Virus Lab - Impariamo a riconoscere le attività dei malware

International Comodo Forums Italiano / Italian
#1

Virus Lab

Impariamo a riconoscere le attività dei malware

Ho pensato di aprire questo topic per vedere come CIS reagisce durante un’infezione reale.
Credo sia molto interessante approfondire questa cosa per capire quali sono i comportamenti tipici dei virus e di conseguenza imparare a prevenire le infezioni.

N.B. Sconsiglio vivamente di fare queste prove senza un adeguata protezione: Chi gioca col fuoco prima o poi si scotta. :wink:

Ho dedicato un vecchio computer per fare questi esperimenti, quindi senza alcuna informazione personale o dati importanti.

#2

TEST wmcodec_update.exe (Backdoor.Win32.Frauder)

Breve descrizione: Malware che si spaccia per un codec video, potremmo trovarlo durante la navigazione in siti poco raccomandabili come codec da scaricare per visualizzare un video.

PC dedicato per i test:

  • Windows XP sp3
  • COMODO Internet Security 3.5.57173.439 (DEFENSE+ Safe Mode)
  • Returnil Virtual System 2008 premium edition

Analisi su Virustotal http://www.virustotal.com/analisis/60781df1a5d4a8730b51850223f9253d

Report ottenuto con CIMA (COMODO Instant Malware Analysis) http://camas.comodo.com/cgi-bin/submit?file=fa987e921e61783b0d1e7794f2e89a38e93eb7ede39c6ebae0b2fb6eaaf99860

MD5 : 094fccc0a8adaf30c2a0f1d9061cc12a

Avviando wmcodec_update.exe avremo la prima richiesta del DEFENSE+ per avviare l’installazione del falso codec
http://img34.picoodle.com/img/img34/3/12/21/sirio/t_1m_ad686f5.png

successivamente avremo un’altra richiesta
http://img03.picoodle.com/img/img03/3/12/21/sirio/t_2m_dfe60ed.png
ci dice che l’applicazione sta tentando di avere l’accesso Service Control Manager, poi sotto nelle Security Considerations ci spiega che dando all’applicazione questa autorizzazione, essa potrà eseguire operazioni privilegiate inclusa l’installazione di alti privilegi per le applicazioni o drivers.
La terza richiesta ci chiede il permesso di creare un file in una cartella protetta dal D+
http://img03.picoodle.com/img/img03/3/12/21/sirio/t_3m_8187014.png

poi avremo la modifica di una chiave del registro di Windows
http://img19.picoodle.com/img/img19/3/12/21/sirio/t_4m_8107f05.png
anche questa un’azione pericolosa.

Nota: Possiamo renderci conto delle attività più pericolose quando i popups del DEFENSE+ avranno lo sfondo del titolo di colore rosso, questo per richiamare meglio la nostra attenzione.

Avremo altri 30 popups riguardo la modifica di chiavi del registro di Windows, poi apparirà un messaggio di errore
http://img37.picoodle.com/img/img37/3/12/21/sirio/t_35m_209ff3e.png

Ma in realtà è un falso errore, wmcodec_update.exe è attivo e funzionante come possiamo vedere nell’immagine seguente
http://img37.picoodle.com/img/img37/3/12/21/sirio/t_3551m_48d7f7d.png

A questo punto il virus si fermerà per un pò di tempo ma dopo qualche minuto il virus tenta l’accesso DNS/RPC Client Service
http://img03.picoodle.com/img/img03/3/12/22/sirio/t_36m_4e721f5.png
e consentendo daremo a wmcodec_update.exe il permesso di usare l’applicazione di Windows svchost.exe per le connessioni internet. Quindi fate molta attenzione con questo tipo di richieste.

Continuando il malware ci chiede di poter eseguire 5378.exe
http://img33.picoodle.com/img/img33/3/12/22/sirio/t_37m_9018d6a.png
subito dopo la modifica della chiave del registro di windows
http://img26.picoodle.com/img/img26/3/12/22/sirio/t_38m_5a5752e.png
successivamente la richiesta è per la creazione di un nuovo file: 0.exe, da parte di 5378.exe
http://img37.picoodle.com/img/img37/3/12/22/sirio/t_39m_04855fe.png
e subito CAVS (COMODO Anti Viruspyware) entra in azione rilevando 0.exe come virus: “Backdoor.Win32.Frauder.fg”
http://img26.picoodle.com/img/img26/3/12/22/sirio/t_40m_c7abebd.png

Per poter proseguire ho dovuto disabilitare la protezione in real-time dell’antivirus.

5378.exe andrà avanti creando nuovi files fino ad arrivare a 7.exe dopodiché chiederà l’access the Service Control Manager per ottenere alti privilegi
http://img32.picoodle.com/img/img32/3/12/22/sirio/t_52m_0151a16.png
una volta concesso vorrà eseguire 0.exe
http://img26.picoodle.com/img/img26/3/12/22/sirio/t_54dopodisabm_52d9aa2.png
e 0.exe vorrà eseguire dwwin.exe (una parte dello strumento di segnalazione di errore di Microsoft Doctor Watson)
http://img19.picoodle.com/img/img19/3/12/22/sirio/t_55m_cfbd08d.png

e a sua volta dwwin.exe tenterà l’accesso a 0.exe caricato in memoria precedentemente
http://img33.picoodle.com/img/img33/3/12/22/sirio/t_56m_3ec9c77.png
accettando daremo il controllo completo all’applicazione “parent” (dwwin.exe) su quella in memoria (0.exe), poi, ancora dwwin.exe chiede l’accesso al Service Control Manager
http://img37.picoodle.com/img/img37/3/12/22/sirio/t_57m_3e35607.png
per poter poi terminare 0.exe restituendo un errore
http://img37.picoodle.com/img/img37/3/12/22/sirio/t_58m_cd904e6.png

… ma è qui l’inganno, infatti di nascosto 0.exe tenta di eseguire Microsoft Doctor Watson (drwtsn32.exe)
http://img19.picoodle.com/img/img19/3/12/22/sirio/t_59m_ad39d10.png
e leggendo le considerazioni nel popup ci viene spiegato che drwtsn.exe è un file eseguibile “safe” (sicuro) però l’applicazione “parent” (0.exe) non può essere riconosciuta. Viene anche precisato che una volta eseguita l’applicazione (drwtns.exe), 0.exe avrà il controllo completo su di essa.
Infatti una volta dato il consenso possiamo vedere l’accesso in memoria da parte di drwtsn.exe che è appunto un’applicazione “safe”, ergo, non riceveremo nessuna richiesta da parte del D+ (il D+ ci aveva avvisato precedentemente del pericolo - screen precedente) ma vedremo (se abbiamo attivato “Display Balloon Messages”) l’accesso di drwtsn.exe in tutte le applicazioni in memoria in modalità “learning”
http://img03.picoodle.com/img/img03/3/12/22/sirio/t_601m_8b52b44.png
quindi verranno create delle regole nella Computer Security Policy,
ma andiamo a controllare
http://img34.picoodle.com/img/img34/3/12/22/sirio/t_621m_ddc22c1.png
le regole appena createsi in “learning”
http://img33.picoodle.com/img/img33/3/12/22/sirio/t_631m_b023c59.png
.

Facendo una scansione con CAVS
http://img37.picoodle.com/img/img37/3/12/22/sirio/t_661m_be24eb3.png

http://img19.picoodle.com/img/img19/3/12/22/sirio/t_68m_ffc7301.png

Cosa ne pensate? Se avete dubbi, domande da fare sono qui.

Saluti,
sirio. (:KWL)

#3

Che è meglio passare a Linux.

#4

Si, ok… ma che c’entra?

Ciao Jovis :slight_smile:

#5

Ciao. In effetti, direttamente non c’entra niente, perciò mi scuso per la risposta provocatoria. In realtà anch’io uso Windows (oltre che Linux), ed uso Comodo! Però, con tutto questo continuo preoccuparmi per la sicurezza (settaggi, confronti, prove: per il firewall, per l’antivirus, per l’antiantispyware, per il browser, per i programmi, per…tutto) a volte mi sembra che non sia Windows (e il pc) a lavorare per me, ma il contrario, e mi capita di domandarmi se ne vale davvero la pena, ecco.

#6

Come tutti del resto ;D

...ed uso Comodo! Però, con tutto questo continuo preoccuparmi per la sicurezza (settaggi, confronti, prove: per il firewall, per l'antivirus, per l'antiantispyware, per il browser, per i programmi, per...tutto) a volte mi sembra che non sia Windows (e il pc) a lavorare per me, ma il contrario, e mi capita di domandarmi se ne vale davvero la pena, ecco.

Non hai tutti i torti, bisogna preoccuparsi purtroppo… :frowning: comunque un programma come CIS aiuta a preoccuparci di meno (B) non trovi?

#7

Ma certo, Sirio, altrimenti non l’avrei scelto. Trovo il tuo topic molto interessante e utile perché, al di là del valore in sé del test effettuato, aiuta a capire il funzionamento del programma, specialmente del D+ che è certamente la sua parte più difficile da “digerire” (perfetti gli screenshot). Certo, se i messaggi fossero in (buon) italiano, ben altro successo arriderebbe a questo firewall, ma… a quanto pare per questo non c’è più speranza.

#8

Mi fa piacere che lo trovi interessante, lo scopo è proprio quello di imparare ad usare bene il D+.

In seguito farò altre prove.

Per la traduzione… se non ci decidiamo noi aspetteremo all’infinito :wink:

Ciao. :slight_smile:

#9

Waledac Botnet come Storm Worm

"Da poco , approfittando del periodo natalizio, abbiamo assistito alla rilevante diffusione di una botnet a cui e’ stato dato il nome di ‘Waledac botnet’ che presenta molte analogie con la ben nota Storm Worm Botnet, praticamente scomparsa sia dalla rete che dalle cronache di sicurezza informatica degli ultimi mesi.

Le analogie con la Storm Worm Botnet sono molte e riconducono al medesimo sistema utilizzato in passato e cioe’ l’utilizzo di mails di spam che contengono un link a pagina con card di auguri natalizi fasulla che in realta’ propone un file (card.exe o postcard.exe) che se eseguito trasformera’ il pc in zombie al servizio della botnet Waledac…"

Fonte: (rimosso per motivi di sicurezza)
Aggiornamento al 04/02/2009: (rimosso per motivi di sicurezza).

Le feste natalizie sono passate e per ingannare gli utenti viene usata la festa di San Valentino.

Consiglio di non visitare i link se non siete adeguatamente protetti e meglio ancora con una macchina virtuale per evitare spiacevoli incovenienti.


http://img18.picoodle.com/img/img18/3/2/4/sirio/t_love11m_3c64764.png

Il malware è in continua evoluzione e oggi se si tenta di salvare l’eseguibile love.exe l’euristica di CAVS segnala


http://img02.picoodle.com/img/img02/3/2/4/sirio/t_lovem_0495890.png

CIS 3.8.61948.459 Beta con Virus Signature Database Version: 9

Ho eseguito un test con un campione scaricato il 29/01/2009: youandme.exe

MD5…: 7232751c59610f4e06dd16ec9d623a79

PC dedicato per i test:

  • Windows XP SP3
  • CIS 3.8.61948.459 Beta
  • Returnil Virtual System 2008 premium edition

Analisi su virustotal: http://www.virustotal.com/analisis/fd4431961015ffae675b3d858f9f3a64

Analisi su CIMA (Comodo Instant Malware Analysis): http://camas.comodo.com/cgi-bin/submit?file=2e94ffe51012d69e3fff8330e947abe1074b6d03196f89459bac743e51f6121c

Analisi su Threatexpert: http://www.threatexpert.com/report.aspx?md5=7232751c59610f4e06dd16ec9d623a79

Una volta avviato e dato l’assenso al D+, youandme.exe esegue la prima attività pericolosa, la modifica della chiave di registro
http://img32.picoodle.com/img/img32/3/2/3/sirio/t_2m_3c6458a.png

poi chiede la connessione a diversi IP
http://img26.picoodle.com/img/img26/3/2/3/sirio/t_1021m_a853e8d.png
vado avanti fino ad un’altra richiesta importante che ci avvisa del pericolo
http://img37.picoodle.com/img/img37/3/2/3/sirio/t_56m_9ecb72b.png

dopo viene avviato dwwin.exe (una parte dello strumento di segnalazione di errore di Microsoft Doctor Watson)
http://img02.picoodle.com/img/img02/3/2/3/sirio/t_58m_1f68656.png

che porterà alla terminazione di TMP8.tmp
http://img33.picoodle.com/img/img33/3/2/3/sirio/t_62m_d9f1aca.png
continuando si nota un’intensa attività online con continue richieste del firewall…intanto youandme.exe è sempre attivo
http://img18.picoodle.com/img/img18/3/2/3/sirio/t_321m_a8e4a17.png

mi fermo qui.

Possiamo vedere il processo e la chiave del registro di sistema infetti
http://img02.picoodle.com/img/img02/3/2/3/sirio/t_114m_49bc331.png

http://img26.picoodle.com/img/img26/3/2/3/sirio/t_115m_c5576e5.png

#10

b.css vs CIS 3.11 e Returnil 2010 beta

Thank you Aigle for the sample.

Host: XP sp3 aggiornato
VM: VirtualBox 3.0.4.0
Guest: XP sp3 aggiornato
Suite di sicurezza: CIS 3.11.108364.552 completa - database AV 2326 - Proactive Security - Paranoid Mode a default
ISR: RVS 2010 - 3.0.5869.4905

Malware b.css MD5: 8404200644217e86445d89d1f3ae8fee

Analisi su VirusTotal: http://www.virustotal.com/analisis/f73be9f32534606b17057ebf80a3d676229e85515a4d0fb271b8717140b24c15-1253090543

Analisi su ThreatExpert: http://www.threatexpert.com/report.aspx?md5=8404200644217e86445d89d1f3ae8fee

Analisi su CIMA: http://camas.comodo.com/cgi-bin/submit?file=f73be9f32534606b17057ebf80a3d676229e85515a4d0fb271b8717140b24c15

Da quello che ho potuto notare questo malware si occupa di varie cose una volta avviato, direi… un virus molto cattivo! :o

La protezione real-time di Comodo antivirus lo riconosce
http://img38.imagefra.me/img/img38/2/9/16/sirio/t_bh7m_f348d0e.png
quella di Returnil 2010 beta no.

Avvio b.css da prompt dei comandi (finestra dos) e come potete vedere l’analisi euristica del D+ lo riconosce come possibile malware
http://img40.imagefra.me/img/img40/2/9/16/sirio/t_1m_61836e7.png
dato l’unico assenso per l’esecuzione, nego tutte le attività successive, eccetto l’accesso al DNS/RPC Client Service perché volevo vedere dove si collegava.

Inizia modificando una chiave protetta del registo di sistema
http://img39.imagefra.me/img/img39/2/9/16/sirio/t_2m_e70d3c7.png
dopo chiede privilegi di Debug
http://img38.imagefra.me/img/img38/2/9/16/sirio/t_3m_c95739b.png
crea una libreria
http://img37.imagefra.me/img/img37/2/9/16/sirio/t_5m_c47e88c.png
ed inizia a modificare moltissime chiavi del registro di sistema
http://img37.imagefra.me/img/img37/2/9/16/sirio/t_6m_09bf7a8.png

http://img37.imagefra.me/img/img37/2/9/16/sirio/t_7m_36c1969.png

http://img37.imagefra.me/img/img37/2/9/16/sirio/t_8m_fe0d84d.png

http://img38.imagefra.me/img/img38/2/9/16/sirio/t_9m_4fe6524.png

http://img39.imagefra.me/img/img39/2/9/16/sirio/t_11m_85ae001.png

Poi cerca di creare o modificare i file autorun.inf con uno infettato nelle varie partizioni che trova, in questo scrren
http://img37.imagefra.me/img/img37/2/9/16/sirio/t_12m_80cea65.png
possiamo vedere mentre prova su C: dove non riesce, in seguito lo farà anche sugli altri dischi ed ecco la prova (purtroppo :() sulla mia pendrive
http://img39.imagefra.me/img/img39/2/9/16/sirio/t_1kahr9i3p2mm_9040653.png

http://img40.imagefra.me/img/img40/2/9/16/sirio/t_1s8tpji8qqhm_9b14b74.png
solo che io non ho ricevuto alcuna segnalazione da D+ per la creazione dell’autorun.inf su altri dischi, bensì di E:\TPR.PIF o Y:\TPR.PIF… e comunque CAVS non lo riconosce
http://img40.imagefra.me/img/img40/2/9/16/sirio/t_132m_60b7857.png

Prima del riavvio ho provato a cancellare E:\autorun.inf manualmente ma dopo qualche secondo era lì di nuovo
http://img38.imagefra.me/img/img38/2/9/16/sirio/t_2lbc2vj744gm_fd3a229.png
e niente popup, quindi, aimé… come avevamo constatato per wversion.exe anche qui D+ non protegge gli altri dischi diversi da dove risiede l’OS.

Per proteggere le altre partizioni bisogna aggiungerle ai File Protetti
http://img37.imagefra.me/img/img37/2/9/15/sirio/t_jaur71m_2a96bbe.png
in questo modo il malware non riesce a scrivere autorun.inf in nessun disco o partizione.

Intanto b.css rimane attivo in memoria
http://img39.imagefra.me/img/img39/2/9/16/sirio/t_14e9cm_9d2f8e3.png
e tenta di fare altri danni, per esempio va alla ricerca di eventuali antivirus installati per corromperli
http://img40.imagefra.me/img/img40/2/9/16/sirio/t_28m_8b2fce7.png

http://img37.imagefra.me/img/img37/2/9/16/sirio/t_29m_304b01c.png
e qui ho avuto una comunicazione da CIS
http://img37.imagefra.me/img/img37/2/9/16/sirio/t_2am_661627a.png
(l’unica, anche se non avevo nessuno degli AV o suite di sicurezza per i quali tenta la modifica successivamente)
http://img37.imagefra.me/img/img37/2/9/16/sirio/t_36m_70cc7bb.png

http://img38.imagefra.me/img/img38/2/9/16/sirio/t_58m_c149ebe.png

http://img38.imagefra.me/img/img38/2/9/16/sirio/t_77m_16f61d2.png
…ecc.

Ma la storia non finisce qui, il trojan downloader (sarebbe opportuno chiamarlo “il bastardo” visto quello che fa) chiede l’accesso al DNS/RPC Client Service
http://img37.imagefra.me/img/img37/2/9/16/sirio/t_16ogpm_246b6a9.png
e io glielo concedo per controllare dove vuole andare a parare
http://img37.imagefra.me/img/img37/2/9/16/sirio/t_15m_8f8c176.png
ovviamente bloccata e non ho avuto altre richieste per altri IP, comunque ad intervalli regolari ci riprova per poter scaricare altro malware
http://img39.imagefra.me/img/img39/2/9/16/sirio/t_192gnnk8cm_e6b50f9.png

Il lavoro del virus è incessante, tanto che mi sta rompendo e arrivato alla centesima richiesta decido di trattarlo come Applicazione Isolata
http://img37.imagefra.me/img/img37/2/9/16/sirio/t_122m_f07daaf.png
e chiudo la finestra DOS… ma lui non si spaventa e continua a rimanere attivo
http://img40.imagefra.me/img/img40/2/9/16/sirio/t_14e9cm_88944b0.png

Arrivato a questo punto prima di riavviare faccio delle scansioni per verificare eventuali infezioni ma, a parte i processi attivi e i file relativi
http://img40.imagefra.me/img/img40/2/9/16/sirio/t_14a5m_0e7801d.png
non trovo altro
http://img40.imagefra.me/img/img40/2/9/16/sirio/t_124m_f412fc6.png

http://img40.imagefra.me/img/img40/2/9/16/sirio/t_1cuq1g5qr5mm_1189d74.png

Al riavvio RVS 2010 spazzerà via i processi e i file su C:.

Come abbiamo visto CIS con le regole a default ci protegge eccetto le altre partizioni, aggiungendo le partizioni ai File Protetti ci proteggerà contro ogni attività di b.css.

I pop-up non sono necessariamente in sequenza e ovviamente ho messo solo quelli che ritenevo importanti per far capire, il log completo lo potete scaricare da qui (link).

Poi proverò abbinando xyplorer.

Saluti 8)

#11

che virus… assolutamente da evitarlo O.o

#12

Articolo interessante, soprattutto per il fatto di aver evidenziato il problema (e la soluzione) di eventuali vulnerabilità agli altri drive.

Veramente un bastardone!

Da notare in Process Explorer come il fetente assuma il nome di un noto antivirus cinese: “Rising RsShell” !!

Altra cosa da notare è il numero IP che cerca di contattare per scaricare altro malware:

Whois query for 76.73.77.85

Results returned from whois.arin.net:

OrgName: FDCservers.net
OrgID: FDCSE
Address: 141 w jackson blvd.
Address: suite #1135
City: Chicago
StateProv: IL
PostalCode: 60098
Country: US

ReferralServer: rwhois://rwhois.fdcservers.net:4321

NetRange: 76.73.0.0 - 76.73.127.255
CIDR: 76.73.0.0/17
OriginAS: AS30058
NetName: FDCSERVERS
NetHandle: NET-76-73-0-0-1
Parent: NET-76-0-0-0-0
NetType: Direct Allocation
NameServer: NS3.FDCSERVERS.NET
NameServer: NS4.FDCSERVERS.NET
Comment:
RegDate: 2009-02-02
Updated: 2009-04-08

… e che già nel 2005 questi server risultavano segnalati/pericolosi:

#13

Grazie yeiazel :slight_smile:

non avevo controllato l’IP della “mamma” :smiley: …però immaginavo che non fosse niente di buono.

Ciao :wink:

#14

Riguardavo il test… e c’è da dire una cosa a favore del D+ con le regole a default: è vero che non ferma la creazione di autorun.inf nelle partizioni che trova… però blocca la creazione di TPR.PIF (il virus vero e proprio)
http://img38.imagefra.me/img/img38/2/9/18/sirio/t_2bm_7d5dd09.png

http://img38.imagefra.me/img/img38/2/9/18/sirio/t_27m_dd6c067.png
, senza il quale, le istruzioni contenute in autorun.inf non possono nulla (non trovando il TPR.PIF) ergo, il solo autorun.inf è innocuo.
Così ho interpretato la cosa… poi può darsi che non sia del tutto esatta ;D ;D

#15

Vista SP2
CIS 3.12.111745.560 Proactive Security - Defense+ in Paranoico
Returnil 2010 Home Lux 3.0.6517.4958

MD5 : fbfcfcc369bb7fdf07ac5b9f36dc58ad

Analisi su VirusTotal : http://www.virustotal.com/analisis/57a8e1828ba4d0cf42e23a9e8113848c6290a220b88b0aff738fa783425364c1-1257693666

N.B. Le analisi eseguite su ThreatExpert e CIMA sono con il campione di ieri, infatti l’MD5 e lo SHA-1 risulta differente da quello di oggi, anche se comunque il malware è sempre lo stesso.

Analisi su ThreatExpert : http://www.threatexpert.com/report.aspx?md5=834c84334a497851ee7a8d256408e6ec

Analisi su CIMA : http://camas.comodo.com/cgi-bin/submit?file=dc06ad9ca98c18d82174b639006a8e5f279041ce8d51b54876f3fdd572368c97

Oggi, navigando nel web è facile incontrare delle pagine come questa
http://img214.imageshack.us/img214/1042/25692113.th.png
che ci invita ad installare un fantomatico antivirus… e noi facilmente “abbocchiamo” :smiley:
Si, perché in realtà questo messaggio è fasullo e in realtà l’antivirus che andremo ad installare è un malware, un Rogue per essere precisi.

Andiamo avanti, clicco su Ok e si apre una pagina web dove vengono visualizzate le risorse del computer
http://img260.imageshack.us/img260/5250/80965064.th.png
fasulle anche queste, click su Ok e viene visualizzato un alert con i falsi malware rilevati
http://img402.imageshack.us/img402/9080/97457433.th.png
cliccando su Remove All si avvia il download del setup del malware.

Avvio il setup ed abbiamo questi avvisi dal D+:


http://img140.imageshack.us/img140/6893/60884845.th.png

http://img265.imageshack.us/img265/6651/39071561.th.png

http://img294.imageshack.us/img294/1540/42698092.th.png

http://img156.imageshack.us/img156/7112/56470480.th.png


http://img258.imageshack.us/img258/1439/96819147.th.png

http://img254.imageshack.us/img254/7417/101i.th.png
qui ho perso un popup, dove veniva segnalata la creazione di un file, penso dell’eseguibile, poi
http://img337.imageshack.us/img337/9615/121s.th.png

http://img211.imageshack.us/img211/4342/131v.th.png


http://img211.imageshack.us/img211/1103/43911396.th.png

http://img263.imageshack.us/img263/6271/96296962.th.png

http://img300.imageshack.us/img300/4363/161x.th.png

http://img258.imageshack.us/img258/5119/91383280.th.png


http://img134.imageshack.us/img134/6193/68501596.th.png
ed infine si cancella il setup
http://img137.imageshack.us/img137/1426/49804241.th.png

Saluti 8)

#16

Si, uso la suite completa compreso l’anti-virus.

A dir la verità, avendo a che fare coi virus tutti i giorni, il real-time lo tengo quasi sempre disabilitato perché mi intralcia il lavoro ;D

Da qualche giorno, approfittando della promozione di a-squared anti-malware, ho installato anche quello…

#17

Da parte mia la voglia di installare la suite completa è tanta, ma non ho ancora la totale fiducia nell’ antivirus…,per curiosità in Questo sito CAVS ti rileva qualcosa? AntiVir trova un Malware, avast! nulla…infatti sono passato nuovamente ad Avira.

Editato il link dal moderatore per motivi di sicurezza

#18

No, CAVS non rileva niente, l’unico avviso ricevuto è quello per un plug-in java (allego screenshot)

Ma di preciso cosa ti rileva AntiVir?

Quale modulo lo rileva?

P.S. Provato anche con Internet Explorer 8… stessa cosa.

Me lo da pulito anche il WebScanner MELANI.

[attachment deleted by admin]

#19

Avira mi da “HTML/Crypted.Gen”

#20

Anche a-squared lo vede (allego screen) :o

Segnalato.

[attachment deleted by admin]