Author Topic: Virus Lab - Impariamo a riconoscere le attività dei malware  (Read 60651 times)

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Porta 139
« Reply #15 on: November 23, 2009, 05:33:24 AM »
......

Che antivirus usi, quello di Comodo?

Si, uso la suite completa compreso l'anti-virus.

A dir la verità, avendo a che fare coi virus tutti i giorni, il real-time lo tengo quasi sempre disabilitato perché mi intralcia il lavoro  ;D

Da qualche giorno, approfittando della promozione di a-squared anti-malware, ho installato anche quello...
« Last Edit: November 23, 2009, 11:58:16 AM by sirio »

Offline ellegi71

  • Comodo's Hero
  • *****
  • Posts: 232
Re: Porta 139
« Reply #16 on: November 23, 2009, 09:20:05 AM »
Da parte mia la voglia di installare la suite completa è tanta, ma non ho ancora la totale fiducia nell' antivirus.....,per curiosità in Questo sito CAVS ti rileva qualcosa? AntiVir trova un Malware, avast! nulla.....infatti sono passato nuovamente ad Avira.



Editato il link dal moderatore per motivi di sicurezza
« Last Edit: November 23, 2009, 12:00:53 PM by sirio »
O.S. ubuntu 11.04 32-bit, Windows 7 Home Premium 32-bit

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #17 on: November 23, 2009, 11:49:19 AM »
No, CAVS non rileva niente, l'unico avviso ricevuto è quello per un plug-in java (allego screenshot)

Ma di preciso cosa ti rileva AntiVir?

Quale modulo lo rileva?


P.S. Provato anche con Internet Explorer 8... stessa cosa.

Me lo da pulito anche il WebScanner MELANI.

[attachment deleted by admin]
« Last Edit: November 23, 2009, 12:20:16 PM by sirio »

Offline ellegi71

  • Comodo's Hero
  • *****
  • Posts: 232
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #18 on: November 23, 2009, 12:34:22 PM »
Avira mi da "HTML/Crypted.Gen"
O.S. ubuntu 11.04 32-bit, Windows 7 Home Premium 32-bit

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #19 on: November 23, 2009, 02:18:31 PM »
Anche a-squared lo vede (allego screen)  :o

Segnalato.


[attachment deleted by admin]

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #20 on: July 28, 2010, 09:32:19 AM »
In riferimento a questa vulnerabilità (link), ho eseguito un test con il nuovo CIS 2011 alpha e purtroppo con la configurazione a default non si ha nessun avviso (allego screen)  :(

Con CIS 4.1 non ho ancora provato ma penso che aggiungendo *.dll ai file da controllare nel Controllo Esecuzioni Immagine (funzione non più disponibile in CIS 2011), si possa prevenire.

Saluti. :)


[attachment deleted by admin]

Offline sirio

  • Global Moderator
  • Comodo's Hero
  • *****
  • Posts: 1736
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #21 on: August 03, 2010, 02:52:38 PM »
Ieri Microsoft ha rilasciato un aggiornamento (link) riguardante la vulnerabilità di cui ho scritto nel post precedente.

Offline albatros65

  • Newbie
  • *
  • Posts: 10
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #22 on: November 09, 2010, 05:48:07 PM »
Ecco, appunto :-)
Io stavo quasi per buttare alle ortiche il pc di mia figlia, che sembrava posseduto dal demonio :-) Si spegneva, si spegneva il video... Mai pensato a un malware: passando da Avira Interne Security a Zone alarm Extreme Security sembrava "pulito". Poi ho installato Comodo e, oltre a guadagnarci in velocità, mi ha beccato un fottuto malware che killava i processi.

Offline CARON67

  • Comodo Loves me
  • ****
  • Posts: 111
Re: Virus Lab - Impariamo a riconoscere le attività dei malware
« Reply #23 on: November 12, 2010, 01:07:18 AM »
Molto pericoloso  >:-D questo virus , anche se' con il nostro comodo impostato con criterio , si possa prevenire o per lo meno  :P0l diminuire i danni

Offline karrygun

  • Newbie
  • *
  • Posts: 12
Re: Virus Lab - Impariamo a riconoscere le attività dei malwares
« Reply #24 on: June 11, 2015, 04:36:01 PM »
TEST wmcodec_update.exe (Backdoor.Win32.Frauder)

Breve descrizione: Malware che si spaccia per un codec video, potremmo trovarlo durante la navigazione in siti poco raccomandabili come codec da scaricare per visualizzare un video.

PC dedicato per i test:

  • Windows XP sp3
  • COMODO Internet Security 3.5.57173.439 (DEFENSE+ Safe Mode)
  • Returnil Virtual System 2008 premium edition


Analisi su Virustotal http://www.virustotal.com/analisis/60781df1a5d4a8730b51850223f9253d

Report ottenuto con CIMA (COMODO Instant Malware Analysis) http://camas.comodo.com/cgi-bin/submit?file=fa987e921e61783b0d1e7794f2e89a38e93eb7ede39c6ebae0b2fb6eaaf99860

MD5 : 094fccc0a8adaf30c2a0f1d9061cc12a

Avviando wmcodec_update.exe avremo la prima richiesta del DEFENSE+ per avviare l'installazione del falso codec
successivamente avremo un'altra richiesta ci dice che l'applicazione sta tentando di avere l'accesso Service Control Manager, poi sotto nelle Security Considerations ci spiega che dando all'applicazione questa autorizzazione, essa potrà eseguire operazioni privilegiate inclusa l'installazione di alti privilegi per le applicazioni o drivers.
La terza richiesta ci chiede il permesso di creare un file in una cartella protetta dal D+
poi avremo la modifica di una chiave del registro di Windows anche questa un'azione pericolosa.

Nota: Possiamo renderci conto delle attività più pericolose quando i popups del DEFENSE+ avranno lo sfondo del titolo di colore rosso, questo per richiamare meglio la nostra attenzione.

Avremo altri 30 popups riguardo la modifica di chiavi del registro di Windows, poi apparirà un messaggio di errore
Ma in realtà è un falso errore, wmcodec_update.exe è attivo e funzionante come possiamo vedere nell'immagine seguente

A questo punto il virus si fermerà per un pò di tempo ma dopo qualche minuto il virus tenta l'accesso DNS/RPC Client Service e consentendo daremo a wmcodec_update.exe il permesso di usare l'applicazione di Windows svchost.exe per le connessioni internet. Quindi fate molta attenzione con questo tipo di richieste.

Continuando il malware ci chiede di poter eseguire 5378.exe subito dopo la modifica della chiave del registro di windows successivamente la richiesta è per la creazione di un nuovo file: 0.exe, da parte di 5378.exe e subito CAVS (COMODO Anti Viruspyware) entra in azione rilevando 0.exe come virus: "Backdoor.Win32.Frauder.fg"

Per poter proseguire ho dovuto disabilitare la protezione in real-time dell'antivirus.

5378.exe andrà avanti creando nuovi files fino ad arrivare a 7.exe dopodiché chiederà l'access the Service Control Manager per ottenere alti privilegi una volta concesso vorrà eseguire 0.exe e 0.exe vorrà eseguire dwwin.exe (una parte dello strumento di segnalazione di errore di Microsoft Doctor Watson)
e a sua volta dwwin.exe tenterà l'accesso a 0.exe caricato in memoria precedentemente accettando daremo il controllo completo all'applicazione "parent" (dwwin.exe) su quella in memoria (0.exe), poi, ancora dwwin.exe chiede l'accesso al Service Control Manager per poter poi terminare 0.exe restituendo un errore
... ma è qui l'inganno, infatti di nascosto 0.exe tenta di eseguire Microsoft Doctor Watson (drwtsn32.exe) e leggendo le considerazioni nel popup ci viene spiegato che drwtsn.exe è un file eseguibile "safe" (sicuro) però l'applicazione "parent" (0.exe) non può essere riconosciuta. Viene anche precisato che una volta eseguita l'applicazione (drwtns.exe), 0.exe avrà il controllo completo su di essa.
Infatti una volta dato il consenso possiamo vedere l'accesso in memoria da parte di drwtsn.exe che è appunto un'applicazione "safe", ergo, non riceveremo nessuna richiesta da parte del D+ (il D+ ci aveva avvisato precedentemente del pericolo - screen precedente) ma vedremo (se abbiamo attivato "Display Balloon Messages") l'accesso di drwtsn.exe in tutte le applicazioni in memoria in modalità "learning" quindi verranno create delle regole nella Computer Security Policy,
ma andiamo a controllare le regole appena createsi in "learning" .

Facendo una scansione con CAVS

Cosa ne pensate? Se avete dubbi, domande da fare sono qui.

Saluti,
sirio.  (:KWL)

potresti rifare le immagini? non si capisce quasi nulla cosi.

 

Free Endpoint Protection
Seo4Smf 2.0 © SmfMod.Com Smf Destek