensata c’é comunque
E, come ripeto, mi sembra inutile dire ad una persona: “tu sbagli perche fai alcune cose, ma non ti dico quali”. Anzi, mi sembra piú da palcoscenico questo che tutto il resto 
Se volevi dirmi qualcosa, come ti dicevo, la mia e-mail sai qual é. Se, altrimenti, non volevi dire niente, quello che hai detto e stai dicendo/facendo é a puro scopo di mettersi in rilievo 
amvinfe
Dicembre 5th, 2006 at 11:10
io quello che avevo da dire ho detto, poi ognuno è abbastanza grande ed intelligente per recepire o meno il messaggio.
Io non critico nessuno, non mettermi in bocca o fra le dita commenti che non ho fatto.
Ho solo “consigliato” d’evitare d’aggiungere dettagli che possano compromettere l’operato degli inquirenti.
Poi se tu od altri lo vogliono fare a me personalmente non frega poi molto, ho elementi che ne qui ne in pvt posso divulgare ti piaccia o meno
Marco
Dicembre 5th, 2006 at 11:15
Mi sembra un pó il vecchio discorso “io non ti ho mandato a quel paese” “Sà ma hai fatto di tutto per farmelo capire” “Ma non te l’ho detto”
Un vecchio gioco che si fa da bambini 
Detto questo, non vedo niente di grave in quello che ho scritto, né tantomeno che possa influire nelle eventuali indagini in corso.
Qui si puó chiudere il discorso.
amvinfe
Dicembre 5th, 2006 at 11:15
io mettermi in risalto?
:D
sicuro che sono io quello che si vuole mettere in mostra?
Lasciamo stare, evidentemente i nostri concetti su ciò che è giusto od appropriato fare o scrivere si discosta di molto.
Buon lavoro eraser
amvinfe
Dicembre 5th, 2006 at 11:18
per l’età che ho potrei essere tranquillamente tuo padre, dai del bambino, semmai, ai giovanotti della tua età sempre che se lo lasciano fare.
Ribadisco,
buon lavoro.
Marco
Dicembre 5th, 2006 at 11:20
Non ho dato del bambino, in tal caso l’avrei dato ad entrambi e mi sarei auto-insultato
Ho semplicemente detto che sembra un gioco che si fa da bambini.
Ma come vedi, come l’ho detto ti ha dato fastidio, anche se non l’ho detto in realtá. Potrei benissimo dirti “non mettermi in bocca parole che non ho detto”
La storia é vecchia. Non conta quello che si dice, spesso conta anche come lo si dice 
Era una piccola dimostrazione a riguardo 
Buon lavoro a te e scusa ovviamente se ti ho offeso, non era mia intenzione, sai benissimo la mia stima per te
Marco
amvinfe
Dicembre 5th, 2006 at 11:30
chissà perchè, ti prego di credermi, lo scrivo senza ironia, ero in msn con un amico che seguiva la discussione e lui stesso ancor prima che tu mi rispondessi mi ha anticipato ciò che tu avresti scritto
Vedi, prima dai del bambino poi mi fai passare per scemo scrivendo l’esatto contrario di ciò che avevi espresso.
Non sei capace d’offendere, perchè scrivi una cosa e poi l’esatto contrario.
Darmi del bambino non mi offende, magari tornassi indietro di qualche lustro, anagraficalmente parlando, semmai potrà offendersi chi oltre alla testa da bambino ha dalla sua parte anche l’età .
Chiudo qui perchè sinceramente mi sono stufato e la nostra discussione nulla ha a che fare con il titolo della stessa.
amvinfe
Dicembre 5th, 2006 at 11:31
ah ho dimenticato di salutare
Ciao
Marco
Dicembre 5th, 2006 at 11:32
ciao
Attenzione a mail del genere - Amdclockers Forum
Dicembre 6th, 2006 at 19:21
[…] Posto un altro link che parla di questo Trojan.Spambot PC Al Sicuro » Archivio » Alcuni pensieri su Trojan.Spambot Valerio __________________ Thanks to bCyclon […]
PC Al Sicuro » Archivio » La rete italiana in ginocchio? Non è tutta colpa dei malware
Dicembre 13th, 2006 at 01:13
[…] Gromozon è stato appositamente studiato per il territorio italiano. Lo si capisce dai siti che trasmettevano l’infezione, raggiungibili esclusivamente se il pc era localizzato in Italia. Lo si capisce dal dialer che l’infezione installava, contenente ben nove numeri a pagamento con prefissi 899 e 892 attivi su territorio italiano. Ancora, andiamo a parlare del più recente avvocato che avrebbe dovuto praticamente denunciare mezza Italia via e-mail, caso meglio conosciuto come infezione da Trojan.Spambot. Anche qui il famoso removal_tool.exe è stato scritto appositamente per il territorio italiano. Lo si può notare dall’e-mail che invia, scritta in un italiano perfetto e credibilissimo, lo si può capire dal fatto che se ne guarda bene dall’infettare pc utilizzati da polizia, carabinieri, enti governativi italiani o testate di informazione sempre italiane. Per terminare, possiamo parlare altresì del Trojan.Hijacker che da giorni si diffonde anch’egli via e-mail. Anche questa e-mail scritta in italiano perfetto, anche questo trojan con funzioni di dialer, cioè di dirottare le chiamate dei modem analogici a numeri a pagamento italiani con prefisso 899. […]
PC Al Sicuro » Archivio » Spambot torna per gli auguri di Natale
Dicembre 22nd, 2006 at 11:40
[…] É cambiato il dropper, cioè il file eseguibile, in modo da renderlo di nuovo non individuabile da parte di molte società di antivirus, sono cambiate le modalità di diffusione, ma il trojan è rimasto sostanzialmente lo stesso. Per l’analisi è possibile guardare QUI. […]
Wix
Dicembre 22nd, 2006 at 12:51
Ci risiamo, un nuovo sito http://www.need-a-codec.biz/ che diffonde sempre lo stesso virus
ho fatto una piccolissima indagine e pare si siano spostati in russia questa volta.
un piccolo esame dell’eseguibile fa notare che
[..]
llUnregisterServerDllRegisterServer|*police.it|*poliziadistato.it|*polizia-penitenziaria.it|*polstrada.it|*poliziamunicipale.it|*polmunicipalemartina.it|*munipol.it|*polizia.it|*carabinieri.it|*carabinieri-bellinzona.com|*carabinieri.net|*interno.it|*uilinterno.it|*mininterno.it|*nsd.it|*admi.it|*concorsi.it|*esteri.it|*codacons.it|*punto-informatico.it|*clusit.it|*criminologia.org|*diritto.it|*agcom.it|*attivissimo.net|*serviziinformazionesicurezza.gov.it|*sisde.it|*governo.it|*palazzochigi.it||*polizi*|*avvoca*|*finan*|*police*|*carabini*|*polpost*|*comando*|*questur*
[..]
quindi direi che è sempre lui.
Ma non si stufano mai ?
PC Al Sicuro » Archivio » Occhio alle e-mail di San Valentino
Febbraio 13th, 2007 at 16:27
[…] Risulta dunque valida l’analisi che era stata già fatta di questo trojan lo scorso dicembre a QUESTO INDIRIZZO, cambiano esclusivamente le chiavi di registro create che risultano essere: HKEY_CLASSES_ROOTCLSID{AD42064f-2C53-CB42-1263-6A7F24C2B819} HKEY_CLASSES_ROOTInterface{BDA8125F-55CA-4168-6D9A-168E76C11ABD} HKEY_CLASSES_ROOTTypeLib{8E28DE0A-6A2E-4CB8-BBF0-BD131DC1A3B4} HKEY_CLASSES_ROOTWebDesk.webq HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{AD42064F-2C53-CB42-1263-6A7F24C2B819} […]
Giuseppe
Aprile 18th, 2007 at 15:01
Ciao Marco, sono giunto sul tuo blog cercando di risolvere un problema relativo ad un’infezione malware del tipo BHO.WebQuick.A.
Viene imputata l’infezione a webmon.dll ma questo file non esiste sul mio pc. Le varie scansioni con antivirus antispyware e quantaltro danno esito negativo.
Solo VirIT all’avvio mi trova una chiave di registro ({878E4122-A213-98AC-355B-3C723F572BA5}) infetta e la elimina.
Hai qualche notizia fresca o soluzione per debellare questo antipaticissimo worm?
Saluti e grazie
Giuseppe Ranoia
PC Al Sicuro » Blog Archive » False e-mail invitano al download di video a luci rosse
Novembre 19th, 2007 at 20:02
[…] L’e-mail è ovviamente falsa e rimanda ad un sito web ospitante malware. La tipologia di infezione è vecchia e di stampo prettamente italiano, molto simile ad una vecchia famiglia di altri trojan che girarono mesi addietro. […]
False e-mail invitano al download di video a luci rosse « The Alexsandra Spaces
Novembre 24th, 2007 at 10:55
[…] L’e-mail è ovviamente falsa e rimanda ad un sito web ospitante malware. La tipologia di infezione è vecchia e di stampo prettamente italiano, molto simile ad una vecchia famiglia di altri trojan che girarono mesi addietro. […]