PDA

Visualizza versione completa : Virus e Spyware Rilevato backdoor.win32.cmjspy!IT



Armandillo
17-04-10, 19: 12
:bai

Ho da non molto effettuato una scansione con A-Squared e mi ha rilevato il malware suddetto.
Ho provveduto alla rimozione e dato che si trovava anche nella cartella nascosta "system volume information" ho provveduto ad eliminare anche i punti di ripristino.

Ora e' in corso una seconda scansione.
In rete non ho trovato informazioni circa questo virus e mi premeva sapere se dopo la sua rimozione siano necessari altri accorgimenti (tipo cambiare la password della posta) visto che probabilmente era presenta da almeno una settimana ! :triste

Per informazione adopero ZoneAlarm, Spybot (teatimer attivo) e Avast free aggiornato ma non avevano rilevato il malware.

Grazie :bai

Asterix
17-04-10, 20: 11
Ciao

verifica la presenza di questi file:

# %System%\Fgdfd .exe
# %System%\Fgdfd.exe

* Tdllcope.vxd
* Systemdllx.vxd
* Cfgxix.xi (This file is subsequently deleted.)
* Hlicense.vxd (This file is used to store keylogging data.)
* Ppx.txt
* Ppkey.txt

Ti consiglio di leggere anche questo backdoor.Cmjspy (http://www.symantec.com/security_response/writeup.jsp?docid=2003-050115-4247-99&tabid=3)

PS. si è cosa buona variare le password

:bai

Armandillo
17-04-10, 23: 46
:bai

Grazie Asterix per la risposta
Dopo la seconda scansione di A-squared non ho trovato nulla; stessa cosa con Malwerbyte

Non ho trovato quei files che mi indicavi ed ho provveduto a cambiare password
Purtroppo questa esperienza ha messo in evidenza la scarsa efficienza di Spybot che non ha rivelato il malware

Dovro' stare piu' attento :sisi

:bai

Asterix
18-04-10, 08: 53
Attenzione Spybot non è un antivirus quindi è normale che certe infezioni non vengan rilevate.

:bai

Sworm
18-04-10, 09: 19
Attenzione Spybot non è un antivirus quindi è normale che certe infezioni non vengan rilevate.

:bai

Come anche Avast Free del resto :bgg2

Ci sono tanti antivirus discreti che offrono quantomeno una protezione abbastanza "opportuna" verso certi generi di malware..... Avast non si smentisce purtroppo!

Armandillo
18-04-10, 11: 08
Ci sono tanti antivirus discreti che offrono quantomeno una protezione abbastanza "opportuna" verso certi generi di malware..... Avast non si smentisce purtroppo!

:bai

Beh, tra i free, Avast e Avira sono considerati i migliori e, da quanto letto, nessuno di questi "protegge" dai malware !
D'altra parte dopo quasi 2 anni di utilizzo questa e' stata la prima volta che una minaccia seria sia giunta sul pc dovuto al fatto, anch'esso unico, di aver dovuto installare un gioco per la mia compagna !!

Piuttosto penso che una mancanza piu' rilevante sia quella di non trovare un antimalware "residente" valido :sisi

Comunque la mia "triade" ZoneAlarm-Avast-Spybot, fino ad ora, si era ben comportata intercettando la gran parte di minacce

:bai

Sworm
18-04-10, 14: 19
Certo, figurati,
la mia è solo un'opinione personale dovutaad esperienze passate assolutamente negative. Avira è secondo me assolutamente su un altro livello rispetto ad avast.
Non mi piacciono nemmeno Spybot e zonealarm.

PS

da quanto letto, nessuno di questi "protegge" dai malware !

Scrivendo Malware si indica una classe generica di software malevoli nocivi (http://it.wikipedia.org/wiki/Malware) nella quale sono inclusi anche Worm e Trojan..... Perdonami ma se un antivirus anche freeware, non protegge, rimuovendo almeno una parte di tutti questi codici maligni inclusi rootkit e backdoor (non esiste un antivirus in grado di proteggere al 100% i vari pc), che antivirus è?

:bai

ganzo123
18-04-10, 18: 02
Solitamente un antivirus freeware protegge da virus, spyware, trojan, worm, script nocivi, qualche adware e alcuni proteggono anche dai rootkit.
Direi che è una protezione accettabile.

Non so cosa di preciso ha rilevato Armandillo, però faccio presente che A-Squared è sempre stato soggetto a numerosi falsi positivi...e il fatto che sia stato detto che era presente da circa una settimana non depone molto a suo favore...ovviamente secondo me.

:bai

principe andry
18-04-10, 18: 12
Salve, chiedo qui perchè la domanda è molto simile. Ho fatto una scansione con Malwarebytes' senza motivo, ovvero per puro controllo, anche se non ho riscontrato alcun sintomo di un eventuale infezione, ed ecco cosa mi trovo:
http://img392.imageshack.us/img392/9707/immagineae.th.jpg (http://img392.imageshack.us/i/immagineae.jpg/)
Il fatto che ci sia scritto Backdoor dovrebbe farmi cancellare senza pensare a quei file se non sbaglio, ma mi sorge il dubbio e preferisco chiedere :sisi
Non c'entra nulla il fatto che abbia condiviso una cartella in rete? Forse è solo una coincidenza, ma non credo di aver mai fatto una scansione prima di aver creato questa condivisione e quindi non so se sono degli eventuali falsi positivi.

PS: in questo test non sembra essere così male Avast -> click (http://www.techup.it/articoli/comparativa_antivirus_2010?page=0%2C30)
ce l'ho avuto per un bel pò. Ora ho Avira ma l'ho cambiato solo per provare :eye

Grazie :bai

Armandillo
18-04-10, 18: 28
Non so cosa di preciso ha rilevato Armandillo, però faccio presente che A-Squared è sempre stato soggetto a numerosi falsi positivi...e il fatto che sia stato detto che era presente da circa una settimana non depone molto a suo favore...ovviamente secondo me.

Purtroppo Ganzo il file log l'ho cancellato, comunque A-squared mi ha rilevato esattamente il malware come da titolo indicandolo come "rischio alto".

Siccome ho dovuto installare un vecchio gioco...:ehmm....per la signora, effettuando l'operazione di installazione di segnali non ne ho avuti.
Poi, effettuando la settimanale scanzione con A-squared il malware e' saltato fuori.

In quella settimana di permanenza non ho notato cose strane anche perche' qualche volta il controllo lo effettuo "veloce" per le sole cartelle di sistema.

:bai

ganzo123
18-04-10, 18: 58
Ciao Armandillo!

Purtroppo Ganzo il file log l'ho cancellato, comunque A-squared mi ha rilevato esattamente il malware come da titolo indicandolo come "rischio alto".

Non metto in dubbio che ti abbia mostrato quell'infezione, quello che intendo io è che ti abbia segnalato quell'infezione su file che in realtà non lo erano: questa è la definizione di falsi positivi (http://www.notrace.it/glossario/falso-positivo/).
Poi magari effettivamente era quel tipo di infezione, se però le scansioni con tutti gli altri software non hanno rilevato nulla, un ragionevole dubbio mi viene conoscendo A-Squared.


@ principe andry:
Quei due file per me sono legittimi e non li eliminerei.

:bai

Armandillo
18-04-10, 19: 20
Non metto in dubbio che ti abbia mostrato quell'infezione, quello che intendo io è che ti abbia segnalato quell'infezione su file che in realtà non lo erano

So che e' possibile che l'antivirus venga ingannato ma c'e' quel " :ehmm " che mi fa pensare di no !! :oo2

:bai

pluto63
18-04-10, 19: 54
e uploadare il file su virustotal (http://www.virustotal.com/)? non sarebbe stato utile per capire qualcosa in più.:ehmm

principe andry
18-04-10, 20: 29
Quei due file per me sono legittimi e non li eliminerei.
Detto da te mi fido :tong2

Quel sito (virus total) mi segnala 2/37 per il primo file (click (http://www.virustotal.com/it/analisis/0f668d932a1a73bc085727d6b7d47d0fb5791a8fee9d747620 2746eaf765bf9e-1233180788)) e 1/40 per l'altro (click (http://www.virustotal.com/it/analisis/274440b25bfbcd4dfe89d38ac9c72c4be32a0aa83ced7f7d47 d0fb7d612da7f2-1271614953)). Altri falsi positivi? :boh

:bai

ganzo123
19-04-10, 10: 54
So che e' possibile che l'antivirus venga ingannato ma c'e' quel " :ehmm " che mi fa pensare di no !! :oo2

Cosa ti ha fatto pensare di no? Il nome della minaccia?



Altri falsi positivi? :boh

Vedendo quei risultati ne sono ancora più convinto: secondo me sono false rilevazioni.

:bai

Armandillo
19-04-10, 15: 43
Cosa ti ha fatto pensare di no? Il nome della minaccia?

No, il fatto che quel gioco sia ....:ehmm....ci siamo capiti !! :oo2
Inoltre la sua provenienza avvalora il fatto che effettivamente quel malware sia stato messo apposta.

Comunque se quel malware, da quanto ho capito, non si propaga con la semplice copia e/o lettura, posso sempre fare una prova facendo leggere il cd ad altro antivirus

:bai

Armandillo
25-04-10, 15: 43
:bai
Mi scuso di postare due volte consecutivamente ma ho provato, come suggerito, ad inviare quel file sospetto a VirusTotal e questo e' l'esito:


a-squared 4.5.0.50 2010.04.10 Backdoor.Win32.Cmjspy!IK
AhnLab-V3 5.0.0.2 2010.04.10 -
AntiVir 7.10.6.55 2010.04.09 -
Antiy-AVL 2.0.3.7 2010.04.09 -
Authentium 5.2.0.5 2010.04.10 -
Avast 4.8.1351.0 2010.04.10 -
Avast5 5.0.332.0 2010.04.10 -
AVG 9.0.0.787 2010.04.10 -
BitDefender 7.2 2010.04.10 -
CAT-QuickHeal 10.00 2010.04.10 -
ClamAV 0.96.0.3-git 2010.04.10 -
Comodo 4557 2010.04.10 -
DrWeb 5.0.2.03300 2010.04.10 -
eTrust-Vet 35.2.7418 2010.04.09 -
F-Prot 4.5.1.85 2010.04.10 -
F-Secure 9.0.15370.0 2010.04.10 -
Fortinet 4.0.14.0 2010.04.10 -
GData 19 2010.04.10 -
Ikarus T3.1.1.80.0 2010.04.10 Backdoor.Win32.Cmjspy
Jiangmin 13.0.900 2010.04.10 -
Kaspersky 7.0.0.125 2010.04.10 -
McAfee-GW-Edition 6.8.5 2010.04.09 -
Microsoft 1.5605 2010.04.10 -
NOD32 5015 2010.04.10 -
Norman 6.04.11 2010.04.10 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.10 -
PCTools 7.0.3.5 2010.04.10 -
Rising 22.42.04.03 2010.04.09 -
Sophos 4.52.0 2010.04.10 Sus/EncPk-LT
Sunbelt 6161 2010.04.10 -
Symantec 20091.2.0.41 2010.04.10 -
TheHacker 6.5.2.0.259 2010.04.10 -
TrendMicro 9.120.0.1004 2010.04.10 -
VBA32 3.12.12.4 2010.04.09 -
ViRobot 2010.4.10.2270 2010.04.10 -
VirusBuster 5.0.27.0 2010.04.10 -


Aggiungo che una scansione di Avira non lo ha segnalato

:bai

ganzo123
25-04-10, 16: 20
Ciao Armandillo!
Però non hai ancora detto quale file ti viene segnalato come infetto...

Come immaginavo il file che hai fatto controllare viene rilevato solo da A-Squared e Sophos lo ritiene sospetto (quindi non per forza infetto). Ha tutta l'aria di essere un falso positivo.

:bai