Estering


Il blog di Ester Memoli


*****************************************************

La mia rubrica su Techeconomy.it Managed Services


*****************************************************

La mia videointervista su MSN Video


*****************************************************

Colored Glances. Io e i miei colori. Il blog di un hobby colorato.


*****************************************************


*****************************************************

***DotNetHell.it TEAM***

*****************************************************

*****************************************************


Sondaggio
Tenere la vita reale separata da quella online?

Si
No

Mappa

Trojan.Downloader: osservazioni

In breve, navigando su determinati siti (i motori di ricerca ne hanno indicizzati centinaia) gli utenti scaricano il Downloader Trojan, che si infila come file temporaneo nella cartella Temporary Internet Files, con un nome tipo img[1].



Symantec rileva il virus ma al 90% non lo elimina nè mette in quarantena, bensì ne nega l'accesso. In questo momento l'utente trova nell' Esecuzione Automatica l'eseguibile W32.exe e un file *.dll del tipo (C:\WINDOWS\system32\fxaa.dll) appunto nella cartella System32. Il file non ha sempre lo stesso nome, ma ne ho trovati di 2 o 3 tipi.



Cosa accade: l'utente non riesce a navigare in alcune parti dell'intranet o internet, oppure ancora i pulsanti d'azione di alcune pagine web non funzionano, mandando in stallo iexplore.exe



Soluzione da verificare, dato che alcuni utenti più scafati hanno risolto autonomamente e l'idea che mi son fatta è la seguente:



1) Eliminare tutti i file temporanei internet, anche il contenuto non in linea.



Oppure



1) Rebootare



2) Scansionare con Symantec, dato che il file ora non è in uso (a causa dell'Accesso Negato dato da Symantec in precedenza) e l'AV riesce a rimuoverlo.



Da un lato più tecnico:



1) Scansionare con HiJackThis che troverà il file .dll segnalandolo come BHO e talvolta anche il processo allo startup w32.exe



2) Svuotare cartella Temp e cartella Temporary Internet Files relative all'utente infetto.



3) Installare Spybot versione 1.4 aggiornarlo ed attivare l'immunizzazione. Non so se serva, ma aiuta di sicuro.

 

Categoria: Tecnico
venerdì, 25 ago 2006 Ore. 21.54
Archivio Posts
Anno 2015

Anno 2013

Anno 2012

Anno 2011

Anno 2010

Anno 2009

Anno 2008

Anno 2007

Anno 2006

Anno 2005
Statistiche
  • Views Home Page: 1.014.105
  • Views Posts: 3.820.341
  • Views Gallerie: 2.537.709
  • n° Posts: 1.246
  • n° Commenti: 4.074
Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003