Pagina 1 di 1
Possibile malware in Bitche
Inviato: gio nov 13, 2014 12:31 am
da The Walking Dead
Ciao a tutti.
Credo ci sia qualcosa di strano nell'ultima versione di bitche, scaricata dal link convivea.
Questa tende a disattivare il controllo account utente, comportamento che non aveva mai avuto in precedenza, provando ad installarlo inoltre, compare un messaggio che chiede di aggiornare flash player.
Non vorrei che il sito fosse stato compromesso.
Nel frattempo fate attenzione e non scaricate il software fin quando tutto non sarà chiarito.
Edit: aggiornamento, Malwarebytes individua un malware nel file, ribadisco di non scaricare il file.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 4:41 am
da crazy.cat
Avast ne blocca il download lo considera un win32 dropper.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 6:41 am
da [Claudio]
The Walking Dead ha scritto:Credo ci sia qualcosa di strano nell'ultima versione di bitche, scaricata dal link convivea.
...... Malwarebytes individua un malware nel file, ribadisco di non scaricare il file.
Robi 
se l'ultima versione è questa:
ho appena eseguito una verifica (l'exe l'ho scaricato dai server di Convivea): sottoposto a scansione con HitmanPro e Malwarebytes, non viene rilevato nulla.
Analisi del file su VT: Report.
Insomma (a prima vista) non mi sembra ci sia nulla di anomalo.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 8:06 am
da Al3x
confrontate gli hash dei file di VT, non è detto cha abbiate scaricato tutti la stessa versione
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 10:26 am
da The Walking Dead
Rag il file che veniva fatto scaricare ieri sera era questo mi sembra, vi posto l'exe su sandspace.
https://www.sendspace.com/file/2u4m9l
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 1:35 pm
da hashcat
Secondo Emerging Threat (confermato dal report di VirusTotal) il campione in questione effettua una query di rete sospetta:
TROJAN Simda.C Checkin
Il campione è senz'altro malevolo (blog post Microsoft su Simda: QUI), tuttavia differisce da quello offerto attualmente dal sito ufficiale (per dimensione, privo di firma digitale).
P.S.: Secondo VT, sembra essere stato compilato oggi.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 2:03 pm
da The Walking Dead
Hash scusa, mi consigli di cambiare le password?
Perché sembra lavori proprio in questo modo.
Sembra essere in grado di catturare lo schermo, credi possa avere intercettato informazioni sensibili?
Ho rimosso il file subito dopo averlo installato, non gli ho dato modo nemmeno di disattivare il controllo account utente.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 2:19 pm
da crazy.cat
The Walking Dead ha scritto:Hash scusa, mi consigli di cambiare le password?
Per non sapere ne leggere ne scrivere...fallo...per magari non pentirti dopo.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 5:11 pm
da [Claudio]
The Walking Dead ha scritto:Rag il file che veniva fatto scaricare ieri sera era questo mi sembra, vi posto l'exe su sandspace.
Robi, l'exe lo ho scaricato da server di Convivea (vedi screenshot) questa mattina verso le 6,00 .... e come ho detto, eseguite verifiche del caso, il file (o meglio, quel file) è pulito.
Hash scusa, mi consigli di cambiare le password?
A titolo preventivo, direi sia il caso, Robi.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 5:26 pm
da [Claudio]
Giusto per evidenza:
1) questo l'exe esaminato da me questa mattina:
2) questo l'exe (proposto da te, Robi), appena esaminato:
Qui il Report Virustotal relativo al secondo (i risultati parlano chiaro).
Aggiungo, inoltre che, sottoposto (pochi minuti fa) il secondo exe ad analisi (da menu contestuale) con HitmanPro e Malwarebytes il file risulta pulito (si conto - vedi Report di Virustotal sopra - che Malwarebytes lo classifica come Trojan.Simda).
Pongo l'accento sul fatto che, allo stato attuale, quelli che sono considerati i migliori antivirus (e i maggiormente utilizzati dagli utenti) non riconoscono come malware l'exe in questione.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 6:59 pm
da The Walking Dead
Rag se lanciate la scansione con hitman pro e Malwarebytes entrambi intervengono, dovete però lanciare uno scan completo e non da tasto destro.
Vorrei dire che il fatto che non avessi un antivirus, devo ammettere, è stato per me un punto debole nella mia config di sicurezza, devo rivedere questo aspetto.
È pur vero che ieri ero distratto, chattavo su skype.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 8:30 pm
da [Claudio]
The Walking Dead ha scritto:Rag se lanciate la scansione con hitman pro e Malwarebytes entrambi intervengono, dovete però lanciare uno scan completo e non da tasto destro.
Un pò assurdo, ma è cosi (almeno per Malwarebytes, con HitmanPro non ho provato):
Notare i dettagli del file:
Vorrei dire che il fatto che non avessi un antivirus, devo ammettere, è stato per me un punto debole nella mia config di sicurezza, devo rivedere questo aspetto.
Ti avrebbe fregato comunque, Robi; ieri, l'unico a riconoscere il file come malware era Malwarebytes ( che ti ha, comunque, "salvato" )
P.S: Robi, una cosa non riesco a capire: da dove hai scaricato quell'exe?.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 9:00 pm
da hashcat
[Claudio] ha scritto:Pongo l'accento sul fatto che, allo stato attuale, quelli che sono considerati i migliori antivirus (e i maggiormente utilizzati dagli utenti) non riconoscono come malware l'exe in questione.
Stamattina, stando a quanto riportato da VirusTotal, era riconosciuto da 3 (o meno) software.
[Claudio] ha scritto:P.S: Robi, una cosa non riesco a capire: da dove hai scaricato quell'exe?.
Anch'io sarei curioso di conoscere la risposta a questa domanda.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 9:24 pm
da The Walking Dead
Ho scaricato il software dal sito ufficiale di Bitche, link di download Convivea.
Oggi il sito fa scaricare un file diverso, ma ieri sera era quello da me postato.
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 9:37 pm
da [Claudio]
The Walking Dead ha scritto:Ho scaricato il software dal sito ufficiale di Bitche, link di download Convivea. Oggi il sito fa scaricare un file diverso, ma ieri sera era quello da me postato.
Robi, non so cosa possa essere accaduto ..... ma ..... noterai la notevole differenza tra uno e l'altro: il n° 1 è l'exe originale - i dettagli si riferiscono al n° 1 - e possono essere confrontati con quelli dell'exe che contiene malware (screenshot pubblicato nel mio precedente post).
Re: Possibile malware in Bitche
Inviato: gio nov 13, 2014 10:54 pm
da The Walking Dead
[Claudio] ha scritto:The Walking Dead ha scritto:Ho scaricato il software dal sito ufficiale di Bitche, link di download Convivea. Oggi il sito fa scaricare un file diverso, ma ieri sera era quello da me postato.
Robi, non so cosa possa essere accaduto ..... ma ..... noterai la
notevole differenza tra uno e l'altro: il n° 1 è l'exe originale - i dettagli si riferiscono al n° 1 - e possono essere confrontati con quelli dell'exe che contiene malware (screenshot pubblicato nel mio precedente post).
Purtroppo ero distratto e mi sono lasciato ingannare da due fattori.
Il primo è che è da poco uscita la versione 3 di biche e non sapevo se avessero cambiato l'icona dell'installer.
Il secondo è che poteva essere un downloader che scaricava il file vero e proprio.
Insomma non ho pensato al malware.
Re: Possibile malware in Bitche
Inviato: ven nov 14, 2014 6:58 am
da [Claudio]
The Walking Dead ha scritto:Purtroppo ero distratto e mi sono lasciato ingannare ......
Prima di installare qualcosa, ho l'abitudine di verificare anche i dettagli dei file; senza questa preventiva verifica, se considero che (come abbiamo visto) sarebbe "sfuggito" alla scansione da menu contestuale con HitmanPro e Malwarebytes, probabilmente avrebbe ingannato anche me, Robi.
Questo, comunque, dimostra quanto sia necessario porre attenzione ai particolari; e la presenza di un antivirus non avrebbe sortito effetti perché il malware contenuto nel setup non sarebbe stato intercettato.
(Comunque, a cose fatte, una scansione con Malwarebytes avrebbe rilevato il problema, come è accaduto a te).