Control Alt Virus

Da poco sta circolando un virus molto pericoloso su FaceBook, si tratta di uno dei virus più pericolosi del 2009 e si diffonde via posta sul medesimo sito. Dagli amici che sono stati infettati potrebbe arrivarvi una lettera con scritta una di queste possibili frasi:

- FaceBook message: Dancing Girl Drunk In The Pub- facebook Video (Last rated by Betsy Person)
- FaceBook message: Dancing girl oriental dance (Last rated by Abdul Kay)
- FaceBook message: Magnificent Striptease Dance (Last rated by Rosalind Lindsey)
- FaceBook message: Watch the Oooh! Super Beautiful Girl Dancing (Last rated by Delores Tucker)
- FaceBook message: Hot Girl Dancing At Striptease Dance Party

Come si può intuire, il video che dovrebbe arrivare dovrebbe mostrare una ballerina sexy che balla. Quando si clicca nel link, come descritto nell’articolo precedente, si richiede un falso aggiornamento di Flash Player, la versione “11″. Infatti cliccando sull’invito verrete automaticamente mandati su un sito maligno simile allo stesso Facebook ma che in realtà andrà ad installare sul computer un file chiamato Adobe_Player11.exe. Fate molta attenzione perchè difficilmente verrà rilevato dall’antivirus. In alcune delle sue varianti si può trovare un riferimento ad un programma chiamato “Adobe Media Player”, file inesistente che comunque è anch’esso un virus. Per essere sicuri dello scaricamento, i creatori stessi del sito fanno scaricare il programma dopo alcuni secondi dall’entrata nella pagina.

Secondo gli antivirus che rilevano questo tipo di virus, i danni sono molto elevati:

Questo virus viene chiamato Trojan-Downloader.Win32.Injecter.cnx (Kaspersky Lab) oppure TR/Dldr.Injecter.cnx (Avira GmbH)

E ricordate: se ricevete un invito a vedere il video di una ballerina eliminate immediatamente l’email!

Dopo la truffa riguardante i falsi codec, è stata creata una seconda truffa, ancora più pericolosa della prima. Si tratta di cloni di youtube, dove propongono dei video che però, per essere visti, necessitano di “una versione più aggiornata del flash player”.

Il player in questione non esiste, infatti è un virus che non appena scaricato e installato inizia a danneggiare il computer. E’ da precisare che anche dopo aver installato questo finto player, il filmato continua a non vedersi.

Ma bensì riprenderà a linkare il player. Non esiste quindi il video e il tutto è una messa in scena per far scaricare il virus. Non fatevi illudere da questi siti e ricordate: solo youtube, metacafe,google video e pochi altri sono totalmente attendibili!

Ultimamente stanno tornando di moda i virus trasmessi via WIndows Live Messenger. L’ultima scoperta risale ad un paio di giorni fa, quando un nuovo virus fa scrivere ai contatti “foto ha ha ” più il link del virus. Questo virus in realtà è un file .exe che riesce a imbrogliare la gente dalla fotografia, che non è altro che un’immagine jpeg. Quindi tutti lo avviano, pensando di trovare una foto, e invece trovano tutt’altro.

Nome tecnico: WORM/Rbot.101889 (Avira AntiVir)

Il virus, appena avviato, inizia a creare dei files, che poi verranno inseriti nell’avvio automatico. Questi files sono:

burnew.exe -> C:\Documents and settings\nome utente\impostazioni locali\temp\IXP000.TMP
iha.exe -> file temporaneo che verrà eliminato dopo il primo utilizzo
chqfpkkpjq.tmp -> C:\Documents and settings\nome utente\impostazioni locali\temp
drc.exe -> file temporaneo che verrà eliminato dopo il primo utilizzo
seneka.sys -> C:\WINDOWS\system32\drivers
u.exe-> C:\
ngcanep.exe -> C:\Windows\System32
somi.exe -> C:\
winlogon.exe -> (fasullo) C:\Windows
logon.exe -> C:\Windows\System32
uddb[1].exe -> C:\Documents and settings\nome utente\Impostazioni locali\Temporary Internet Files\Content.IE5\5G4ULE32
deckari369[1].exe -> C:\Documents and settings\nome utente\Impostazioni locali\Temporary Internet Files\Content.IE5\AOL4C0TL

In più darà un errore, ovvero che l’immagine non è possibile aprirla.

Molti antivirus non riescono a trovare questo virus per ora, perciò è da evitare di aprire questo ingannevole file.

Screenshot:

Downadup, anche detto Conficker sfrutta una vulnerabilità dei sistemi operativi Windows, che in determinate condizioni permette l’esecuzione di codice remoto, esponendo dunque la macchina agli attacchi di utenti malintenzionati. I danni della prima variante di questo worm erano stati “mitigati” dal rilascio tempestivo – da parte di Microsoft – di una patch siglata MS08-067.
A quanto pare non tutti hanno fatto l’aggiornamento. Almeno a giudicare dai dati di diffusione della nuova variante “B” di Conficker, riportati da CNN.com. Conficker “B” fa infatti leva sulla stessa vulnerabilità usata da predecessore, anche se il livello di rischio in caso di infezione ora è più alto. Il nuovo worm proviene dall’Ucraina e dispone di una funzionalità “phone home”, ossia dopo essersi insediato su un sistema è in grado di connettersi ad un server da cui riceve istruzioni su come agire.
Giungono notizie di infezioni su larga scala registrate sia in Europa, che negli Stati Uniti e in Asia. In quasi tutti i casi si trattava di grosse reti aziendali. I PC domestici coinvolti sarebbero invece pochi.
Conficker non si diffonderebbe via mail o web, perché i firewall sono sufficienti a bloccarlo. La propagazione dunque avviene solo se una macchina già infetta viene collegata ad una LAN. A quel punto il worm inizia immediatamente una scansione della rete locale, per cercare nuove macchine da infettare. Ad essere vulnerabili – come già riportato – sono unicamente i sistemi privi della patch MS08-067.

Quasi tutti i sistemi operativi sono a rischio critico, in particolare dai sistemi di Windows Server 2003 in giù e moltissimi non sono ancora stati aggiornati.

Vi sono vari aggiornamenti disponibili per bloccare il buco, ognuno diverso per ogni sistema operativo:

Guardate questo sito per trovare il vostro sistema operativo e scaricare gli updates

Ringraziamenti: GData per la notizia

La nuova tecnologia ha permesso a degli hacker di iniettare dei virus sul più diffuso formato di riproduzione musicale: gli MP3. Questa nuova tipologia di virus si diffonde attraverso i famosi P2P (Peer To Peer), ove ci sono la maggior parte dei virus (più dei siti web). In realtà non è un file audio ma bensì un file ASF (ovviamente mascherato in .MP3) che, per riprodurre la musica, richiederà un determinato codec, che non è altro che un Trojan.Backdoor (ovvero un virus che entra nel pc, apre una porta nel modem o in un router e fa in modo che i malintenzionati entrino nel vostro pc per sottrarre informazioni e/o danneggiare il vostro computer). Questo Trojan.Backdoor, una volta installato, aprirà immediatamente una porta e farà entrare il malintenzionato per fare attività illecite. Una delle particolarità del Trojan in formato MP3 è quella che non cambia l’estensione, in modo da non far capire al malcapitato che sta succedendo. Per combattere questo tipo di virus è necessario un valido antivirus, che protegga, soprattutto se avviato, in tempo reale con tanto di firewall.

Ecco a voi una semplice guida di come evitare i più pericolosi virus che ci sono in giro per eMule. Solitamente, quando fate una ricerca, magari quando cercate file introvabili che hanno poche fonti, entrano in circolo dei file che hanno una disponibilità di fonti altissime. Questi file non sono altro che tipi di virus molto pericolosi, che prendono una velocità altissima dopo averli messi a scaricare. Esistono 2 tipi di virus: il primo offre uno svariato numero di files

E il secondo ne offre 7:

Come potete notare, le fonti hanno un numero eccessivamente elevato: partono da 9000 fino a 50000 fonti, che un normale file non potrebbe avere. Dopo averlo messo a scaricare, la velocità sarà altissima:

E finirà molto preso il download del file. In seguito se provate a visualizzare il contenuto, sarà tipo questo:

E, dopo una scansione, il risultato è:

La stessa cosa vale per tutti gli altri file che saranno come quelli, solo che avranno una variante di virus diversa. Perciò attenti a questi file che hanno troppe fonti!

In questi giorni sta circolando un nuovissimo Rogue: XP AntiSpyware 2009

Questo software, che viene linkato da molti siti warez attraverso popups, viene scaricato da questo sito (lo copro da asterischi per evitare che sia pubblicità ma bensì e per sicurezza) http://www.****2009.com/

Appena viene avviato (e confermata l’istallazione) apparirà questa schermata (un ringraziamento ad Avira per l’immagine) e incomincierà a istallare il programma e i vari virus che molto probabilmente rileverà SOLO lui. Dopo questo partirà da sola una scansione e vi rileverà dai 27 ai 32 virus nel vostro sistema e vi chiederà soldi per eliminarli. Ovviamente voi non dove darli poichè l’antivirus non esiste e non vi eliminerà nulla.

Dati tecnici del rogue (Clicca sul nome per visualizzare tutte le informazioni)

Ringraziamenti:

Admin: Creazione dati tecnici e articolo

Avira AntiVir: screen istallazione del rogue

Da oggi sta circolando velocemente un nuovo virus che, per ora, rileva solo Kaspersky come “Trojan-Downloader.Win32.Banload.dcd”

Questo virus è stato scritto in Visual Basic e scarica da internet moltissimi malware. Vediamo sul dettaglio che fa:

Una volta aperto, il programma si copia nella cartella di Windows come “lsass.exe”

(X):\%Program files%\Microsoft Studio Files\lsass.exe

In seguito il programma crea un valore nel registro che gli permette di avviarsi insieme a Windows:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
“lsass” = “%Program Files%\Microsoft Studio Files\lsass.exe”

Il Trojan crea un comando DOS (file batch) che si chiamerà “vcdg.bat”

%Program Files%\Microsoft Studio Files\vcdg.bat

In più scrive una “autorizzazione” al firewall di sbloccare l’applicazione al download del malware:

netsh.exe firewall add allowedprogram PROGRAM=”%Program Files%\Microsoft Studio
Files\lsass.exe” NAME=”Session Win32″ MODE=ENABLE PROFILE=ALL

Grazie a ciò, infetterà il nostro pc di virus perchè gli antivirus non rilevano il virus e il firewall è stato disabilitato. Il Trojan prende il files da questi siti:

http://www.club-vw.cl/*****/modules/subsmanager/api_apache.tar
http://www.*****-consult.net/rcss.res
http://www.photo-*****.ru/images/exhibition_moll2005_file0031.jpg

E per finire prende quando non è attivo questa immagine:

http://www.cemm*****ac.at/img/nav/plus19a_RO.jpg

che ha al suo interno un Spyware.

—— Eliminazione senza Anti-Virus ——

1) Apri il Task Manager (Ctrl+Alt+Canc); (Ctrl+Shift+Esc)

2) Termina il processo lsass.exe (uno è del sistema, NON TOCCARE QUELLO!)

3) Start > Esegui > Regedit e vai su:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
“lsass” = “%Program Files%\Microsoft Studio Files\lsass.exe”

ed elimini la stringa

4) Elimini la cartella del virus

%Program Files%\Microsoft Studio Files

5) Cancella TUTTI i file Temporanei

Fonte: Kaspersky Lab

Avete paura che il vostro antivirus non funzioni come si deve? Siete incerti del vostro antivirus? Provate allora il virus innocuo della EICAR

EICAR è la sigla di un virus fittizio creato dall’European Institute of Computer Anti-virus Research per testare il funzionamento dei programmi antivirus (per evidenti ragioni, sarebbe una pessima idea effettuare il test con un virus autentico), si tratta infatti di un piccolo file assolutamente innocuo che tutti i software, per un reciproco accordo fra i produtori, riconoscono convenzionalmente come se fosse un vero virus.
Il file, se non viene bloccato dall’antivirus, fa semplicemete comparire una finestra ms-dos con la scritta “EICAR-STANDARD-ANTIVIRUS-TEST-FILE!“

Per testare il funzionamento dell’antivirus sulla macchina che state usando, provate a scaricare il file “eicar.com” facendo click qui ; se il programma funziona correttamente, dovrebbe comparire la finestra di allarme virus “eicar”. Se invece non compare niente e riuscite a scaricare e ad aprire il file senza problemi, significa che l’antivirus non è in funzione (la macchina non lo possiede, oppure non è stato attivato). In questo caso sarà bene provvedere al più presto.

Potete anche crearvi da soli il file eicar.com ricopiando in un editor di testo (come blocco note di Windows) la seguente linea, senza nessuna modifica o aggiunta:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

e salvando il tutto col nome “eicar.com” (ammesso che l’antivirus ve lo consenta).
Dopodiché, facendo doppio click sul file, dovrebbe di nuovo comparire la finestra di allarme virus, e lo stesso dovrebbe accadere provando a lanciare la ricerca di virus su tutti i file del disco.

Ricordate che questo virus è rilevato da TUTTI gli antivirus, perciò se non funziona potrebbe non essere aggiornato o anche disattivato

Da quando è nato Habbo Hotel in Italia c’è sempre stato il problemaccio dei soldi, ottenibili esclusivamente chiamando i numeri a pagamento o andando a comprare le “habbo card”. Da qui, sono nate centinaia di truffe, che tutt’oggi riescono a imbrogliare i meno esperti. Vediamo quali sono le truffe più ricorrenti:

- Creano un sito simile ad habbo dove chiedono spesso nome e pass per farvi ottenere crediti, furni o altre cose che possano invogliare l’utente (possibilmente ricco) a inserire i propri dati per poi accedere quando non c’è e rubare tutto ciò che ha.

Questa è la truffa più ricorrente del momento, in quanto ho già visto ben 2 siti con la stessa truffa

-> ttgratis.tk (maschera di blabla.helloweb.eu)

-> ligrex.altervista.org

->http://www.habbocrediti.tk/ (Ringrazio Eugenio per la segnalazione)

- Un’altra truffa più o meno simile è quella dove creano una sorta di verifica di nome e password (con codice di sicurezza per far credere che è vero)  e in cambio regalano un oggetto. Anche quella serve solo per rubare nome e password di un habbo.

- Altra truffa riccorrente è quella di chiamare il numero 899 etc. e inserire un ipotetico ID (loro dicono che lo usano i mod per non pagare)  che è il loro e quando chiamate i soldi arrivano a loro.

Citazione di una lettera:

“chiamate il 899907024 e inserite
01873704 quando la voce ve lo chiede… riceverete 50 habbo cred… nn chiudete la telefonata fino a qnd nn sentite il rumore dei soldi.”

Come potete notare, il numero “01873704″ è di quello che ha scritto la lettera, perciò a lui arriveranno i soldi.

- Altra truffa è quella di entrare in una stanza e poggiare lì i crediti/furni e dopo li ritroverete o soldi o furni che volete… Non è possibile che succeda questo perchè è una stanza come tutte le altre.

E infine le truffe in diretta:

SDOPPIARE O DUPLICARE CREDITI O FURNI

NON esiste nessun modo per duplicare un oggetto. (diffidare dagli altri che vi dicono di poggiare l’oggetto e poi lo duplicano perchè quando lo poggiate l’oggetto diventa loro e poi vi bandiscono e venite truffati) NON potete in nessun modo duplicare.

Vi consiglio  di usare i metodi elencati nel sito ufficiale di habbo per non essere truffati. Nessun metodo esiste per duplicare poichè habbo aggiorna sempre. Diffidate dai programmetti di youtube che sono solo virus (Habbo devil, Rape Habbo, Dice Rigget e tutti gli altri)