Persona |
Titolo |
¬Ðav¥¨
19/10/2007
17.08.46
|
ciao, oggi, facendo alcune prove, per testare l'affidabilita' del SIID-SEE, ho controllato un po' di file che avevo in giro per il discofisso...
ad un certo punto, appare un mega-riferimento a probabili zozzerie... guardo il file...
e scopro che sono i driver di RETE di una scheda madre della GI G ABY altro spazio TE ... per la precisione.. il modello risulta essere quello identificato con la sigla 8i915p seguito da 2 lettere (tanto per nn fare casino con il produttore ufficiale )...
l'archivio e' un eseguibile winrar (e gia' il SIID SEE nn lo rileva come tale ... ???? )
dopodiche' risulta compattato con UPX ( doppio ??? )
dopodiche' riferimento al solito LOadLIbrary e GETproc Address uno dietro l'altro...
Una cosa simile l'ho vista solo in spudorati Dialer di terza categoria...
RISCARICO il driver da un PC sicuramente PULITO (nn si sa mai).. sempre dal sito ufficiale, FTP Europeo (ho provato anche con l'americano.. ed era idem)
scrivo alla veloce un mini prog per la lettura dei byte uno ad uno.. e SORPRESA: compattazione UPX...
...
BOH?
decomprimo il FILE... (con il primo prog che trovo.. in questo caso UPX manager mi sembra...)
scompatto... e....
POP! finestra AVG ANTIVIRUS.... ta dannn un WORMAZZO..
allego una foto dei risultati di SIID SEE.
|
¬Ðav¥¨
19/10/2007
15.22.12
|
bene, nn convinto dei risulti, ritento il tutto da un PC del circolo con windows me...
Scarico il file dal sito ufficiale..
scarico un UPX manager (il primo che ho trovato in web.. mi sembra da softpedia.. quindi testatyo anti virus e antispyware)
importo il driver nell' UPX manager...
|
¬Ðav¥¨
19/10/2007
15.23.00
|
dopodiche' scompatto il file (che difatti risulta compresso con UPX)...
|
¬Ðav¥¨
19/10/2007
15.44.00
|
Avvio la shell di scansione di AVG su quel file... e... SORPRESA!!! ecco li' la porcheria.. un Trojan Horse... Generic_C.BWW
ma se nn c'era il SIID SEE...chi se ne accorgeva? quante persone si sono infettate il PC prima ancora di mettere l'antivirus, perche' hanno installato il driver come prima cosa (avendolo nell' archivietto?) ?
bon, nn dico altro... o lo dico?
dai! proseguiamo! scarichiamo allora il CHIPSET della medesima scheda madre, con chipset intel 775....
e sorpresa! ecco di nuovo il Trojan..
|
¬Ðav¥¨
19/10/2007
16.12.02
|
scaricandone altri.. la cosa si ripete... in questo caso: scheda rete Marvel per altro chipset...
stesso identico risultato.
|
¬Ðav¥¨
19/10/2007
17.08.46
|
A questo punto... spero sia un baco di AVG... perche' senno la cosa sarebbe abbastanza grave...
in ogni caso e' gia anormale compattare un eseguibile WinRAR con UPX (tecnica che solitamente usa chi diffonde porcherie per saltare i controlli piu' superficiali degli antivirus...)
|
|