Backdoor

Ciao a tutti, poco fa ero su un sito per amanti di Photoshop, e improvvisamente mi è apparso un avviso di Comodo che diceva di aver rilevato un:

backdoor.win32.sinowal

situato nella cartella dei file temporanei di internet, per capirci quella che si svuota quando si cancella la cronologia in modo completo.

Così ho fatto rimuovi e Comodo lo ha rimosso con successo.

Poi ho cancellato la cronologia in modo completo ed è riapparso così l’ ho rimosso di nuovo.

Adesso ho riavviato e fatto la scansione totale 2 volte e non ha trovato nessuna minaccia.

Posso ritenermi al sicuro ? ???

Grazie a tutti.

P.S.
Browser: IE 7 / Firefox (segnalazione apparsa mentre navigavo con IE)
Versione Comodo: 3.14

è un rootkit che si piazza nell’MBR ma abbastanza vecchio (o forse nuovo ma CAV vede solo la famiglia di appartenenza)
Allora prima cosa da fare è installare Prevx 3 free da qui http://info.prevx.com/downloadprevx.asp
imposti in impostazione euristica sul massimo la prima in alto e in medio gli altri 2 e fai scansionare ci mette 2 minuti max
Poi scarichi ASquared che ora si chiama EEK http://www.emsisoft.com/en/software/eek/ e lo fai scansionare, questo ci mette 2 ore
Se non trovano nulla allora direi che sei quasi pulito , quasi perchè certezza mai ci sono
Quando sei pulito allora metti CIS 4 e elimini il collegamento a IE sul desktop così non lo usi più
NON SI POSSONO USARE SOFTWARE VECCHI (IE7 è 2 anni che non c’è più e CIS 3 da 4 mesi !!!
Nun se fà, chissà quanti altri Dinosauri hai su :-[ non ci voglio manco pensare, così sei al 99% sicuro di infettarti, tutto va aggiornato, con questo hai un aiuto, scarica e tieni sul pc la versione standalone Download IObit Software Updater 4.5.1.257 for Windows - Filehippo.com e fallo girare una volta al mese almeno, ti segnala le novità tra i programmi che hai sul pc

Il buon vecchio Romagnolo ;D

Come stai amico mio, spero tutto il meglio per te :wink:

Se la senti saluta anche la nostra amica comune… non ho sue notizie da un po’.

(:WAV)

Ciao Romagnolo, ti ringrazio per l’ enfasi che hai messo nello spiegarmi la situazione.

Devo dirti però, che completamente sperduto non lo sono, infatti ho tentato più volte di aggiornare i miei software; IE lasciamolo perdere, se solo provo ad aggiornarlo e per miracolo la procedura va a termine, quello nuovo non parte, si apre per un momento e poi si richiude, quindi ripristino il sistema allo stato precedente e mi riprendo la vecchia versione.

E di Comodo ne vogliam parlare ? Nemmeno me lo fa installare, mi da un errore strano.

Ammetto che da fuori può sembrare che il mio pc sia una discarica di dinosauri, ma ti assicuro che faccio di tutto per fare in modo che non lo diventi; faccio praticamente le stesse cose tutti i giorni, non installo mai nessun programma e non navigo in siti che si possano definire “non usuali”, tengo tutto estremamente pulito, cancello la navigazione internet almeno 5 volte al giorno, e i programmi che ho, anche se vecchi li tengo aggiornati.

Proverò i programmi che mi hai consigliato prima su un altro computer (ho un pc-tester che uso per testare le applicazioni prima di metterle su quello di lavoro) e poi ti dirò…

Se avete altri consigli nel frattempo, sono felice di leggerli.

EDIT:
Ho provato EmsisoftEmergencyKit sul pc-tester, ed ho notato che è un programmino stand-alone niente male !

Vorrei capire, in caso questo programmino trovi delle infezioni o cose simili, è in grado di rimuoverle da solo ?
Inoltre è definitivo, oppure tra 30 giorni scade qualche licenza e si blocca ?

Grazie Romagnolo.

EDIT 2:

http://i29.tinypic.com/2v2f7fl.jpg

Ecco l’ esito della scansione, c’è 1 sola minaccia ed è pure un falso positivo credo; il nome del programma che ho nascosto è il programma che uso tutti i giorni per lavorare, quindi credo che lui me lo trova come keylogger perchè vede un collegamento al mio pc dal mio server…

Ciao Alfabravo.

Il programmino della Emsisoft è veramente un buon programma per controllare il PC, ma a volte, come hai notato, può rilevare minacce che in realtà non lo sono, falsi positivi per l’appunto.
Per questo motivo prima di cancellare le minacce rilevate dall’anti-malware è buona cosa controllare.

Il virus rilevato è un processo attivo, potresti fare un ulteriore controllo inviandolo a VirusTotal per vedere cosa dicono gli altri anti-virus. Nel caso venga rilevato solo da Ikarus, puoi essere ragionevolmente certo che sia un falso positivo.
In questo caso, dovresti segnalarlo alla Emsisoft con la funzione relativa (vedi screenshot allegato, lo screen postato è relativo al programma completo, ma dovrebbe essere lo stesso sull’Emergency Kit 1.0 stand-alone).
Dovrebbero correggere in un paio di giorni al massimo.

Il programmino è free e di solito è in grado di rimuovere le minacce.

Hai fatto girare anche Prevx 3?

[attachment deleted by admin]

Okkey.

Prev non l’ ho ancora provato, è fondamentale che io lo provi ?

yes. per l’MBR rootkit è il meglio che c’è e quindi meglio fare una scansioncina pesa meno di un mega direi che è ottimo
Non era enfasi per partito preso è solo che è fondamentale avere tutto agiornati, si deve cercare di individuare il perchè non si installa CIS, magari facci uno screen dell’errore di CIS 4 e postacelo vediamo se possiamo essere utili
IE7 se da problemi ok ma NON usarlo mai altrimenti sono guai

hello bello ;D che fa pure rima
la nostra amica è appena tornata da una vacanza in Sicilia se la vedo te la saluto
Qua tutto ok a parte il lavoro che ancora latita, mi sa che ti copio e me ne andrò nel paese del samba se continua sta tristezza di situazione, chi vivrà vedrà
Abbracci

Mi dispiace :frowning: certo in Brasile non so se la situazione lavorativa sia migliore dell’Italia :-\ …ho qualche dubbio, se invece vuoi andarti a divertire… bè, conosci il posto meglio di me ;D
Al momento forse la Germania è un buon posto per il lavoro.

Comunque, in bocca al lupo!

(:HUG)

Ma guai di cosa ? Puoi essere più specifico ? Visitare siti normalissimi con IE7 è così pericoloso ?

Lo uso raramente ora che ho Firefox, tu dici che non lo devo usare per niente, spiegami perchè.

Proverò Prev appena posso, anche se non mi convince molto, l’ho provato sul pc-tester ed è rimasta l’icona del programma sulla barra in basso a destra… ma non era uno stand-alone ?

E altra domanda; se trova qualche minaccia è in grado da solo di rimuoverla ?

Non è certo questione di vita o di morte, ma IE7 ha parecchie vulnerabilità che ne rendono sconsigliabile l’utilizzo. In pratica, utilizzare software “vulnerabile” può rendere vita facile ad eventuali malintenzionati di attaccare la tua macchina indipendentemente dai siti che si visitano.
Non solo, un sito che tu consideri sicuro può venire attaccato in qualsiasi momento rendendolo di fatto insicuro. Successe una volta con il ilmeteo.it se non ricordo male…

Per quanto riguarda Prevx: è da un pò che non lo uso, mi pare però che la versione free non disinfetti in automatico (anzi non disinfetta proprio…forse sbaglio). Però è utile per vedere se c’è qualcosa che non và.

Tieni sempre in conto che il virus rilevato potrebbe essere anche un falso positivo.

Prevx free non è portable (a differenza del vecchio predecessore CSI) ma pesa 1 mega, non è portable perchè ha il modulo realtime, cosa che non possono avere i portable visto che occorre installare drive a livello kernel
Prevx free non rmuove ma però ti avvisa grazie al suo realtime che è il più efficace, a patto di essere su linea internet flat, visto che è un cloud ovvero non scarica firme ma interagosce col loro server che è quello che ha le firme
Il suo realtime è il migliore che ho visto in vita mia (provati centinaia di programmi e non esagero) quindi se trova qualcosa poi lo elimini con l’AntiVirus o con Emsisoft Emergency e sei sempre protetto
Inoltre le minacce rootkit all’MBR le elimina pure la free
C’è una contradizione in quello che hai detto ovvero che IE7 non lo usi, però ti sei infettato proprio da lì
Quindi evitalo proprio, togli il link dal destop così te lo scordi che è meglio
Ci sono centinaia di exploit non risolti da microsoft che lo coinvolgono, un paio a settimana questo è l’ultimo
http://www.endlesslab.org/blog/2010/07/nuovo-exploit-per-safari-e-internet-explorer-dati-sensibili-a-rischio/
ce ne sono 10 al mese e più
Come detto sopra dal collega anche un mormale sito può essere infettato da uno script maligno e a quel punto addio dati sul pc, certo una mano te la da CIS ma se si risponde ad un paio di avvisi acconsentendo, il pc diventa parte di una botnet cioè un pc zombie come si dice in gergo
Usa solo FireFox, è un ordine , ovvio che poi fai il cavolo che vuoi ma … meglio non rischiare

Sto già usando solo Firefox da quando avete iniziato a spaventarmi ;D
Scherzi a parte, sul serio, sto usando solo quello, ho abbandonato IE.

Ancora non ho usato Prevx ma poco fa mi si è ripresentato quel backdoor esattamente come fece la prima volta, nella cartella TEMP.

Ora la cosa è curiosa, pur non usando più IE, ho trovato dei file temporanei nella cartella Temporary internet files mentre il virus che stava in Temp l’ ho rimosso come al solito.

Inoltre subito dopo che mi appare l’ avviso di questo backdoor, se provo a cancellare la cronologia di IE (pur sapendo che dovrebbe esser vuota) ci mette una vita a cancellarla… sembra come se qualcuno me la riempisse a mia insaputa…

Però leggo che nonostante uno non usi più IE c’è sempre possibilità che questo rompa le balle, o sbaglio ?

P.S.
Quanto ci mette di solito Prevx a fare una scansione ?
E dopo devo lasciarlo installato oppure no ? (So che più riempi il pc di programmi e più si rallenta)

Prevx è molto leggero e per fare una scansione impiega pochissimo tempo: un paio di minuti.
Puoi sempre disinstallarlo dopo aver verificato.

Non usi CCleaner per la pulizia del sistema?

Ogni tanto IMHO andrebbe usato, cancella tutti i file temporanei, cache internet, cookies e tanto altro… un ottimo programma per la pulizia del sistema.

Ma che O.S. usi?

Win Xp Professional originale.

Vedrò di fare quella scansione al più presto.

Intanto mentre andavo su un sito che visito tutti i giorni mi è apparso questo avviso:

http://i25.tinypic.com/2i085fa.jpg

E’ un comune sito di informazione cinematografica, perchè un hacker dovrebbe impallinarlo ?

Secondo voi se ci fossi andato con IE sarebbe stato ancora peggio ?

EDIT: Ecco il risultato della scansione fatta pochi minuti fa con Prevx.

Secondo voi è tutto ok ?

http://i28.tinypic.com/rw50zl.jpg

Inoltre, questo Prevx scade dopo 30 giorni o è una versione free illimitata ?

Se tutte queste scansioni hanno avuto esito positivo, potresti essere (abbastanza) al sicuro.
Il consiglio di Romagnolo è comunque sempre validissimo: programmi sempre aggiornati e…tanta prudenza!

Ora che usi Firefox potresti anche aggiungere l’estensione WOT (Web of Trust). In pratica ti segnala se un sito è sicuro o no.
Ci sarebbe anche NoScript sempre per Firefox, che blocca gli script a priori per poi abilitarli su richiesta dell’utente, ma rende la navigazione un pelo più macchinosa. Poi sta a te vedere il set up che secondo te garantisce il miglior binomio sicurezza/comodità.

Volendo potresti anche usare Sandboxie (ammesso che tu non la stia già usando): ci fai girare dentro il browser e al termine della navigazione cancelli l’area virtuale. Così se qualcosa và storto rimane tutto dentro la sandbox e tanti saluti (finché non becchi qualcosa che la possa aggirare…eh lo so…dura la vita!). :wink:

Okkey, capisco.

Non voglio riempire di software il pc, per non rallentarlo, ma questa cosa del sandboxie me la voglio segnare, e prima o poi la voglio provare. Grazie per la segnalazione.

Sto prendendo la mano con Firefox non è facile dopo anni di IE, avevo imparato una serie di trucchi per migliorarmi la navigazione che ora sto re-imparando daccapo…

Invece per quanto riguarda il loggarsi sul sito delle poste per vedere il saldo della carta postepay, è una cosa sicura ? Oppure devo temere che qualcuno possa entrare al posto mio e trasferire tutti i soldi ?

Grazie.

Diciamo che di sicuro non c’è nulla. Generalmente in nessun campo, men che meno nell’ambito dell’informatica.
Escludendo che tu possa avere keylogger o gingilli vari in azione, il consiglio che tutti danno è di digitare a mano l’indirizzo interessato, senza ricorrere ad indirizzi trovati quà o là.

I browser più recenti hanno tutti la gestione dei certificati, che ti permette di vedere se il sito ha una certificazione o meno (purtroppo non tutti i siti lo usano :slight_smile:

Discorso password: io personalmente non uso il gestore password dei browser. Anzi non uso nulla. Invece che ricordarmi ventimila password, o una password per tutto (rischioso), mi sono inventato una logica mia che varia a seconda…di qualcosa ;D. Così mi devo solo ricordare la “logica” e non la password in se. Risultato: password complesse ricordabili senza sforzo! :wink:

Porca miseria questo mondo di tecnologia e web è diventato molto pericoloso; ti compri un pc, ci metti Windows e hai finito ? No, devi imparare una serie di stratagemmi e installare una serie di programmi che appesantiranno il tuo pc ma che ti faranno stare un minimo al sicuro… che storia…

Cioè link esterni al sito ? Io ho le pagine di mio interesse salvate come preferiti dentro firefox, è da lì che mi loggo…

Per il discorso password, faccio pressappoco come te, non le salvo mai da nessuna parte e cerco di avere un sistema mio, logico, per ricordarle.

:wink:

Si, in effetti è complicato e nemmeno poco. L’importante comunque è non cadere in paranoia! Un utente domestico, con poche regole di “buona condotta” può ritenersi tranquillo. Discorso diverso per le grandi aziende che contengono dati sensibili e sono costrette ad investire parecchie risorse nel campo della sicurezza.

Sul discorso link: intendo link dati da motori di ricerca o presenti in altri siti.