Trojan.Spambot - quarta variante

Isolata oggi la quarta variante del Trojan.Spambot. Ringrazio l’utente Matteo_GMG per la segnalazione.

Prevx1 identifica e rimuove anche questa quarta variante.

Scritto il 5 Dicembre 2006


32 Responses to “Trojan.Spambot - quarta variante”


  1. francesco
    Dicembre 5th, 2006 at 20:24

    anche questa tutta italiana ! E continuano ad arrivarmi segnalazioni di persone che abboccano alla grande, anche persone che dovrebbero essere avvezze alla cosa.

    Confermatemi però la cosa: l’infezione avviene SOLO se si lancia il remover_tool, giusto ? non ci sono exploit visitando il sito !?


  2. Marco
    Dicembre 5th, 2006 at 20:31

    Nessun exploit al momento :)


  3. maverick
    Dicembre 6th, 2006 at 00:37

    Ma un DoS contro l’host no? :-) :-) :-) .
    Questi cambiano il file ogni giorno.


  4. Marco
    Dicembre 6th, 2006 at 00:42

    :D :D :D bella idea :D :D


  5. maverick
    Dicembre 6th, 2006 at 00:50

    Secondo me pure a natale ne mettono uno nuovo :-) Stanno rompendo un po’ troppo comunque ed anche rischiando abbastanza.


  6. maverick
    Dicembre 6th, 2006 at 10:03

    Elenco domini

    www.adwaredestroyer.biz
    www.adwarezap.biz
    www.adwarewipe.biz
    www.cleanyourpc.biz
    www.free-spyware-killer-software.biz
    www.killmalaware.biz
    www.mycleanpc.biz
    www.notmorespyware.biz
    www.personalspywareremover.biz
    www.privacywall.biz
    www.protectyourpc.biz
    www.safemaster.biz
    www.SpyProductKiller.biz
    www.SpyStuffKiller.biz
    www.TenKillerDirect.biz
    www.watchwareassassin.biz

    quakcuno non è attivo credo


  7. francesco
    Dicembre 6th, 2006 at 11:26

    STRANISSIMO:
    il 2 dicembre ho scaricato alcuni campioni di questo removal_tool, quando ancora non veniva riconosciuto, ma mi sono guardato bene dal mandarlo in esecuzione. Oggi, all’accensione il mio antivirus (trend micro officescan) mi trova in W:\System Volume Information\_restore{…}\RP114\A0018580.exe il TROJ_AGENT.HDX.
    (il download l’ho fatto con wget !)
    Il programma non è installato ma sto exe….. da dove sbuca ? perché sta in _restore ? e su W:, il disco dove avevo salvato il file infetto ?


  8. Ricky76
    Dicembre 6th, 2006 at 11:49

    Francesco, non preoccuparti, se non l’hai eseguito, il file si trova sulla cartella “restore” di Windows perchè è finito nei file temporanei di internet explorer e probabilmente dopo aver creato un punto di ripristino ( manuale o automatico ) il file è stato spostato sulla cartella “restore”, credo che venga conservato anche il contenuto del cestino.

    Per essere sicuro di non avere più copie dei virus su disco, la prossima volta ricordati di cancellare anche i punti di ripristino o disabilitare temporaneamente la suddetta funzione.


  9. francesco
    Dicembre 6th, 2006 at 12:19

    Il dubbio mi deriva proprio dal fatto di NON averlo scaricato da browser ! l’ho scaricato con wget su una macchina linux e poi copiato con scp sulla mia.
    Non conosco XP e questa directory potrebbe essere quella del “cestino”…. ma perché gli avrebbe cambiato il nome in A00….exe ?


  10. Marco
    Dicembre 6th, 2006 at 12:31

    Nel cestino i files vengono rinominati, è normale


  11. GmG
    Dicembre 6th, 2006 at 14:42

    Altri domini

    www.adwarestoper.com
    www.nowimprotected.com
    www.protect-corp.biz
    www.spywareexecutioner.com
    www.spywarekillersite.com


  12. Andrea
    Dicembre 7th, 2006 at 00:33

    Non riesco a rimuovere la WEBDESK.DLL neppure utilizzando l’apposito tool di NOD32, o altri antivirus tipo Kaspersky che pur riconoscono il trojan. Che debbo fare. Va rimossa quasta dll oppure si può lasciare in giro?
    Grazie


  13. Marco
    Dicembre 7th, 2006 at 00:41

    Provato con Prevx1? Altrimenti si può anche agire manualmente


  14. steven
    Dicembre 7th, 2006 at 08:33

    Ciao ragazzi….
    quando si annuncia l’uscita di una nuova variante , credo che la minima cosa sia quella di dire di che si tratta … è fin troppo facile dire:
    “Isolata oggi la quarta variante del Trojan.Spambot. Ringrazio l’utente Matteo_GMG per la segnalazione”

    Chi lo ha stabilito che è una nuova variante spambot ?
    Qual’è la differenza tra la terza e la quarta variante ?
    Quali modifiche sono state apportate a questa variante?
    etc…etc….


  15. Marco
    Dicembre 7th, 2006 at 09:45

    Solitamente quando una variante é differente dalla prima, dalla seconda e dalla terza io la definisco nuova variante ;)

    Detto questo, ma perché vi ponete sempre con stile critico? “la minima cosa” “é fin troppo facile” “chi lo ha stabilito”

    Insomma, scusate, non ci si potrebbe rimanere male a leggere determinati commenti? :) Anche perché un’analisi tecnica avanzata di questo trojan giá c’é, se non ho scritto molti altri dettagli evidentemente non c’é tutta questa grande differenza, giusto il minimo indispensabile per evitare di essere di nuovo riconosciuto dai software antivirus.

    Se poi aggiungi che giusto ieri sono nate molte critiche perché avevo scritto un’analisi troppo dettagliata del trojan :D


  16. Lucass
    Dicembre 7th, 2006 at 12:38

    Ti scarichi il file è lo vedi.
    le prime 2 erano compresse tramite upx,le ultime 2 con exe32pack.

    “Qual’è la differenza tra la terza e la quarta variante ?”
    MD5 e Sha1 e mi pare qualche byte nelle dimensioni.

    Ciao


  17. Lucass
    Dicembre 7th, 2006 at 12:46

    “Se poi aggiungi che giusto ieri sono nate molte critiche…………”

    L’altro ieri,stai perdendo la cognizione del tempo,lollarone!!!!


  18. Marco
    Dicembre 7th, 2006 at 12:48

    …che, in effetti, é un particolare fondamentale eh :D


  19. Lucass
    Dicembre 7th, 2006 at 12:57

    direi VITALE!!!
    E’ ancora + facile non dire niente,tanto l’importante è che io so la differenza,poi,che gli altri non lo sanno fatti loro,chi si accontenta gode……


  20. Marco
    Dicembre 7th, 2006 at 13:00

    va bene va bene, ok ;)


  21. Lucass
    Dicembre 7th, 2006 at 13:03

    Sto rispondendo a Steven.

    Bye


  22. Marco
    Dicembre 7th, 2006 at 13:04

    ah ma io il particolare mi riferivo al giorno, non all’MD5/SHA1 e quello che avevi detto tu sopra :\ In tal caso scusa, non avevo capito bene il riferimento. Il commento tuo iniziale della differenza tra terza e quarta variante era giusto :) Sorry


  23. Lucass
    Dicembre 7th, 2006 at 13:12

    anche io mi riferivo al giorno(Direi Vitale)
    Poi ho risposto nuovamente a Steven

    Ciao

    Gianluca


  24. Francesco
    Dicembre 7th, 2006 at 15:14

    Il motivo dello stile critico? perchè sei famoso, un punto di riferimento per molti, e quindi tanti “wannabe” puntano sul sezionare ciò che dici nel minimo dettaglio pur di coglierti in fallo… Guarda solo quello che è successo a Paolo Attivissimo con la questione “11 settembre”…


  25. Lucass
    Dicembre 7th, 2006 at 15:19

    Ma qui non si parla di attentati,si parla di malware,il discorso è diverso,poi cosa gli è successo?posso solo immaginare.

    Ciao


  26. steven
    Dicembre 7th, 2006 at 16:24

    ciao,
    la critica, da che mondo è mondo è sempre esistita , e aggiungo anche, che grazie a quest’ultima ,si migliora e si avanza nella vita ….
    Chiusa questa piccola parentesi , vorrei aggiungere che noto con dispiacere, che c’è qualcuno che ancora non ha perso il difetto di essere presuntuoso, e spiego anche il perchè;

    Non credo che tutti siano esperti e del “mestiere” per scaricarsi il file e analizzarlo, quindi mi sembra completamente fuori luogo come risposta quella data da te Lucas… ma non mi meraviglia piu di tanto….

    @Marco: Le mie non erano critiche, ma piuttosto riflessioni, e ti assicuro che non sono stato l’unico a farle, ma se le trovi fuori luogo , basta non prenderle in considerazione…..

    Ho già avuto modo di dirti che fai un lavoro straordinario in questo campo ,ed è forse proprio per quello che mi sono meravigliato della magra descrizione sull’argomento in questione….

    Buon pomeriggio


  27. Marco
    Dicembre 7th, 2006 at 16:38

    Ciao Steven,

    mi dispiace se te la sei presa a male. Ovviamente non voleva essere offensivo il mio commento. Solo che lo stile con cui avevi scritto quel post sembrava più da critica “distruttiva” che critica “costruttiva” :) E’ che spesso, come avevo già detto in altro loco, non conta solo cosa si dice ma anche come lo si dice. Se in caso mi sono sbagliato, ovviamente, scusami…di mattina presto potrei aver benissimo equivocato ;)

    Comunque, l’analisi tecnica è sostanzialmente è la stessa che avevo fatto giorni fa, come ti avevo scritto sopra. Sono cambiate alcune caratteristiche, praticamente che non toccano il funzionamento stesso del trojan ma che servono a rendere il malware irriconoscibile ai software antivirus che non utilizzano degli unpacker per exe32pack e basano le proprie signature sulla versione compressa del trojan.
    Spero che così sia magari un po più chiaro e aiuti di piu la comprensione :)

    Buon pomeriggio!

    Marco :)


  28. TNT
    Dicembre 7th, 2006 at 18:36

    Quinta variante oggi… ;)


  29. steven
    Dicembre 7th, 2006 at 21:32

    e si mo facciamo tombola…
    Marco: ti ripeto ; la mia era solo una constatazione … tu cosa penseresti se domani mattina leggi su un forum :
    nuova variante gromozon in circolazione…..grazie a caio per la seganalazione .


  30. Lucass
    Dicembre 7th, 2006 at 23:45

    Sono Lucass no Lucas,una s cambia molto,la risposta che ti ho dato,l’ho data apposta perchè purtroppo so chi sei.

    Ciao


  31. steven
    Dicembre 8th, 2006 at 14:30

    L’italiano è un optional per te …quindi anche se non lo scrivi proprio il tuo nome, si capisce lo stesso chi sei….figurati se una “s” avrebbe potuto renderti irriconoscibile …


  32. Lucass
    Dicembre 8th, 2006 at 14:42

    Si è un optional,sai quello che penso di te,non mi voglio ripetere.

    Ciao

Lascia un commento

« Rilasciato Prevx1 v2.0.4
Next: Gli avvocati di moda »