leggete qui:
http://www.acquaworld.it/forum/phpBB2/v ... ?p=489#489
è stato shark ad avvisarmi e abbiamo ben pensato di dirlo anche sul forum
state ATTENTI !
[OT]attenzione, Virus in circolazione
Moderator: Moderatori per il Forum Italiano
-
-Spark-
- Posts: 1990
- Joined: Sun, 26. Feb 06, 20:02
[OT]attenzione, Virus in circolazione
Ragazzi c'è un virus che circola e arriva via e-mail spacciandosi per un video
leggete qui:
http://www.acquaworld.it/forum/phpBB2/v ... ?p=489#489
è stato shark ad avvisarmi e abbiamo ben pensato di dirlo anche sul forum
state ATTENTI !
leggete qui:
http://www.acquaworld.it/forum/phpBB2/v ... ?p=489#489
è stato shark ad avvisarmi e abbiamo ben pensato di dirlo anche sul forum
state ATTENTI !
-
stevejo
- Posts: 777
- Joined: Tue, 26. Oct 04, 14:15
...grazie Peppe...xò non è che se scarico il tool x levare il trojan mi becco il virus? cioè, sul forum si dice che ancora non è stato trovato il rimedio, e poi mi mettono il tool. non è che la furbata è quella di mettere un falso avviso di una falso video (che poi non sarebbe vero), x far scaricare a tutti il tool x toglierlo, il quale tool poi conterrebbe il vero firus?
cioè...cioè...cioè...cioè...cioè....
...ERROR...ERROR...ERROR....
...c:\format Cervell:
format Cervel: are you sure? y n
boh!
Vabbè, la mia era solo una congettura, cmq grazie veramente.
P.S. Ma se ne inventano x fregarci eh? Pure la finta caccia alle balene....tra poco metteranno come specchietto x le allodole
"Video sulla caccia-ta della Lecciso"...evvaiiiiii
cioè...cioè...cioè...cioè...cioè....
...ERROR...ERROR...ERROR....
...c:\format Cervell:
format Cervel: are you sure? y n
boh!
Vabbè, la mia era solo una congettura, cmq grazie veramente.
P.S. Ma se ne inventano x fregarci eh? Pure la finta caccia alle balene....tra poco metteranno come specchietto x le allodole
"Video sulla caccia-ta della Lecciso"...evvaiiiiii
RANK: *CAPO INDUSTRIALE* - *CROCIATO*
- Stazioni: 6 Mega-Complessi (118 stazioni)
- 1 Spazioporto Officina
M2=2; M7=1; TL=1; M6=5; M3=12; M5=1; TS=46
- Stazioni: 6 Mega-Complessi (118 stazioni)
- 1 Spazioporto Officina
M2=2; M7=1; TL=1; M6=5; M3=12; M5=1; TS=46
-
Aken_Bosch
- Moderator (Italiano)
- Posts: 4488
- Joined: Wed, 29. Jun 05, 17:05
'a regà, arrivate tardi!!
Parlando seriamente, confermo assolutamente la serietà della notizia per esperienza diretta....dalla metà della settimana scorsa, mi sono già arrivati 3 pc infetti da pio12...di cui uno lo sto sistemando proprio adesso
Vorrei inoltre aggiungere che a pio12.dll si è aggiunto un'altro trojan downloader, kaboom.dll, viene installato con gli stessi allegati, ed entrambi vengono registrati come BHO (Browser Helper Object, possono essere identificati e rimossi con programmi come Hijackthis).
Inoltre, i nomi dell'allegato possono essere diversi, quello della caccia alle balene è stato solo il primo, gli oggetti possono variare dalla caccia ai cuccioli di foca all'uragano Ivan, con gli allegati "filmato_amato_riale_01.asx" o "censu_red_video.asx"...quindi occhio mi raccomando
Comunque, almeno fino ad'ora non mi sono sembrati tra i malware più difficili da rimuovere...per entrambi è bastato eliminare le due false librerie da modalità provvisoria (accesso da amministratore, i file danno altrimenti accesso negato se si tenta di modificarli), più gli eventuali file exe aggiunti (solo in un caso su 3 ho trovato il setupw.exe e l'ietool.exe farlocchi, negli altri c'erano solo le librerie), in seguito editare il registro (comando Esegui-->regedit) eliminando manualmente tutti i riferimenti a pio12 e kaboom...in ogni caso, ho visto che "Hijackthis" identifica e permette di eliminare senza troppi sbattimenti le chiavi di registro BHO, che poi sono quelle veramente importanti....tutti gli altri riferimenti ai due file nel registro si trovano nelle sezioni "AppID" e "CLSID", che se non ho capito male come funziona dovrebbero solo identificare le funzionalità delle classi di oggetti registrate nel sistema operativo per l'utilizzo da interfaccia COM (roba interna all'OS, quindi nulla che interessa noi comuni mortali
)...ma se vengono eliminati i riferimenti BHO, le definizioni di classe sono assolutamente inerti, quindi se non ci si fida si possono lasciare dove sono 
Spero di aver fornito qualche informazione utile
Parlando seriamente, confermo assolutamente la serietà della notizia per esperienza diretta....dalla metà della settimana scorsa, mi sono già arrivati 3 pc infetti da pio12...di cui uno lo sto sistemando proprio adesso
Vorrei inoltre aggiungere che a pio12.dll si è aggiunto un'altro trojan downloader, kaboom.dll, viene installato con gli stessi allegati, ed entrambi vengono registrati come BHO (Browser Helper Object, possono essere identificati e rimossi con programmi come Hijackthis).
Inoltre, i nomi dell'allegato possono essere diversi, quello della caccia alle balene è stato solo il primo, gli oggetti possono variare dalla caccia ai cuccioli di foca all'uragano Ivan, con gli allegati "filmato_amato_riale_01.asx" o "censu_red_video.asx"...quindi occhio mi raccomando
Comunque, almeno fino ad'ora non mi sono sembrati tra i malware più difficili da rimuovere...per entrambi è bastato eliminare le due false librerie da modalità provvisoria (accesso da amministratore, i file danno altrimenti accesso negato se si tenta di modificarli), più gli eventuali file exe aggiunti (solo in un caso su 3 ho trovato il setupw.exe e l'ietool.exe farlocchi, negli altri c'erano solo le librerie), in seguito editare il registro (comando Esegui-->regedit) eliminando manualmente tutti i riferimenti a pio12 e kaboom...in ogni caso, ho visto che "Hijackthis" identifica e permette di eliminare senza troppi sbattimenti le chiavi di registro BHO, che poi sono quelle veramente importanti....tutti gli altri riferimenti ai due file nel registro si trovano nelle sezioni "AppID" e "CLSID", che se non ho capito male come funziona dovrebbero solo identificare le funzionalità delle classi di oggetti registrate nel sistema operativo per l'utilizzo da interfaccia COM (roba interna all'OS, quindi nulla che interessa noi comuni mortali
)...ma se vengono eliminati i riferimenti BHO, le definizioni di classe sono assolutamente inerti, quindi se non ci si fida si possono lasciare dove sono Spero di aver fornito qualche informazione utile
-
m3lkor
- Posts: 344
- Joined: Sat, 29. Apr 06, 11:46
Regola basilare di Internet:
Non aprire gli allegati provenienti da utenti non conosciuti.
Corollario alla regola basilare
Se l'utente è conosciuto ma non vi aspettate un file eseguibile da lui, non apritelo prima di avere conferma della sicurezza di quest'ultimo.
Corollario di Murphy alla regola basilare
Se l'utente è conosciuto e vi aspettate un file eseguibile da lui, questo file conterrà il virus più nocivo.
Non aprire gli allegati provenienti da utenti non conosciuti.
Corollario alla regola basilare
Se l'utente è conosciuto ma non vi aspettate un file eseguibile da lui, non apritelo prima di avere conferma della sicurezza di quest'ultimo.
Corollario di Murphy alla regola basilare
Se l'utente è conosciuto e vi aspettate un file eseguibile da lui, questo file conterrà il virus più nocivo.
![[ external image ]](http://i.imgur.com/craAqAT.gif){kind=link}
![[ external image ]](http://img280.imageshack.us/img280/7397/xfirma9vg.jpg){kind=link}
-
stevejo
- Posts: 777
- Joined: Tue, 26. Oct 04, 14:15
...ovvio che prima scherzavo...co sti trojan non c'è proprio da scherzare. un mese fa, nonostante avessi "Ad-Aware" e "Spy-Sweeper", oltre a "Avast antivirus", me ne è entrato uno che non mi si levava, nessuno dei anti spy mi riconosceva, e ho dovuto formattare. Alla fine ho cambiato anche antivirus (sono passato a NOD).
Sempre allerta regà, ciaoooooooooo
Sempre allerta regà, ciaoooooooooo
RANK: *CAPO INDUSTRIALE* - *CROCIATO*
- Stazioni: 6 Mega-Complessi (118 stazioni)
- 1 Spazioporto Officina
M2=2; M7=1; TL=1; M6=5; M3=12; M5=1; TS=46
- Stazioni: 6 Mega-Complessi (118 stazioni)
- 1 Spazioporto Officina
M2=2; M7=1; TL=1; M6=5; M3=12; M5=1; TS=46
-
-Dna-
- Posts: 16661
- Joined: Mon, 3. Jan 05, 13:11
Ne manca una: se mandate file eseguibili, é sempre bene metterli i ncartelle .zipm3lkor wrote:Regola basilare di Internet:
Non aprire gli allegati provenienti da utenti non conosciuti.
Corollario alla regola basilare
Se l'utente è conosciuto ma non vi aspettate un file eseguibile da lui, non apritelo prima di avere conferma della sicurezza di quest'ultimo.
Corollario di Murphy alla regola basilare
Se l'utente è conosciuto e vi aspettate un file eseguibile da lui, questo file conterrà il virus più nocivo.
(così da evitare spiacevoli sorpese)PS.: ma allora io sto fresco: la posta stramba non la leggo neanche e la cancello
Remember: Good things don't come to an end: good things just stop. ~ [cit. Sean "Day[9]" Plott]
Xenon Love! \#/
Grill the Borons!
Real pirates (ab)use Jumpdrive (and Rum)
Xenon Love! \#/ Grill the Borons! Real pirates (ab)use Jumpdrive (and Rum) -
Aken_Bosch
- Moderator (Italiano)
- Posts: 4488
- Joined: Wed, 29. Jun 05, 17:05
Già, è vero, ma questo funziona tra noi che siamo tutti "genihackermaghidelcomputerchenoichesiamogiovanidiquestecosecapiamotutto"-Dna- wrote: Ne manca una: se mandate file eseguibili, é sempre bene metterli i ncartelle .zip
....ti assicuro che in Italia, della gente che usa comunemente internet e la posta elettronica:- un buon 80%-90% non ha minimamente idea di cosa sia veramente un "file";
- di questi, almeno l'80% ha un'idea ancora meno chiara di cosa possa essere un file "compresso";
- di quest'ultima parte della popolazione, almeno il 90% continua ostinatamente a non capire come trattare con i file compressi nemmeno dopo ripetute e approfondite spiegazioni, "perchè tanto sono sti computer che danno solo problemi, mannaggia a chi li ha inventati"
Finche ci saranno persone che pretendono di usare un pc come usano il tostapane, ci saranno sempre nuovi modi per fregarli
@Dna - forse dalle tue parti la cultura informatica è messa un pò meglio che in Italia....ma ti assicuro che qui da noi siamo ancora nel medioevo più buio
....-
-Dna-
- Posts: 16661
- Joined: Mon, 3. Jan 05, 13:11
Oh beh, non esageriamoAken_Bosch wrote:@Dna - forse dalle tue parti la cultura informatica è messa un pò meglio che in Italia....ma ti assicuro che qui da noi siamo ancora nel medioevo più buio
, diciamo che anche qui ci sono persone che usano i lettori CD come portatazze ( ) e che l'azione più evoluta che si compie con un PC é inviare la posta, scrivere una email o giocare (quiesti ultimi sono rari)... in generale:- almeno il 50% della gente di qui sa cosa é un file, e se sa cosa é un file sa quasi tutto ciò che deve sapere
- se sanno cosa é un file spesso sanno comprimerlo (almeno nel "mio piccolo" é così)
- la noia maggiore sono le lettere di catene che girano... che io odio profondamente
...certo, poi ci sono quelli che "fanno finta di usare un pc" (niubbi
) e quelli che "pensano di saperlo usare" (i più pericolosi perché possono fare di quei danni abnormi!).Remember: Good things don't come to an end: good things just stop. ~ [cit. Sean "Day[9]" Plott]
Xenon Love! \#/
Grill the Borons!
Real pirates (ab)use Jumpdrive (and Rum)
Xenon Love! \#/ Grill the Borons! Real pirates (ab)use Jumpdrive (and Rum) -
-Spark-
- Posts: 1990
- Joined: Sun, 26. Feb 06, 20:02
ragazzi ma io il computer lo so usare
spetta un attimo...perchè lo schermo è tutto nero...ah adesso è comparsa una scritta...c'è scritto errore fatale...mah
no apparte gli scherzi io il computer lo imparato ad usre guardando mio padre che lo usava e poi come sempre l' alunno a superato il maestro anche perchè mio padre più di tanto non ci sa fare
spetta un attimo...perchè lo schermo è tutto nero...ah adesso è comparsa una scritta...c'è scritto errore fatale...mah
no apparte gli scherzi io il computer lo imparato ad usre guardando mio padre che lo usava e poi come sempre l' alunno a superato il maestro anche perchè mio padre più di tanto non ci sa fare
-
shark84
- Posts: 70
- Joined: Thu, 27. Apr 06, 13:09
Raga, il tool è mio. cioè lo fatto io in una serata di lavoro, 
Quindi potete fidarvi che non e un virus.
AGGIUNGO ANCHE:
Se volete rimuoverlo vi basta fare Ctrl-Alt-Canc e poi dal taskmanager terminare i PROCESSI (scheda processi) rundll e explorer (perche' explorer simpaticamente blocca il pio12.dll
Dopo sempre dalla finestra del taskmanager scegliete File\Esegui ed andate a cercare i file kaboom e pio12 che si trovano in Windows\system32
Viso che il tool di rimozione e fatto da me vi posto il codice sorgente, io non ho nulla da tenere segreto:
Quindi potete fidarvi che non e un virus.
AGGIUNGO ANCHE:
Se volete rimuoverlo vi basta fare Ctrl-Alt-Canc e poi dal taskmanager terminare i PROCESSI (scheda processi) rundll e explorer (perche' explorer simpaticamente blocca il pio12.dll
Dopo sempre dalla finestra del taskmanager scegliete File\Esegui ed andate a cercare i file kaboom e pio12 che si trovano in Windows\system32
Viso che il tool di rimozione e fatto da me vi posto il codice sorgente, io non ho nulla da tenere segreto:
Code: Select all
Dim file As String
Call vbruntime
ftot = 0
i = i & "“Una nuova minaccia giunge nelle caselle degli italiani. Un trojan non ben ancora identificato da tutti i software antivirus si camuffa dietro un falso file video.”" & vbCrLf
i = i & "" & vbCrLf
i = i & "Solitamente il trojan usa l'email del utente infettato per inviare dei messaggi simili a questo esempio:" & vbCrLf
i = i & "" & vbCrLf
i = i & "OGGETTO: Video caccia alle balene, drammatico" & vbCrLf
i = i & "TESTO: a volte la tv non fa vedere certe cose… co nsiglio la visione del video allegato ad un pubblico “duro” buon lavoro a tutti" & vbCrLf
i = i & "ALLEGATO: filevideo__banned.asx" & vbCrLf
i = i & "" & vbCrLf
i = i & "Il file video allegato al email è falso e se si prova ad aprirlo Media Player chiederà di installare un codec per la visione del filmato, n realtà una volta cliccato sul link per il download dei codec verrà installato sul proprio pc un trojan downloader, sottoforma di pio12.dll nella directory di sistema di Windows che verrà poi registrato come BHO (Browser Helper OBject)." & vbCrLf
i = i & "" & vbCrLf
i = i & "Premi OK per rimuovere il trojan dal tuo computer:" & vbCrLf
Titolo = "pio12.dll Remover Tool (v.01) By pio12remover@hotmail.com"
risp = MsgBox(i, vbQuestion + vbOKCancel, Titolo)
If risp = vbCancel Then
MsgBox "Se vuoi altre info per rimuovere questo trojan prova a cercare pio12.dll con google.it, oppure guarda in questi siti: " & vbCrLf & vbCrLf & "http://www.hwupgrade.it/news/sicurezza/caccia-alle-balene-il-trojan-si-spaccia-per-video_16950.html" & vbCrLf & vbCrLf & "http://exploit.blogosfere.it/", vbExclamation, Titolo
End
End If
'http://exploit.blogosfere.it/
'Termino il pio12.dll
rundll = FindProcess("rundll32.exe")
KillProcess rundll
'Termino Explorer (si riapre da solo in mezzo secondo! Altrimenti mi blocca il pio12.dll)
explorer = FindProcess("explorer.exe")
KillProcess explorer
'Elimino i file del trojan
file = SysDir & "\msx.dll": If Destroy(file) Then ftot = ftot + 1
file = SysDir & "\iddqd.dll": If Destroy(file) Then ftot = ftot + 1
file = SysDir & "\pio12.dll": If Destroy(file) Then ftot = ftot + 1
file = SysDir & "\kaboom.dll": If Destroy(file) Then ftot = ftot + 1
'Elimino le chiavi di registro
Call DeleteKey(HKEY_CLASSES_ROOT, "Kb.Intense")
Call DeleteKey(HKEY_CLASSES_ROOT, "wave.Downloader")
Call DeleteKey(HKEY_CLASSES_ROOT, "wave.Downloader.1")
Call DeleteKey(HKEY_CLASSES_ROOT, "wave.ShDl")
Call DeleteKey(HKEY_CLASSES_ROOT, "wave.ShDl.1")
Call DeleteKey(HKEY_CLASSES_ROOT, "*\shellex\ContextMenuHandlers\ShellDownload")
Call DeleteKey(HKEY_CLASSES_ROOT, "CLSID\{C7DDEE9F-CD4B-40fb-9030-E1709644F4BD}")
Call DeleteKey(HKEY_CLASSES_ROOT, "CLSID\{E701C9CF-325D-49f6-9049-61C870155526}")
Call DeleteKey(HKEY_CLASSES_ROOT, "CLSID\{FB47056B-B34D-410E-819A-E8A51CC8E2EB}")
Call DeleteKey(HKEY_CLASSES_ROOT, "CLSID\{FB47056B-B34D-410E-819A-E8A51CC8E2EB}")
Call DeleteKey(HKEY_CLASSES_ROOT, "TypeLib\{FBAE436B-FAFA-4E53-8735-E1220B021A23}")
Call DeleteKey(HKEY_CLASSES_ROOT, "Interface\{3F981C06-7106-4DB8-BEDD-D35C1035B92D}")
Call DeleteKey(HKEY_CURRENT_USER, "Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Classes\Kb.Intense")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Classes\Kb.Intense.1")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Classes\wave.Downloader")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Classes\wave.ShDl")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Classes\CLSID\{C7DDEE9F-CD4B-40fb-9030-E1709644F4BD}")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Classes\CLSID\{E701C9CF-325D-49f6-9049-61C870155526}")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Classes\CLSID\{FB47056B-B34D-410E-819A-E8A51CC8E2EB}")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Classes\Interface\{3F981C06-7106-4DB8-BEDD-D35C1035B92D}")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Classes\TypeLib\{FBAE436B-FAFA-4E53-8735-E1220B021A23}")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7DDEE9F-CD4B-40fb-9030-E1709644F4BD}")
Call DeleteKey(HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FB47056B-B34D-410E-819A-E8A51CC8E2EB}")
i = ""
i = i & "Sono stati rimossi " & ftot & " file infetti, è tutte le chiavi di registro create dal trojan pio12.dll" & vbCrLf
i = i & "" & vbCrLf
i = i & "" & vbCrLf
i = i & "Se vuoi puoi contribuire allo sviluppo di questa utility inviando informazioni sulle chiavi e sui file che pio12.dll-trojan genera (nel caso non fossero stati rimossi da questo tools!)" & vbCrLf
i = i & "" & vbCrLf
i = i & "pio12remover@hotmail.com" & vbCrLf
MsgBox i, vbInformation, Titolo
![[ external image ]](http://img81.imageshack.us/img81/1476/logoindustriax30nm.jpg){kind=link}