ATTENZIONE!!! VIRUS IN Regions&ProvincesMod

SALVE A TUTTI,
GRAZIE A LORRE CHE HA SCOPERTO UN VIRUS IN REGION E PROVINCES MOD CHE, PER PIGRIZIA E FIDUCIA MAL RIPOSTA NEI CONTROLLI, E' RIUSCITO A SUPERARE LE MIE DIFESE: WIN32 TROJAN-GEN (VC) MODIFICATO IL 16\01\2007 ORA GENERA VIRUS JS.FEEBS FAMILY

Il Content Security Response Team (CSRT) di Aladdin Knowledge Systems Ltd. (NASDAQ: ALDN), innovatore nel campo dell’enterprise secure content management (Enterprise Security) e leader mondiale nel software per il Digital Rights Management (DRM) e nelle soluzioni di autenticazione basate su USB, ha identificato una nuova variante del Trojan Feebs colpevole di pericolosi tentativi di frode.

E’ passato poco più di un mese ma il 2006 può già essere definito “l’anno del phishing”. Infatti, secondo numerosi rapporti, l’anno in corso vedrà un sensibile aumento del fenomeno e tutto ciò è testimoniato dalla quotidiana apparizione di nuovi siti di questo tipo. In questo scenario la squadra di esperti di Aladdin ha individuato una nuova minaccia. Si tratta della variante JS. Feebs che infetta il sistema mediante un messaggio email oppure attraverso un semplice accesso ad alcuni siti.

Oltre a disabilitare l’antivirus e gli altri sistemi di sicurezza del personal computer, gli script della variante JS.Feebs modificano il file HOSTS. Ciò implica che il browser installato sia in grado di modificare autonomamente e in maniera invisibile l’indirizzo internet digitato. Ad esempio, consultando eBay, l’utente viene automaticamente reindirizzato verso un sito di aste on-line del tutto simile all’originale
A questo punto, quando si clicca su qualsiasi collegamento o si immette una parola da ricercare, lo script fa in modo che vengano richiesti username e password di accesso. Queste informazioni, una volta inserite, potranno essere intercettate dai criminali informatici e utilizzate per acquistare merce all’insaputa dell’utente stesso al quale verrà addebitato l’importo della transazione.

“Questi nuovi tipi di frodi informatiche testimoniano la diffusione del fenomeno del phishing – dichiara Shimon Gruper, vice president of technologies della business unit eSafe di Aladdin. – Nonostante la pericolosità degli attacchi via web sia più difficile da misurare rispetto a quella delle minacce veicolate via email, l’impatto della variante JS.Feebs sarà significativo. Gli utenti non si renderanno conto di visitare un sito di phishing dato che l’indirizzo visualizzato dal browser sarà quello del web ufficiale.

IL MALEDETTO SI E' GIA' DIFFUSO, TRASFORMATO E RIGENERATO PIU' VOLTE NEL MIO PC...ORA PROVERO' AD APRIRLO CON UN HEX EDITOR PER TENTARE DI SCOPRIRE IL DESTINATARIO DELLE BACKDOORS CHE MI STA APRENDO...HOUSEKEEPER DOVREBBE FAR PRESENTE LA COSA SU TWCENTER DATO CHE IL SUO MOD FONDATO SU REGIONS E PROVINCES NE VIENE DANNEGGIATO E NON CI SI PUO' GIOCARE PER ORA, PORCA MISERIA!!!

[Modificato da Max Centoscudi 21/03/2007 12.08]

[Modificato da Max Centoscudi 21/03/2007 12.11]

Ma se l'antivirus non lo vede come facciamo a scoprire se c'è?... ed eliminarlo?...

perche ridi shrike?

---

Scritto da: =hannibal= 21/03/2007 19.59
perche ridi shrike?

---

mi suscita un sorriso leggere l'informatichese... non fateci caso..

...come si fa?????

per toglierlo ci vuole avast aggiornato che faccia una scansione all'avvio, però se il database di integrità(VRDB)non è aggiornato cancella tutti i files infetti e addio mtw2 e altri tipo explorer, outlook, active desktop e java...se si ha il file compresso fino a che resta in .rar non succede nulla ma, appena si prova a scompattare per l'installazione, avast cancella tutto il .exe e rimane solo il .txt e quindi non si può procedere all'installazione di R&Pmod...

comunque si può provare a:

ripristinare il sistema da un punto precedente all'isntallazione di R&Pmod

ripristinare dall'immagine salvata,se si ha un programma tipo ghost

ripristinare con il cd del sistema operativo

salvare archivi,preferiti,corrispondenza,contatti,logins e riformattare

ho provato ad aprire il file in area protetta con hex editor e a tracciarlo con il whois del firewall ma ho ottenuto solo una serie di id di server sparsi per il mondo,non sono un hacker e non ho studiato informatica, perciò la mia conoscenza è limitata e frammentaria, faccio quello che posso e cerco di imparare il più possibile per difendermi e per far funzionare al meglio i miei pc, quindi postate se avete domande, consigli o correzioni!

(forse ho esagerato? perchè è pur sempre un forum relativo a mtw2 e non software zone o hacker journal...)

[Modificato da Max Centoscudi 22/03/2007 11.36]

...

Ma scusate non capisco, il mod incriminato è molto usato ed è inoltre presente in altri mod più grandi e diffusi come il "Deus lo vult" mi pare, com'è che nessuno se ne è accorto prima?

perchè è stato modificato il 16\01\07(camuffato visto che è un cavallo di troia) e viene rilevato solo dagli antivirus con il controllo in euristica (probabile attività sospetta virus sconosciuto) poi si invia il file sospetto al produttore dell'antivirus che lo controlla e, se è un virus, lo inserisce nell'archivio dei virus conosciuti, poi aggiorna tutti...ma sono passati dai 15gg ai 3 mesi, fate voi i conti...avast non ha il controllo in euristica ma ha un'ottima equipe che controlla in profondità il web ed è il più aggiornato...da me c'era nod 32 con l'euristica avanzata attivata (rompe sempre le palle qualsiasi cosa installi) che ha segnalato un'attività sospetta che, per pigrizia e per fiducia mal riposta nei controlli in tw center, da me ed evidentemente anche da altri utenti non è stata inviata... ed eccoci a questo punto...

[Modificato da Max Centoscudi 23/03/2007 9.35]

[Modificato da Max Centoscudi 23/03/2007 9.36]

[Modificato da Max Centoscudi 23/03/2007 9.41]

[Modificato da Max Centoscudi 23/03/2007 9.48]

[Modificato da Max Centoscudi 23/03/2007 10.08]

[Modificato da Max Centoscudi 23/03/2007 10.10]

[Modificato da Max Centoscudi 23/03/2007 10.14]

Per fortuna il mio AVAST! lo ha visto prima che lo installassi... Purtroppo anche le versioni su filefront, come quelle di twcenter di questo mod sono tutte infette... tanto da farmi sospettare sull'autore, ma su questo non mi pronuncio.

e cmq... avast! + AVG = uber!

[Modificato da |Lorre| 23/03/2007 22.24]

è un vecchio virus evoluto, difficile da eliminare, forse sono stato superficiale nel suggerirvi la procedura perciò ecco qua,
prima di utilizzare punti di ripristino o ripristinare con cd di windows xp o riformattare provate a fare come segue per pulire il vostro pc:

A) fare una scansione all'avvio possibilmente con Avast!

B) accedere in modalità provvisoria

Normalmente, all'avvio del Pc, durante il calcolo della RAM, è sufficiente premere il tasto F8 (oppure F4; CTRL +F4 ecc... dipende dal PC) per entrare in modalità provvisoria... Se per qualche motivo, il tasto non dovesse funzionare, procedete come segue:

1. Chiudere tutti i programmi aperti.
2. Fare clic su Start e poi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
3. Digitare msconfig e fare clic su OK. Verrà visualizzata l'Utilità configurazione di sistema.
4.Selezionare l'opzione "/SAFEBOOT".
5.Fare clic su OK.
6.Viene visualizzata la richiesta di riavviare il computer. Fate clic su Riavvia.
7.Il computer viene riavviato in Modalità provvisoria (tale operazione può richiedere qualche minuto di tempo).

Come utilizzare il metodo F8:
1. Riavviare il computer. Alcuni computer mostrano una barra di avanzamento che indica un set di istruzioni denominato Basic Input/Output System (BIOS). Altri non mostrano niente.
2. Immediatamente al termine del caricamento del BIOS, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Se si comincia a premere il tasto F8 troppo presto, su alcuni computer viene visualizzato il messaggio di errore "errore di tastiera". Per risolverlo, riavviare il computer e provare di nuovo.
3. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità provvisoria, quindi premere Invio.


C) disabilitare momentaneamente ripristino configurazione di sistema, riabilitare quando si è convinti che il virus sia eliminato

D) usare un programma di pulizia tipo ccleaner (è gratis ed è ottimo) e selezionare tutte le impostazioni tranne le avanzate (segnare le psw e logins prima perchè quelle salvate sul browser andranno perdute).

E) scandire tutti i dischi con tutti gli antivirus aggiornati che sono installati(se avete avast(pro) o nod32 o mcafee(entreprise), come antivirus principale, è meglio!)utilizzare sempre l'ultima versione disponibile in rete.

F) scandire tutti i dischi con gli anti spyware aggiornati, anche in questo caso, utilizzare sempre l'ultima versione disponibile in rete.

G) usare ccleaner nella sezione "problemi" per eliminare le chiavi di registro obsolete, poi dare un'altra pulita con il cleaner.

Quando si è finito di operare nella modalità provvisoria, avviare Windows in modalità normale tramite l'Utilità di configurazione di sistema: ripetere i passaggi da 1 a 4 ma al punto 4, deselezionare la voce /SAFEBOOT.
Chiudere tutti i programmi in esecuzione e riavviare normalmente il computer.
Con F8 riavviare e basta.


H) lanciare hijackthis (se non lo avete scaricatelo è assolutamente necessario e poi è gratis) e fare "scan e save log file" salvare il file log e poi andare al sito hijackthis.de/ e controllare che sia tutto ok...

I) poi se avete xp antispy (se non lo avete ve lo consiglio, è gratis)
selezionate il profilo "consigliato" poi, leggendo attentamente i suggerimenti valutate ciò che state facendo, se volete potete cliccare le caselle:
1. abilita spegnimento rapido
2. nascondi il pc in rete
3. impedisci di eseguire regedit.exe
4. aumenta il numero di connessioni a 10 per server
5. nessun rapporto di errori con explorer
6. licdll.dll
7. cliccare "applica le impostazioni" sulla barra in basso

spero di non aver fatto errori e di essere stato chiaro ed esauriente...ciao a tutti

[Modificato da Max Centoscudi 24/03/2007 2.15]

[Modificato da Max Centoscudi 24/03/2007 9.07]

[Modificato da Max Centoscudi 24/03/2007 10.02]

[Modificato da Max Centoscudi 24/03/2007 10.06]

[Modificato da Max Centoscudi 24/03/2007 10.25]

[Modificato da Max Centoscudi 24/03/2007 10.29]

[Modificato da Max Centoscudi 24/03/2007 10.35]

bene nessuno si muove e perciò ho messo il sale sulla coda agli angloamericani e non di twcenter...vediamo che succede e che cosa mi dicono... ma che fatica con l'inglese... spero di essermi espresso decentemente...il mod 2.1 sembra pulito, ma andrà bene lo stesso per macchiavello?...e poi adesso non mi fido a installarlo non vorrei ci fosse anche il 2.1 del virus... altre 2 riformattate?!!!...no no!!!!...

[Modificato da Max Centoscudi 25/03/2007 10.26]

[Modificato da Max Centoscudi 25/03/2007 10.27]

cioè ma volete dire ke TUTTI quelli ke hanno installato Region Mod hanno questo virus??

Perchè a me non sembra che sia cambiato nulla da quando l'ho installato un po' di tempo fa...

infatti non deve darti problemi altrimenti come fa a spiarti? solo quando gli scudi non gli permettono di agire e\o si fa pulizia si compromettono alcuni files e allora sorgono i guai...
ad esempio se hai norton internet security potrebbe essere entrato nel tuo pc tutto il circo orfei, elefanti compresi, e quello continuerebbe a dirti che tutti i programmi funzionano bene e il pc è pulito!
quindi la domanda sorge spontanea: che difese hai?

Ciao Max
grazie a te e Lorre per aver individuato il virus in questione.
Ho scaricato Avast Pro e ho seguito le tue istruzioni, e mi ha trovato un sacco di trojan che il vecchio Norton manco pensava esistessero!
Invece il RegionMod 2.0 appare pulito: forse perchè l'ho scaricato prima della fatidica data del 16/1?...boh.
In ogni caso ho fatto presente la cosa agli amm. di Twcenter, vedremo le reazioni.
Ora sto lavorando a Machiavello 2.1 per svincolarlo dal Regionmod, e per correggere vari bug della versione 2.0 tra le quali la giocabilità della fazione Orda d'Oro.
Ciao

Evviva HK,
ciao e meno male perchè io con l'inglese non vado proprio, lo capisco, lo parlicchio e lo scirivicchio (e poi mi stanno sulle scatole quei presuntuosi).
A proposito sembra che anche RISE OF KING abbia qualche problemino dello stesso tipo...potrbbe essere che tw center abbia avuto un'intrusione magari il 16\1?

[Modificato da Max Centoscudi 27/03/2007 11.23]

cavolo, spero proprio di no, viste le tonnellate di files che ho scaricato!
Ti faccio una domanda: se provo a fare lo scandisk approfondito con Avast Pro su un disco fisso di 80 e uno di 120 gb per metà utilizzati, quanto tempo credi potrebbe impiegare?
Ciao

dipende dal pc e da tanti fattori: velocità di processore e memorie, collegamento sulla scheda madre e rpm dei dischi, compressione dei file ecc... il mio pc più recente e veloce è un "vecchio" asus con 1gb di ram, processore amd 1900mhz xp2600 con tre hd da 7200rpm 2 da 80gb collegati in raid su scsi più un hd di archiviazione da 120gb su ide totale 280gb circa pieni al 30%... (l'archivio "pulito" vero e proprio è su un hd esterno lacie da 512gb)...ci mette 1ora circa...poi considera il resto delle procedure...hai capito perchè ho riformattato?...faccio prima e sono più sicuro di aver eliminato qualsiasi schifezza...ciao

[Modificato da Max Centoscudi 27/03/2007 12.55]

[Modificato da Max Centoscudi 28/03/2007 0.19]