PDA

Visualizza versione completa : Wintricks colpito da virus?


Pagine : [1] 2

RunDLL
09-03-2010, 19.33.58
A scopo d'informazione come da titolo.

Semi.genius
09-03-2010, 19.49.32
Uhm, credo soltanto che aveva problemi a gestire le sessioni...per via dei lavori di maintance..anche stamattina e pomerggio aveva problemi con i cookie

Billow
09-03-2010, 20.01.23
quasi.. era un tentativo di defacing....
bloccato ;)

LoryOne
10-03-2010, 12.34.22
Già.
La pagina d'indice era stata già modificata ed in un IFrame era stato aggiunto un link ad un server web che aveva a che fare con "angels" e qualcosa. Pensavo fosse un problema del proxy, ma ho dato un'occhiata al codice html ed ho capito che poteva essere un defacing.

RunDLL
10-03-2010, 14.10.22
Per tutto lunedì pomeriggio fino alla mattina dopo AVG mi ha impedito di entrare.

RunDLL
01-04-2010, 20.51.00
Ci risiamo? Questa sera AVG mi ridice che c'è un virus quando tento di entrare su Wintricks.

Steno
01-04-2010, 21.55.45
Comfermo. Anche Avira Antivir segnala un HTML/Infected.WebPage.Gen HTML Script Virus, aprendo una delle news.
Saluti

GINGILLONE
02-04-2010, 07.55.44
A scopo d'informazione come da titolo.

a me lo ha fatto stamattina AVG dice che c'è un worm -Small- e non mi fa entrare non ci capisco nulla!! :wall:

RunDLL
02-04-2010, 10.08.43
A tutt'ora AVG mi impedisce di entrare su Wintricks perchè c'è un virus (Worm/Small)

The exact description is not available.

This type of virus spreads across local networks or through internet via shares disks. The virus searches for computers in its "neighborhood" with shared network drives and then copies itself on them.

For prevention as far as possible do not share whole disks, but only selected folders. It is also advisable to use passwords on shared folders.

We recommend you remove binding to "File and printer sharing" in Bindings Tab under TCP/IP Properties for all TCP/IP protocols (the TCP/IP protocol is usually defined for every LAN or Dial-Up adapter).


Peer-to-peer networks

Next most common method of spreading is by "peer-to-peer" networks (like KaZaA), the virus creates a few copies of itself in folders within the P2P shared system. If these files have got alluring names then there is a good chance somebody will download these files and execute them.

Dopo il tentativo di accesso su Wintricks rilevo Internet Explorer rallentato e con frequenti blocchi.

Geppetto56
02-04-2010, 11.48.15
Allora non sono il solo ma non avevo collegato la cosa faro una mega scansione approfondita.
Si rompi maroni non si potrebbero buttare a mare invece che scassare al prossimo

RunDLL
02-04-2010, 13.25.58
Adesso AVG mi ha bloccato l'accesso ad un articolo rilevandomi JS/Downloader.agent

Commodore
02-04-2010, 15.02.28
Adesso AVG mi ha bloccato l'accesso ad un articolo rilevandomi JS/Downloader.agent

Anche Avira non mi fa entrare l'infezione segnalata è questa: "Infetto con HTML/Infected.WebPage.Gen"

z4rgon
02-04-2010, 15.43.52
La home page del sito ha indubbiamente qualcosa che non va.
Io sono in azienda e qui abbiamo il Trendmicro, ed appena vado sulla home page mi segnala la presenza di codice malevolo.
Ho inviato l'url del vostro sito al supporto di Trendmicro per farlo analizzare e questa è stata la loro risposta:

We analyzed the following file related to the following URL hxxp://w_ww.wintricks.it/ that you submitted and verified this to be malicious. Trend Micro will soon detect this malicious file as follows:
wintricks.it.html (60,259 bytes) as HTML_IFRAME.ZG

Inoltre se guardate la vostra pagina http://www.wintricks.it/chisiamo.html scoprirete che va a finire su ben altro (v. http://www.eurohackers.it)

retalv
02-04-2010, 22.31.56
Tutto vero.
Se usate firefox e noscript, vietate IFRAME negli oggetti incorporati dei siti non fidati e passa la paura. Nessun antivirus vi segnalerà nulla e vedrete apparire l'icona di noscript a destra e a manca ma tutto il resto funzionerà normalmente.

Questa è una restizione che è ottima ovunque... poi permettere tutta la pagina quando è indispensabile è un attimo...

cippico
03-04-2010, 01.36.32
dal pc aziendale mi appariva la pagina che solitamente si vede quando si va in un sito che e' nella blacklist...

ora da casa tutto ok...

ciaooo a tutti

RunDLL
04-04-2010, 08.44.22
Nella home page ora posso entrare ma AVG mi blocca ogni tentativo ad accedere a qualsiasi news che sia informativa o che punti a qualche software da scaricare.

RunDLL
04-04-2010, 08.46.57
Rettifico: AVG continua a bloccarmi anche andando sulla home page.

Gringo
04-04-2010, 10.45.10
Websense Enterprise, blocca ancora l'accesso, come sito malevolo, mi sa che bisogna attendere che pubblichino le definizioni dei siti aggiornate.

RunDLL
04-04-2010, 20.28.10
Websense Enterprise, blocca ancora l'accesso, come sito malevolo, mi sa che bisogna attendere che pubblichino le definizioni dei siti aggiornate.
Ma penso piuttosto che debba essere disinfestato Wintricks, ma nessuno fa niente? Nemmeno darci notizie?

Billow
06-04-2010, 08.40.28
Working on it

RunDLL
06-04-2010, 09.50.10
Grazie Billow, almeno ora qualcosa sappiamo.

LoryOne
06-04-2010, 12.54.25
Girano voci in rete che siti hostati su Aruba siano stati presi di mira dall'ennesimo attacco da parte di "cyber attivisti", così mi piace chiamarli. Non so quanto questa notizia sia attinente al sito di wintricks, ma fatto sta che, oltre all'aggiunta di un IFRAME che punta ad eurohacker, viene immessa una stringa di testo crittata apparentemente innocua, ma che rende di fatto il contenuto della pagina considerato pericoloso da molti antivirus. Tale stringa è compresa in un buffer all'interno di una funzione javascript...Sarà veramente pericolosa quanto si pensa, oppure è una dimostrazione di qualche nuova vulnerabilità scoperta ed attuata a puro scopo dimostrativo ?

ps: Be quite, don't be nervous: Billow and his staff are working on it (Y)

RunDLL
06-04-2010, 13.15.30
Allo scopo di cercare di capire o far capire meglio tutta la situazione vorrei indicare che ho 2 siti su Aruba i quali non hanno nessun problema, in più aggiungo che in questo momento riesco ad entrare nella home page di Wintricks senza segnalazioni di malware che invece mi vengono date, bloccando anche l'accesso alla pagina, se clicco sui collegamenti alle news o al software. Lo stesso non mi accade se accedo a queste sezioni direttamente dal forum.

LoryOne
06-04-2010, 14.18.26
A me l'antivirus lo segnala sempre, anche sulla pagina principale e lo fa da venerdì scorso. Il forum è ok.
Secondo me è codice Javascript iniettato attraverso un file php... Billow ci farà sapere senza scendere troppo nei particolari (a sua discrezione)

RunDLL
06-04-2010, 14.24.59
Niente... Infatti anche a me ora AVG mi risegnala anche entrando nella sola Home Page e non mi permette l'accesso.

cippico
06-04-2010, 18.11.17
riconfermo che sul pc del lavoro continua a non aprirsi facendo apparire la solita pagina dei siti inseriti in blacklist aziendale... :inkaz:

ciaooo a tutti

RunDLL
06-04-2010, 20.50.27
Ad ora ancora accesso vietato da AVG.

Geppetto56
06-04-2010, 21.20.21
Cambiare antivirus? :p

Billow
07-04-2010, 09.50.01
ci sono i sistemisti di Edmaster che ci stanno lavorando, abbiate ancora un po' di pazienza

roberto45
07-04-2010, 09.53.53
Basta usare FF con i componenti aggiuntivi e NON ci sono problemi di accesso !!

RunDLL
07-04-2010, 14.09.54
Basta usare FF con i componenti aggiuntivi e NON ci sono problemi di accesso !!
Ma questo è un palliativo! Il problema sta alla base ovvero va disinfestato il server dove risiede il sito.

roberto45
07-04-2010, 15.25.11
Sono d'accordo che é un palliativo ma funziona sempre, soprattutto con siti non garantiti: fidersi é bene e non fidarsi é meglio !!!!!! Lasciamo lavorare in pace Billow e company senza i patemi di rimettere il linea il sito in fretta perché tutti friggono.

RunDLL
07-04-2010, 20.38.32
Sul fatto di lasciare lavorare in pace gli amministratori di Wintrick sono d'accordo. Per ora io ho adottato il sistema di leggere le news direttamente al forum.

sergheis34
09-04-2010, 10.31.46
Dopo aver acquistato Avira Antivir Premium, quando apro wintricks.it con Google Chrome mi compare il già noto avviso di un virus chiamato HTML/Infected WebPag.Gen. Quando apro il sito con altri browser mi compare la finestra che indica siti con virus, ed altre schifezze.
Ho visto nel Forun che al proposito è stata data una risposta riguardante però solo Firefox (del resto per me incomprensibile perchè parla di no scrips e IFrames...) per cui VORREI SAPERE LA VERITA' sull'argomento perchè come stanno le cose wintrick.it è attualmente inacessibile.
spero in una risposta chiara
Sergheis

RunDLL
09-04-2010, 14.00.02
Io invece volevo sapere se è utile intervenire su questa discussione per informarvi dell'eventuale impossibilità di accesso, tanto per capire se può aiutarvi a voi di Wintricks a controllare la situazione, comunque ad ora accesso impossibile.

Gnomino
10-04-2010, 17.34.49
Caricando la pagina mi compare, nella barra di stato, l'indicazione "IN ATTESA DI HTTP://WWW.EUROHACKERS.IT" .
Presumo che non sia normale.

Semi.genius
10-04-2010, 17.41.40
ci sono i sistemisti di Edmaster che ci stanno lavorando, abbiate ancora un po' di pazienza

Capite il significato di questa frase, vero? :p

booty island
10-04-2010, 20.00.58
Capite il significato di questa frase, vero? :p

Gli utenti lo capiscono, ma la cosa va già avanti da un pò e se non ricordo male non è la prima volta.

Semi.genius
10-04-2010, 21.24.31
Gli utenti lo capiscono, ma la cosa va già avanti da un pò e se non ricordo male non è la prima volta.

L'infezione corrente non impedisce di visitare il sito visto che è comunque integro e non ha effetti particolari dato che si tratta di uno scam del sito. Si tratta di tanti iframe con dimensione 0...non è che gli attaccanti vanno particolarmente a prendersela con un sito oramai! :x: Ti puoi aprire un file html e scriverci.

<html>
<IFRAME src="http://www.quellochevoglioio.it" width=0 height=0 frameborder=0></IFRAME>
</html>

e faglieli scansionare che già antivirus come Antivir e McAfee romperanno dicendo che è una pagina infetta :D

E comunque se usate IE8 è sandboxato, con IE7 e altri browser potete a bbassare il privilegio sennò c'è sempre il glorioso sandboxie per XP in giù. Cioè se si fosse qualche che era pieno di popup, o proponeva l'installazione di qualcosa o altro..

retalv
10-04-2010, 23.29.38
Ho visto nel Forun che al proposito è stata data una risposta riguardante però solo Firefox (del resto per me incomprensibile perchè parla di no scrips e IFrames...) per cui VORREI SAPERE LA VERITA' sull'argomento perchè come stanno le cose wintrick.it è attualmente inacessibile.
spero in una risposta chiara
Sergheis
Sentendomi chiamato in causa, con tutto il rispetto rispondo...

"Noscript" è un "componente aggiuntivo" di Firefox e lo avresti trovato come primo risultato di Google se ti fossi interessato di scoprire su cosa stavo scrivendo.

"IFRAME" è una tipologia di link (come si legge dal primo risultato di Google) e se ti fossi incuriosito a sufficienza avresti visto, dopo aver installato il browser ed il componente, che è una delle opzioni del terzo TAB delle impostazioni di detto componente.

...sempre per amore della verità.

RunDLL
11-04-2010, 10.23.09
L'infezione corrente non impedisce di visitare il sito visto che è comunque integro e non ha effetti particolari dato che si tratta di uno scam del sito. Si tratta di tanti iframe con dimensione 0...non è che gli attaccanti vanno particolarmente a prendersela con un sito oramai! :x: Ti puoi aprire un file html e scriverci.

<html>
<IFRAME src="http://www.quellochevoglioio.it" width=0 height=0 frameborder=0></IFRAME>
</html>

e faglieli scansionare che già antivirus come Antivir e McAfee romperanno dicendo che è una pagina infetta :D

E comunque se usate IE8 è sandboxato, con IE7 e altri browser potete a bbassare il privilegio sennò c'è sempre il glorioso sandboxie per XP in giù. Cioè se si fosse qualche che era pieno di popup, o proponeva l'installazione di qualcosa o altro..
Non mi pare che sia molto così, nessun antivirus rileverebbe il codice che hai indicato come un virus, a chiacchiere sì a fatti no.
Con questo concetto si vuol dire che potenzialmente ogni sito che si visita può dare questo problema ma non è vero assolutamente.
Wintricks è infetto da js/downloader.agent uno script java che ha l'intento di scaricare altri malware.
Questi semi rimedi permettono di visitare il sito ma di rischiare infezioni ancor peggiori, la risoluzione è una sola quella che il server su cui risiede Wintrick venga disinfettato, non c'è altro sistema!
Tra l'altro ci sono anche testimonianze di reindirizzamenti in altri lidi.

LoryOne
11-04-2010, 10.59.40
Ehm ... Wintricks può anche essere pulito, non è questo il punto. Lo script può risiedere altrove e caricato comunque da Wintricks (è nel codice stesso della pagina, nei vari link ai vari sponsor) ed eseguito da altri server e/o su ogni client attraverso java script con l'aggiunta dell' IFRAME che:
1 - Carica il sito in un frame nascosto e rallenta il sito ospite
2 - Fa pubblicità al sito in questione
Per questo è necessario pazientare perchè non è solo edizioni master ad essere coinvolto ...
Non tutti gli AV si comportano allo stesso modo: Evidentemente Avast blocca lo scaricamento della pagina, antivir free tiene sotto controllo le pagine,avverte l'utente, ma consente di procedere alla visualizzazione del sito.

Semi.genius
11-04-2010, 11.33.14
Non mi pare che sia molto così, nessun antivirus rileverebbe il codice che hai indicato come un virus, a chiacchiere sì a fatti no.

Ne sei sicuro?
Prova a fare una pagina HTML con lo stesso codice che ho scritto io (cambiando anche il quellochevoglio) e a caricarlo su VirusTotal o a fare comunque una scansione con Antivir e McAfee che son sicuro che te lo rileva come infetto.

Questo ti sputa fuori:
McAfee-GW-Edition 6.8.5 2010.04.09 Heuristic.Script.Infected.WebPage
AntiVir 7.10.6.55 2010.04.09 HTML/Infected.WebPage.Gen
(Appena fatta con virus total)
Che è la stessa cosa che viene rilevata in wintricks.


Con questo concetto si vuol dire che potenzialmente ogni sito che si visita può dare questo problema ma non è vero assolutamente.

Potenzialmente sì. Se un webmaster vuole aumentare le visite ad un suo sito in questo modo, perché no? è disonesto ma non glielo puoi mica vietare.

Wintricks è infetto da js/downloader.agent uno script java che ha l'intento di scaricare altri malware.

Oltre alla pagina di wintricks, c'è js_home.js come codice javascript e nessuno lo rileva come infezione. Qual'è l'antivirus che ti indica questa cosa e quale pagina?


Questi semi rimedi permettono di visitare il sito ma di rischiare infezioni ancor peggiori, la risoluzione è una sola quella che il server su cui risiede Wintrick venga disinfettato, non c'è altro sistema!

Ovvio che sì. Pero' non è così tragica la situazione da dover avere una soluzione immediata. Al massimo è complice di pubblicità illecita ma non è che infetta i pc degli utenti! :D

Tra l'altro ci sono anche testimonianze di reindirizzamenti in altri lidi.
Ditemi qual'è il link che vedo! :p

Ehm ... Wintricks può anche essere pulito, non è questo il punto. Lo script può risiedere altrove e caricato comunque da Wintricks (è nel codice stesso della pagina, nei vari link ai vari sponsor) ed eseguito da altri server e/o su ogni client attraverso java script con l'aggiunta dell' IFRAME che:
1 - Carica il sito in un frame nascosto e rallenta il sito ospite
2 - Fa pubblicità al sito in questione

Ma qui siamo d'accordo ma non è grave la situazione! è come un ad pubblicitario illecito alla fine dei conti...non c'è rischio che i pc degli utenti venga infetto da un iframe nascosto.

Per questo è necessario pazientare perchè non è solo edizioni master ad essere coinvolto ...
Non tutti gli AV si comportano allo stesso modo: Evidentemente Avast blocca lo scaricamento della pagina, antivir free tiene sotto controllo le pagine,avverte l'utente, ma consente di procedere alla visualizzazione del sito.

Giusto, ma perché bisogna essere inflitti da "paranoia da scansione euristica da antivirus"? Un conto se il sito fosse INAVIGABILE come si continua a dire. Mettere nel file di host www.eurohackers.it così da aggiungere un dominio "farlacco" tra le definizione non è una soluzione più efficace che insistere nella discussione?

Franco R.C.
11-04-2010, 15.10.37
Confermo anch'io che, da qualche tempo, ogni volta che mi collego alla pagina www:wintricks.it,
Avira free mi segnala un'infezione "è stato rilevato un virus o programma
indesiderato 'HTML/Infected.WebPage.Gen' [virus]".

Premetto, a scanso di equivoci e strumentalizzazioni, che vi frequento da anni con interesse, ma non sono per niente d'accordo con le ultime e superficiali tre righe del precedente post (semi.genius) :anger:

Ebbene, provate a copiare il link qui: http://validator.w3.org/
....credo ci sia da spaventarsi. :inkaz:

Che stanno facendo i webmaster?
Attendo una cortese e convincente risposta.
Ciao

Semi.genius
11-04-2010, 15.19.54
Confermo anch'io che, da qualche tempo, ogni volta che mi collego alla pagina www:wintricks.it,
Avira free mi segnala un'infezione "è stato rilevato un virus o programma
indesiderato 'HTML/Infected.WebPage.Gen' [virus]".

Come volevasi dimostrare...Antivir...

Premetto, a scanso di equivoci e strumentalizzazioni, che vi frequento da anni con interesse, ma non sono per niente d'accordo con le ultime e superficiali tre righe del precedente post (semi.genius) :anger:

Potrei sapere il perché?

Ebbene, provate a copiare il link qui: http://validator.w3.org/
....credo ci sia da spaventarsi. :inkaz:

Wintricks.it non ha mai passato la conformità allo standard W3C..e il validator non c'entra niente con il fatto che la pagina sia infetta

Ma volete dirmi da dove vi è venuta questa paranoia da infezione? Dalle minacce che leggete sul web? :D

Franco R.C.
11-04-2010, 15.37.22
Come volevasi dimostrare...Antivir...

Pensi quindi che la colpa sia dell'euristica di Antivir?

Potrei sapere il perché?

Perchè non si conosce la provenienza di quel sito farlacco! :)

Wintricks.it non ha mai passato la conformità allo standard W3C..e il validator non c'entra niente con il fatto che la pagina sia infetta

Ma volete dirmi da dove vi è venuta questa paranoia da infezione? Dalle minacce che leggete sul web? :D

In conclusione: si può stare tranquilli?
Ciao

Semi.genius
11-04-2010, 15.46.04
Pensi quindi che la colpa sia dell'euristica di Antivir?

No, Antivir e MacAfee hanno ragione. Ma non è una minaccia del genere "Se visiti il sito, ti controllo il pc e ti distruggo tutti i dati". Ti indica che la pagina è stata "scammata" perché quell'iframe dalla lunghezza nulla, non porta nulla di grafico pero' è una firma lasciata dai programmi di scammer una volta avuto accesso al sito. Qui nesusno nega che il sito ci sia infettato, ma dipende come è stato infettato. Fai finta che abbia il virus del raffreddore. Al massimo per via dei riferimenti a Eurohackers, il sito andrà più lento perché dovrà startunire...

Perchè non si conosce la provenienza di quel sito farlacco! :)

Eurohackers è una community di security dove si raccolgono video per effettuare attacchi informatici (SQL injection ad esempio)...(e frequentato bimbiminkia purtroppo)...pero' un iframe messo da uno scammer, non vuol dire che è stato attaccato Wintricks.it personalmente. Quasi tutti i siti vengono attaccati ogni volta. Stavolta ci sono riusciti su alcuni siti di Aruba a quanto pare. Ma la situazione è al massimo più preoccupante per i web master che devono cambiare password o sistema di protezione che a noi utenti. La pagina web, se non confermi di scaricare contenuto attivo, non ti può far molto.


In conclusione: si può stare tranquilli?
Ciao
A mio parere e alla situazione attuale, sì. Poi vabbè adesso mi sa che prevedo un dibattito dove cercheranno di scannarmi vivo per aver affermato questo... :p

Franco R.C.
11-04-2010, 15.54.30
No, Antivir e MacAfee hanno ragione. Ma non è una minaccia del genere "Se visiti il sito, ti controllo il pc e ti distruggo tutti i dati". Ti indica che la pagina è stata "scammata" perché quell'iframe dalla lunghezza nulla, non porta nulla di grafico pero' è una firma lasciata dai programmi di scammer una volta avuto accesso al sito. Qui nesusno nega che il sito ci sia infettato, ma dipende come è stato infettato. Fai finta che abbia il virus del raffreddore. Al massimo per via dei riferimenti a Eurohackers, il sito andrà più lento perché dovrà startunire...

Infatti, si nota un iniziale rallentamento di IE.

Eurohackers è una community di security dove si raccolgono video per effettuare attacchi informatici (SQL injection ad esempio)...(e frequentato bimbiminkia purtroppo)...pero' un iframe messo da uno scammer, non vuol dire che è stato attaccato Wintricks.it personalmente. Quasi tutti i siti vengono attaccati ogni volta. Stavolta ci sono riusciti su alcuni siti di Aruba a quanto pare. Ma la situazione è al massimo più preoccupante per i web master che devono cambiare password o sistema di protezione che a noi utenti. La pagina web, se non confermi di scaricare contenuto attivo, non ti può far molto.
Poichè il problema si è presentato già da tempo, non c'è modo di fare una bella pulizia da parte dei webmaster?

A mio parere e alla situazione attuale, sì.

Perchè? Ci sono possibilità di attacchi più pericolosi?

Poi vabbè adesso mi sa che prevedo un dibattito dove cercheranno di scannarmi vivo per aver affermato questo... :p

Bè, dai, al limite ti difendi.
Grazie delle risposte. Ciao :)

Semi.genius
11-04-2010, 16.04.09
Infatti, si nota un iniziale rallentamento di IE.

Appunto perché carica per tot volte la pagina di eurohackers.it


Poichè il problema si è presentato già da tempo, non c'è modo di fare una bella pulizia da parte dei webmaster?

Si infatti è quella che va fatta per risolvere definitivamente l'infezione.
Se volete posso fare una pagina php nel mio sito web che fa da filtro per wintricks ed elimini quella "infezione". Così che chi ha quei antivirus può navigare tenendoli attivi, senza mettere nelle eccezioni e senza avvisi e offro quindi una dimostrazione. Ci state?

Perchè? Ci sono possibilità di attacchi più pericolosi?

Più che attacchi a livello utente dove i browser fanno un ottimo lavoro, creare l'impossibilità di navigare nel sito web.

Bè, dai, al limite ti difendi.
Grazie delle risposte. Ciao :)
Ci provo :p

Franco R.C.
11-04-2010, 16.21.27
Se volete posso fare una pagina php nel mio sito web che fa da filtro per wintricks ed elimini quella "infezione". Così che chi ha quei antivirus può navigare tenendoli attivi, senza mettere nelle eccezioni e senza avvisi e offro quindi una dimostrazione. Ci state?


Certamente! :act:
Dacci le coordinate.

Ciao :)

Semi.genius
11-04-2010, 16.35.51
Certamente! :act:
Dacci le coordinate.

Ciao :)

Ok pero' ci impiego un po' perché devo fare un altra cosa prima.
Stasera sulle 20/21 o giù di lì dovrebbe essere pronta, credo. Se riesco a farlo prima comunque posto

Franco R.C.
11-04-2010, 16.42.34
Ok pero' ci impiego un po' perché devo fare un altra cosa prima.
Stasera sulle 20/21 o giù di lì dovrebbe essere pronta, credo. Se riesco a farlo prima comunque posto


Buon lavoro.

AndyWarrior
11-04-2010, 17.08.52
Stesso problema con Avira 9, son passato alla versione 10 ma il risultato non è cambiato, essendo wintricks la mia pagina iniziale da più di 10 anni, aspetto che si concludano il lavori di bonifica per rimettere la home come da storico, per ora la cambio in quanto gli avvisi ogni volta che apro IE mi hanno spazientito, e, purtroppo, la funzione di Avira "Ricorda la mia scelta" non ha mai funzionato (chissà cosa l'han messa a fare...)

Ciao e buon lavoro

RunDLL
11-04-2010, 17.35.02
Ne sei sicuro?
Prova a fare una pagina HTML con lo stesso codice che ho scritto io (cambiando anche il quellochevoglio) e a caricarlo su VirusTotal o a fare comunque una scansione con Antivir e McAfee che son sicuro che te lo rileva come infetto.
Sì ne sono sicuro, avvalorato dalla prova oggettiva, il tuo codice non viene rilevato come virus. Io parlo per prove pratiche e non banalmente ripetendo a menadito il contenuto di un libro (o sito) di informatica.

Potenzialmente sì. Se un webmaster vuole aumentare le visite ad un suo sito in questo modo, perché no? è disonesto ma non glielo puoi mica vietare.
Ho scritto che potenzialmente ogni sito può risultare infetto se contiene collegamenti iframe ma così non è, che c'entrerà sta risposta, mah...

Oltre alla pagina di wintricks, c'è js_home.js come codice javascript e nessuno lo rileva come infezione. Qual'è l'antivirus che ti indica questa cosa e quale pagina?
Che discorso è??? NOn c'ho capito niente.

Invece faccio un appello ai sistemisti di Wintrick: non perdete tempo a disinfettare il server, tanto ci sono le risoluzioni di semi.genius (che mi sa che tanto genius non sia) ovvero abbassare le difese del browser e quelle di relav ovvero usare firefox con aggiunte varie, soluzioni molto professionali!
Cari sistemisti tranquilli con questi metodi è tutto apposto, non perdete tempo "inutilmente".

RunDLL
11-04-2010, 17.43.09
No, Antivir e MacAfee hanno ragione. Ma non è una minaccia del genere "Se visiti il sito, ti controllo il pc e ti distruggo tutti i dati". Ti indica che la pagina è stata "scammata" perché quell'iframe dalla lunghezza nulla, non porta nulla di grafico pero' è una firma lasciata dai programmi di scammer una volta avuto accesso al sito. Qui nesusno nega che il sito ci sia infettato, ma dipende come è stato infettato. Fai finta che abbia il virus del raffreddore. Al massimo per via dei riferimenti a Eurohackers, il sito andrà più lento perché dovrà startunire...

Eurohackers è una community di security dove si raccolgono video per effettuare attacchi informatici (SQL injection ad esempio)...(e frequentato bimbiminkia purtroppo)...pero' un iframe messo da uno scammer, non vuol dire che è stato attaccato Wintricks.it personalmente. Quasi tutti i siti vengono attaccati ogni volta. Stavolta ci sono riusciti su alcuni siti di Aruba a quanto pare. Ma la situazione è al massimo più preoccupante per i web master che devono cambiare password o sistema di protezione che a noi utenti. La pagina web, se non confermi di scaricare contenuto attivo, non ti può far molto.


A mio parere e alla situazione attuale, sì. Poi vabbè adesso mi sa che prevedo un dibattito dove cercheranno di scannarmi vivo per aver affermato questo... :p
Totalmente falso tutto questo post e lo scrivo per chi potesse credere che non c'è niente di che.
Ho testimonianze e riscontri oggettivi di malfunzionamenti dovuti ad infezioni come rallentamento del computer e crash continuo di Internet Explorer successivamente al tentativo di accesso a Wintricks.com
Fatti non pugnette.

Semi.genius
11-04-2010, 18.01.16
Totalmente falso tutto questo post e lo scrivo per chi potesse credere che non c'è niente di che.
Ho testimonianze e riscontri oggettivi di malfunzionamenti dovuti ad infezioni come rallentamento del computer e crash continuo di Internet Explorer successivamente al tentativo di accesso a Wintricks.com
Fatti non pugnette.

Dammi i fatti. Dammi un link!

L'hai provata a fare la scansione? Se non vuoi verificarli i fatti, cosa vuoi da me?

Semi.genius
11-04-2010, 18.40.43
Sì ne sono sicuro, avvalorato dalla prova oggettiva, il tuo codice non viene rilevato come virus. Io parlo per prove pratiche e non banalmente ripetendo a menadito il contenuto di un libro (o sito) di informatica.

Che versione di antivir e/o McAfee hai che voglio vedere?


Ho scritto che potenzialmente ogni sito può risultare infetto se contiene collegamenti iframe ma così non è, che c'entrerà sta risposta, mah...

no, scusa.. tu hai scritto

Con questo concetto si vuol dire che potenzialmente ogni sito che si visita può dare questo problema ma non è vero assolutamente.

Potenzialmente lo può dare! "L'infezione di wintricks" è opera di una scammer, fine.
Ti ho chiesto il ink dove ti segnala quel js/downloader...


Invece faccio un appello ai sistemisti di Wintrick: non perdete tempo a disinfettare il server, tanto ci sono le risoluzioni di semi.genius (che mi sa che tanto genius non sia) ovvero abbassare le difese del browser e quelle di relav ovvero usare firefox con aggiunte varie, soluzioni molto professionali!
Cari sistemisti tranquilli con questi metodi è tutto apposto, non perdete tempo "inutilmente".
Ma nessuno ha sminuito il fatto che wintricks è stato infettato, ma se tu vuoi chiamare il becchino per un raffreddore... :x:

Stasera (o domani casomai, non so se adesso riesco a fare in tempo a fare la pagina, dato che devo uscire) faccio quel filter (posto anche il codice a scanso di equivoci) e voglio proprio vedere se Antivir et simila hanno qualcosa da ridire...

Ho detto "abbassate le difese del browser"?????????? Ho detto abassate i privilegi nel browser! Tu comprendi me? Abassare i privilegi è tutto l'opposto!
Leggiti cosa sono l'integrity level e ne riparliamo...
E comunque, piano. Non ti sto insultando e non vorrei che lo facessi anche te.

LoryOne
11-04-2010, 19.46.59
Insultare ?
RunDll e Semi.genius fatevi da parte, non capite un c@zzo d'informatica ! :D

ciancio alle bande ... o forse era bando alle ciance... va beh
Semi.genius non ha torto. Basta un file .txt che contenga lo script ed antivir (v 10.0.0.561) salta su come un grillo. Purtroppo, anche disabilitando gli script, aggiungendo eurohackers al file host su loopback ed abbassando i privilegi, antivir lo segnalerebbe comunque perchè è nella pagina html. Se fosse stato così semplice mettere mano allo script della pagina rimuovendo manualmente l'IFRAME, non pensate che Billow e soci lo avrebbero risolto in men che non si dica ? Io penso di si.
Se il "problema" è ancora presente, allora la situazione è più grave di quel che si pensa, oppure il "problema" non viene reputato come tale e la navigazione su Wintricks non procura alcuna infezione.
Se invece è stato deciso che eurohackers possa tranquilllamente figurare all'interno di wintricks, allora il discorso è diverso ...

LoryOne
11-04-2010, 19.51.02
Totalmente falso tutto questo post e lo scrivo per chi potesse credere che non c'è niente di che.
Ho testimonianze e riscontri oggettivi di malfunzionamenti dovuti ad infezioni come rallentamento del computer e crash continuo di Internet Explorer successivamente al tentativo di accesso a Wintricks.com
Fatti non pugnette.

Non è totalmente falso RunDll, ma capisco la tua incazzatura. Personalmente ho notato una sola volta il crash di IE6.0 sul sito di Edizioni Master, ma navigazione senza rallentamenti (script disabilitati, ovviamente)

Semi.genius
11-04-2010, 19.52.12
Semi.genius non ha torto. Basta un file .txt che contenga lo script ed antivir (v 10.0.0.561) salta su come un grillo. Purtroppo, anche disabilitando gli script, aggiungendo eurohackers al file host su loopback ed abbassando i privilegi, antivir lo segnalerebbe comunque perchè è nella pagina html.

Esatto, hai ragione. Infatti volevo fare una pagina PHP con curl che scarica la pagina html e filtra quei iframe. Così a livello utente non si vede niente perché la pagina è filtrata a livello server. Ormai stanotte o domani. devo scappare adesso.

(oltre a filtrare è un po' più complesso perché deve cambiare i percorsi relativi per puntare su wintricks.it e cambiare le ancore in modo che passa nel filtro)


Se fosse stato così semplice mettere mano allo script della pagina rimuovendo manualmente l'IFRAME, non pensate che Billow e soci lo avrebbero risolto in men che non si dica ? Io penso di si.
Se il "problema" è ancora presente, allora la situazione è più grave di quel che si pensa, oppure il "problema" non viene reputato come tale e la navigazione su Wintricks non procura alcuna infezione.
Se invece è stato deciso che eurohackers possa tranquilllamente figurare all'interno di wintricks, allora il discorso è diverso ...
Quello script dimosterà se c'è altro. Io sono convinto che sia solo uno scammer innocuo.

Tu hai trovato la pagina in cui dice un infezione di js/downloader..ecc?

Semi.genius
11-04-2010, 19.57.56
Comunque screenshot:
http://img361.imageshack.us/img361/2738/virus.gif

NON HO RITOCCATO L'IMMAGINE :p

LoryOne
11-04-2010, 21.11.43
Tu hai trovato la pagina in cui dice un infezione di js/downloader..ecc?

A me segnala solo il WebPage.Gen.
Ad ogni modo non penso che RunDll non dica la verità. Per tale motivo, ho contribuito a tenere viva la discussione, anche se, tutto sommato, le pagine le visiono comunque e non noto alcun pericolo di vera infezione: cio non significa che altri affezionati utenti con altre impostazioni di sicurezza e con altri antivirus abbiano reali problemi di navigazione. ;)

Semi.genius
11-04-2010, 22.40.52
Ad ogni modo non penso che RunDll non dica la verità.

Ma neanche io, pero' io ancora non l'ho trovato e perciò glielo chiesto.


Per tale motivo, ho contribuito a tenere viva la discussione, anche se, tutto sommato, le pagine le visiono comunque e non noto alcun pericolo di vera infezione: cio non significa che altri affezionati utenti con altre impostazioni di sicurezza e con altri antivirus abbiano reali problemi di navigazione. ;)
Sì ma non nego il problema. Quel che tengo "sottotono" è la gravità della situazione per i visitatori.

Billow
12-04-2010, 09.15.03
Ragazzi niente di tale, c'è stato un Iframe injection che in ogni pagina "infila" un rimando ad Eurohackers.it

so che in Edmaster i programmatori ci stanno lavorando, (per risolvere definitivamente il problema) ma di + non so dirvi..

cmnq il sito NON è infetto, ha unicamente questo rimando, che non inficia il funzionamento del sito, per carità da' fastidio ma non compromette il funzionamento del Vs. pc

roberto45
12-04-2010, 09.58.52
Grazie per l'informazione e buon lavoro :)

Semi.genius
12-04-2010, 10.13.48
Ragazzi niente di tale, c'è stato un Iframe injection che in ogni pagina "infila" un rimando ad Eurohackers.it

so che in Edmaster i programmatori ci stanno lavorando, (per risolvere definitivamente il problema) ma di + non so dirvi..

cmnq il sito NON è infetto, ha unicamente questo rimando, che non inficia il funzionamento del sito, per carità da' fastidio ma non compromette il funzionamento del Vs. pc

Grazie per l'intervento e per averci informato :)

Franco R.C.
12-04-2010, 13.31.39
Ragazzi niente di tale, c'è stato un Iframe injection che in ogni pagina "infila" un rimando ad Eurohackers.it

so che in Edmaster i programmatori ci stanno lavorando, (per risolvere definitivamente il problema) ma di + non so dirvi..

cmnq il sito NON è infetto, ha unicamente questo rimando, che non inficia il funzionamento del sito, per carità da' fastidio ma non compromette il funzionamento del Vs. pc


Grazie Billow dell'info.
vorrei sapere,tuttavia, se questi problemi sono dovuti ad un tentativo di "attacco" al sito.
Ciao :)

Semi.genius
12-04-2010, 13.35.52
Grazie Billow dell'info.
vorrei sapere,tuttavia, se questi problemi sono dovuti ad un tentativo di "attacco" al sito.
Ciao :)
Sì, come ha accennato prima, un tentativo di defacciamento. Comunque adesso che ve l'ha confermato l'admin, la finite di tirarmi le iettature? :p

Franco R.C.
12-04-2010, 13.39.10
Comunque adesso che ve la confermato l'admin, la finite di tirarmi le iettature? :p


? :mm:
Io non ti ho detto niente! :)
Ciao

Semi.genius
12-04-2010, 13.40.47
? :mm:
Io non ti ho detto niente! :)
Ciao
Qualche post prima mi avevi detto che ero superficiale... :o
Sto scherzando :D

Franco R.C.
12-04-2010, 13.42.37
Qualche post prima mi avevi detto che ero superficiale... :o



Ah...sì!

Scusa tanto.
Hai preparato il programmino?

Ciao :)

Semi.genius
12-04-2010, 13.47.01
Ah...sì!

Scusa tanto.

Ma non ti scusare! Non mi hai detto niente di male alla fine.


Hai preparato il programmino?

Ciao :)

Non ancora, sorry. Ho avuto degli imprevisti e fino alle 18 sono occupato con la keynote di Visual Studio 2010. Appena dopo, completo una cosa e mi ci metto a lavoro.

glm2006ITALY
12-04-2010, 14.12.05
Scusate ho notato che nel codice sorgente esiste, per l'appunto, l'i frame al sito indicato

Non fate prima ad editare la home e modificare le pass di accesso allo spazio web/database?

Semi.genius
12-04-2010, 14.18.09
Scusate ho notato che nel codice sorgente esiste, per l'appunto, l'i frame al sito indicato

Non fate prima ad editare la home e modificare le pass di accesso allo spazio web/database?

Bisogna capire come è avvenuto l'attacco. Non per forza tramite scoperta di password, può avere sfruttato un exploit. Pero' questo potrà dircelo meglio chi effettivamente si sta occupando del problema.
Certo, eliminare gli iframe (che farò tramite quella pagina php che volevo fare) è la soluzione temporanea, pero' se hanno in mente una soluzione definitiva, meglio coprire le falle prima e poi pulire il sito a mio parere

glm2006ITALY
12-04-2010, 14.25.07
Ho chiesto perchè ho avuto un caso simile con un mio cliente su un sito joomla! (continuava ad apparire un div id con circa 250 link di spam invisibili) ed avevo risolto cancellando il codice a mano e sostituendo le pass :p

Certo la prima cosa da capire è come sono riuscito ad immettere la "robaccia"... e se il server in cui è ospitato il sito non è aggiornato..... :grrr:

Semi.genius
12-04-2010, 14.28.44
Ho chiesto perchè ho avuto un caso simile con un mio cliente su un sito joomla! (continuava ad apparire un div id con circa 250 link di spam invisibili) ed avevo risolto cancellando il codice a mano e sostituendo le pass :p
Si, è la soluzione immediata. Pero' è da considerarsi temporanea se prima non si trova cosa lascia la porta libera agli attaccanti. Anche se è solo la routine di gestione della password del web server (cambiate troppo poco spesso). Pero' prima sarebbe meglio avere una policy di sicurezza più rigida per evitare che risucceda ancora (magari mentre puliscono, e se c'è effettivamente la falla, possono riattaccare e il web master dovrebbe ripulire ancora). Diciamo eliminare la sorgente del problema.


Certo la prima cosa da capire è come sono riuscito ad immettere la "robaccia"... e se il server in cui è ospitato il sito non è aggiornato..... :grrr:
Spero sia riusciti :D Già, confermo

glm2006ITALY
12-04-2010, 14.41.05
oppps :inn: sono innocente errore di battitura :wall:

booty island
12-04-2010, 15.29.56
...Comunque adesso che ve la confermato l'admin.....

:devil:
Occhio ;)

Semi.genius
12-04-2010, 15.32.52
:devil:
Occhio ;)

Ops! La fretta è una brutta bestia :p

glm2006ITALY
12-04-2010, 15.38.13
:D :lol:

z4rgon
12-04-2010, 15.54.36
Qualcuno si è reso conto che andando sulla home page e guardando in basso a sinistra viene puntato un sacco di volte il sito www.eurohackers.it e che in basso a sinistra di certe pagine come questa http://news.wintricks.it/web/dal-web/31541/firefox-lorentz-il-browser-anticrash/ c'è una serie di tre 1 ?

Semi.genius
12-04-2010, 15.59.45
Qualcuno si è reso conto che andando sulla home page e guardando in basso a sinistra viene puntato un sacco di volte il sito www.eurohackers.it

Sì, infatti il risultato del defacciamento (l'iframe injection) non è ancora stato risolto ma non porta rischio all'utente

e che in basso a sinistra di certe pagine come questa http://news.wintricks.it/web/dal-web/31541/firefox-lorentz-il-browser-anticrash/ c'è una serie di tre 1 ?
In effetti è la prima volta che ci faccio caso. Ma anche guardando il codice si tratta di testo "crudo" accompagnato dall'iframe injection. Presumo che sia uno dei "residui".

Appena avranno rafforzato il gestore, se ne occuperanno secondo le dichiarazioni.

Allora appena mi libero dei keynote metterò anche questo nel filtro.

RunDLL
12-04-2010, 22.21.34
AVG che è un software antivirus serio, ha rilevato e rileva tutt'ora JS/downloader all'apertura di ogni collegamento di news di Wintricks. Prima accadeva anche con la sola home page, ora solo tentando di accedere alle news. Ovviamente blocca l'accesso essendo uno script che scarica malware peggiori.
Non c'è nessun link di sorta, queste sono mie prove pratiche. Come sono cose personalmente riscontrate da me i malfunzionamenti successivi ai tentativi di accesso a Wintricks, malfunzionamenti di cui, leggo, non sono l'unico ad aver riscontrato.
Quelle due righe di codice con collegamenti IFRAME non destano preoccupazione a software seri come AVG.
Come ha detto qualcuno se ormai saremo a 2 settimane che esiste questo problema e gente esperta ancora non è giunta alla risoluzione, la minaccia è molto seria e molto di più di quello che si vuol far credere.
Consigliare mezzi relativi o addirittura dire che è tutto apposto è molto poco professionale, c'è chi coi computer ci lavora, non ci gioca a Fifa 2010 o ci scarica gli mp3.

Semi.genius
12-04-2010, 22.58.29
AVG che è un software antivirus serio, ha rilevato e rileva tutt'ora JS/downloader all'apertura di ogni collegamento di news di Wintricks. Prima accadeva anche con la sola home page, ora solo tentando di accedere alle news. Ovviamente blocca l'accesso essendo uno script che scarica malware peggiori.

Ok grazie. Adesso controllo con AVG per vedere il motivo. Free o completa?

Consigliare mezzi relativi o addirittura dire che è tutto apposto è molto poco professionale, c'è chi coi computer ci lavora, non ci gioca a Fifa 2010 o ci scarica gli mp3.
Te l'ha detto anche Billow che è l'admin. Più delle prove cosa vuoi che ti dica? è inutile insistire...

RunDLL
12-04-2010, 23.24.17
Utilizzo la versione a pagamento ma tanto non c'è differenza con la Free in termini di protezione.
Riesco a ragionare da solo, tengo in considerazione ciò che dice Billow ma so anche capire le situazioni, visto anche che è il mio mestiere risolvere i problemi, e comunque nessuno ha spiegato perchè è così semplice ma sono 2 settimane che ci stanno a tribolare.

Semi.genius
12-04-2010, 23.43.17
Utilizzo la versione a pagamento ma tanto non c'è differenza con la Free in termini di protezione.
Riesco a ragionare da solo, tengo in considerazione ciò che dice Billow ma so anche capire le situazioni, visto anche che è il mio mestiere risolvere i problemi, e comunque nessuno ha spiegato perchè è così semplice ma sono 2 settimane che ci stanno a tribolare.

Visto che hai AVG e giustamente non ti fidi di me, hai voglia di provare che è sempre colpa dell'iframe? Fatto da te, non puoi dimostrare che sono stato io a sabotare, vero?

Ti spiego i passaggi precisamente per far manifestare quell'errore. Ti basta notepad (e AVG ovvio :p) .

1. Apri notepad e scrivici questa riga

<IFRAME src="http://www.pincopallo.it" width=0 height=0 frameborder=0></IFRAME><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

3. in pratica l'iframe più il doctype della pagina
4. Salva il file in qualcosa.htm dove vuoi e prova ad accederci
5. Se hai già il resident shield attivo, non ti dà anche a te il JS/Downloader.Agent anche se non c'è una riga di codice di javascript?

(l'ho fatto con la Free, provo anche con la trial della completa)

Chiedo anche agli altri di fare i test comunque.
Billow comunque ha spiegato che c'è effettivamente una falla, ma ha anche fatto notare che non riguarda noi utenti. La grana è più per i web master. E poi Edizioni Master non ha solo wintricks.it...

E poi personalmente: mi dici che ti ho fatto? :x:

gsmet
13-04-2010, 01.10.17
Mamma che discussione assurda... siete tutti mezze calzette. Io navigo senza antivirus e sege mentali me ne sono fatte zero... come zero sono attualmente le infezioni... altro che mega malware con le lance siderali e i boomerang astrali.

Su sto post c'è talmente tanta fobia da infezione che mi sono ammalato pure io! Ho iniziato a guardare dietro alle finestre di IE se si nascondevano dei virus sfruttando l'aero peek di seven per farle diventare trasparenti e coglierli di sorpresa!!!! Ma mi sa che sono loro i più furbi... perchè non ce n'era traccia!!!!

P.S. MWHAHAHAHAHAHAHAHAHAHAHAHAHAHAAHAHA

Semi.genius
13-04-2010, 01.17.32
Mamma che discussione assurda... siete tutti mezze calzette. Io navigo senza antivirus e sege mentali me ne sono fatte zero... come zero sono attualmente le infezioni... altro che mega malware con le lance siderali e i boomerang astrali.

Su sto post c'è talmente tanta fobia da infezione che mi sono ammalato pure io! Ho iniziato a guardare dietro alle finestre di IE se si nascondevano dei virus sfruttando l'aero peek di seven per farle diventare trasparenti e coglierli di sorpresa!!!! Ma mi sa che sono loro i più furbi... perchè non ce n'era traccia!!!!

P.S. MWHAHAHAHAHAHAHAHAHAHAHAHAHAHAAHAHA

Ti stimo...sei il mio idolo da oggi in poi :x:

Gli antivirus non hanno torto a segnalare le pagine come pericolose o come MODELLI di infezione. Pero' bisognerebbe verificare se il modello è realmente un pericolo o no...
Gli antivirus sono utili come STRUMENTI per la ricerca di infezione, non è un giudice insidacabile tale da distinguere realmente le minacce che possono affligere il pc e non...

z4rgon
13-04-2010, 09.33.56
Mamma che discussione assurda... siete tutti mezze calzette. Io navigo senza antivirus e sege mentali me ne sono fatte zero... come zero sono attualmente le infezioni... altro che mega malware con le lance siderali e i boomerang astrali.

Su sto post c'è talmente tanta fobia da infezione che mi sono ammalato pure io! Ho iniziato a guardare dietro alle finestre di IE se si nascondevano dei virus sfruttando l'aero peek di seven per farle diventare trasparenti e coglierli di sorpresa!!!! Ma mi sa che sono loro i più furbi... perchè non ce n'era traccia!!!!

P.S. MWHAHAHAHAHAHAHAHAHAHAHAHAHAHAAHAHA

Io navigo senza antivirus che gira in background ma uso l'antivirus per scansionare file potenzialmente infetti appena li scarico.
E uso determinate contromisure (addons di Firefox) se navigo su siti sospetti, e guardo dove navigo, dove clicco e cosa mi viene chiesto dai siti.
E di infezioni non ne ho.
Sono curioso di sapere come fai tu ad essere sicuro di non aver scaricato file infetti senza usare un antivirus...
Sarai capace ad usare il computer, bravo, ma non ce ne frega una mazza di quanto tu sia bravo.
I forum non servono per pavoneggiarsi, il tuo commento non è utile a nessuno.

Semi.genius
13-04-2010, 10.33.47
fai tu ad essere sicuro di non aver scaricato file infetti senza usare un antivirus

Beh, i programmi antivirus sono degli strumenti programmati dalle persone. Aiutano la gente a trovare le minacce. Ma la minaccia (reale) ha anche degli effetti sul tuo pc (con una certa elasticita...un malware che tira su popup se ne accorgono quasi tutti. I rootkit è molto più difficile a volte ad esempio). Se lo usi abbondatemente e approfonditamente la tua macchina, conosci "i tuoi polli" e sai dove una minaccia si può annidare (sai che i rootkit ad esempio cercheranno di installare driver non plug & play perciò un controllo periodico in caso di sospetto è salutare, fatto anche manualmente). Ed essendo strumenti hanno un certo grado di tolleranza agli errori.
La stessa cosa che tu "sospetti" i file, hai un certo grado di abilità a riconoscere la minaccia come se facessi un controllo background. Il sospetto ti viene dalle circostanze e dal funzionamento generale di una minaccia, no?

Non dico siano inutili, dico solo che pero' non bisogna affidarci alla cieca.
Almeno che non esista un nuovo exploit, ma pure gli antivirus devono essere istruiti a riguardo...la ricerca euristica dà una mano, ma va presa con le pinze.

So che gsmet è molto abile su questo fatto anche dato il lavoro che fa e i studi che ha condotto perciò l'affermazione è stata fatta volutamente provocatoria contro tutte queste paranoie da antivirus e non per vantarsi (anche perché vantarsi perché non si usa un antivirus mi sembra una cosa stupida :mm: ).

Nel mio, ho dimostrato cosa fa scattare quei due antivirus, mostrando che si tratta fondamentalmente di codice fastidioso ma innocuo

LoryOne
13-04-2010, 11.46.38
Ho iniziato a guardare dietro alle finestre di IE se si nascondevano dei virus sfruttando l'aero peek di seven per farle diventare trasparenti e coglierli di sorpresa!!!! Ma mi sa che sono loro i più furbi... perchè non ce n'era traccia!!!!


Porca miseria gsmet, tu hai un futuro da cabarettista :D
Mitica battuta, hai scalato le posizioni della mia classifica fino a giungere a quella di genio. Un mito ragazzi, un mito (Y)

LoryOne
13-04-2010, 12.04.49
Aspettate un attimo.
Forse cio che sfugge a questo punto del post è che alcuni frequentatori del forum non riescono a visionare la pagina principale di Wintricks perchè il loro antivirus blocca lo scarico, non che pensano forzatamente al sito da ripulire perchè contiene un virus, tranne RunDLL che lo ha esplicitamente chiarificato.
Il punto principale è l'impossibilità di fruire del sito, cosa che sicuramente gli admin hanno preso a cuore, ma che a quanto pare non è possibile risolvere in tempi brevi. Bisogna pazientare, non credo che ci sia l'espressa volontà di volerlo fare a posta.
Se all'insaputa degli admin qualcuno ha avuto accesso alla pagina aggiungendo l'IFRAME, è necessario capire in che modo ci è riuscito ed un che modo impedirglielo in futuro, come è già stato puntualizzato da Semi.genius.

Semi.genius
13-04-2010, 12.30.37
Sto cominciando a farla oggi quella pagina ospitata qui

http://simonemariolombardo.netsons.org/test.php

NON è ANCORA FINITO

LoryOne
13-04-2010, 12.53.18
Si ringrazia Semi.genius per l'impegno profuso. Uomo di buona volontà, bisogna dargliene atto.

RunDLL
13-04-2010, 13.09.38
Mamma che discussione assurda... siete tutti mezze calzette. Io navigo senza antivirus e sege mentali me ne sono fatte zero... come zero sono attualmente le infezioni... altro che mega malware con le lance siderali e i boomerang astrali.

Su sto post c'è talmente tanta fobia da infezione che mi sono ammalato pure io! Ho iniziato a guardare dietro alle finestre di IE se si nascondevano dei virus sfruttando l'aero peek di seven per farle diventare trasparenti e coglierli di sorpresa!!!! Ma mi sa che sono loro i più furbi... perchè non ce n'era traccia!!!!

P.S. MWHAHAHAHAHAHAHAHAHAHAHAHAHAHAAHAHA
Hai anche il coraggio di dire mezze calzette? Ci sono virus che attaccano anche senza navigare, Klez ne è stato uno del passato tanto per fare un esempio e faceva pure parecchi danni.
Forse mezza calzetta è chi utilizza un computer con sprovvedutezza, certo se ci guardi i video su Youtube puoi anche fare a meno di un pc per qualche tempo ma per chi ha dati su dati che gli servono regolarmente e quotidianamente, non avere un antivirus è solo sintomo di stupidità.

X semi.genius: questo codice riveduto viene rilevato da AVG.

Semi.genius
13-04-2010, 13.46.51
Non è possibile! Faccio la pagina e Wintricks.it viene ripulito!

Adesso è tutto apposto comunque...almeno ho ripassato curl :D

gsmet
13-04-2010, 20.49.39
Hai anche il coraggio di dire mezze calzette? Ci sono virus che attaccano anche senza navigare, Klez ne è stato uno del passato tanto per fare un esempio e faceva pure parecchi danni.
Forse mezza calzetta è chi utilizza un computer con sprovvedutezza, certo se ci guardi i video su Youtube puoi anche fare a meno di un pc per qualche tempo ma per chi ha dati su dati che gli servono regolarmente e quotidianamente, non avere un antivirus è solo sintomo di stupidità.

X semi.genius: questo codice riveduto viene rilevato da AVG.

Io navigo senza antivirus che gira in background ma uso l'antivirus per scansionare file potenzialmente infetti appena li scarico.
E uso determinate contromisure (addons di Firefox) se navigo su siti sospetti, e guardo dove navigo, dove clicco e cosa mi viene chiesto dai siti.
E di infezioni non ne ho.
Sono curioso di sapere come fai tu ad essere sicuro di non aver scaricato file infetti senza usare un antivirus...
Sarai capace ad usare il computer, bravo, ma non ce ne frega una mazza di quanto tu sia bravo.
I forum non servono per pavoneggiarsi, il tuo commento non è utile a nessuno.

Semi.genius e LoryOne hanno colto completamente lo spirito del mio post. Voleva essere provacatorio e cabartettistico chiaramente.

La verità dei fatti è però che il 100% degli antivirus sopravalutano le minacce proprio a causa della loro ricerca euristica. Al giorno d'oggi, visto anche gli ottimi browser e i pluripremiati sistemi operativi, la ricerca euristica è praticamente anche l'unica cosa che entra veramente in funzione degli antivirus e quindi un antivirus rasenta attualmente l'inutilità. L'unico caso di utilità che ha è appunto quello citato da z4rgon per quanto riguarda la scansione di file sospetti. Visto l'andazzo diventa molto più utile un tool basato su paradigma ips (intrusion prevention system, un sistema che si basa sul comportamento di un programma piuttosto che su una firma) che un antivirus visto che infondo a noi è proprio il comportamento del programma che ci preme bloccare... non il programma in se.

Quindi nel caso specifico di un cavolo di IFRAME a dimensione zero gli antivirus proprio non servono a niente... ma talmente tanto a niente che dire niente è già dire troppo, visto che possono agire solo sulla base della firma (anche perchè sfido l'antivirus a scannarsi il sito in questione per determinare se è infetto o ad attendere la risposta di un DB centrale per averne la conferma o farsi un caching di tutti i domini dubbi da questo db centrale).

Cmq un esempio che secondo me si addice molto alla cosa è mio padre che naviga solitamente con IE su XP senza SandboxIE. Ha una barra di cui non ricordo più neppure la provenienza che blocca solo i siti chiaramente collegati a malware (basata su un concetto simile all'ips quindi) e un antivirus (MoonAntivirus, COSTA UN OCCHIO ATTENTI) che non è MAI entrato in funzione (altrimenti mi avrebbe chiamato subito) e lui penso che sia un caso patologico visto che come minimo visita 112321 ogni sera dai siti farlocchi che sono specchietti per le allodole ai siti fatti dai bimbiminkia con lo spam che gli arriva ai capelli e così via... Ogni tanto gli controllo il pc, ma fino ad ora ha avuto tutti esiti positivi.

Per quanto riguarda gli esempi di RunDLL, klez bisogna che lo avvi in qualche modo e se lo avvi e meglio che abbandoni il mondo dell'informatica e ti dediche a qualche gioco di carte. Invece se hai problemi di conservazione dei dati o di situazioni in cui si necessità l'always on, l'high availability o qualche cluster di failover o similia, spero che l'antivirus proattivo sulla falsariga di AVG sia l'ultima cosa che andrai utilizzare, visto che ci sono tool ben più efficaci e più congeniali (a mio avviso), non ultima l'adozione di un OS momentaneamente esente da virus.

Per il resto mi affido a quel che ho fatto per tanti tanti tanti anni: utilizzo avveduto del pc, con particolare attenzione a ciò che clicco. E se come a z4argon mi capitasse qualche dubbio (raro, la puzza di virus ormai la sento quasi sul serio) una scansioncina su virustotal e mi risolvo il problema.

Ahò poi non voglio dirvi di abbandonare gli antivirus... devo ammettere che ci vogliono certe conoscenze e una certa esperienza per "sentire" i malware nascosti dietro le finestre ridacchiare gioiosamente e quindi ahime... potete continuare a usarli per quanto mi riguarda... anche se mi pare assurdo poi leggere certi post.

Poi se questo vi impedisce di guardare il vostro sito preferito a causa del fatto che un antivirus è programmato coi piedi, PER QUANTO MI RIGUARDA, l'avete voluto VOI e l'avete pure pagato in molti casi!

mwhahahahahahahah

Edit: P.S. ahahaha semi.genius ho visto che hai cambiato la firma... dovrei aggiornarla pure io!!!

Semi.genius
13-04-2010, 21.33.06
La verità dei fatti è però che il 100% degli antivirus sopravalutano le minacce proprio a causa della loro ricerca euristica.
...
Quindi nel caso specifico di un cavolo di IFRAME a dimensione zero gli antivirus proprio non servono a niente... ma talmente tanto a niente che dire niente è già dire troppo, visto che possono agire solo sulla base della firma (anche perchè sfido l'antivirus a scannarsi il sito in questione per determinare se è infetto o ad attendere la risposta di un DB centrale per averne la conferma o farsi un caching di tutti i domini dubbi da questo db centrale).

(Y) Ma non è colpa lì per sè dell'antivirus. L'algoritmo di scansione ha una certa elasticità che è il suo limite più grande: come ad esempio riprendendo il codice per AVG:

<IFRAME src="http://www.pincopallo.it" width=0 height=0 frameborder=0></IFRAME><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
Se io aggiungessi un attributo come scrolling=no all'iframe o cambiassi doctype, già AVG non lo rileva più come modello di infezione. Eppure non è cambiato niente a livello semantico

E poi dettagli importanti, di queste limitazioni lo sanno anche gli attaccanti che vogliono fare un attacco DoS. Quindi il panico fa pure propagare con successo l'infezione, anzi andiamo sull'assurdo: la minaccia software che al pc non procura danno influenza le persone!

E se cambio nel codice il doctype in uno loose, pure F-Prot e Authentium me lo rilevano come minaccia.

Poi stiamo anche attenti ai nomi "fasulli": sempre riprendendo avg, JS/Download.Agent anche se non c'era proprio nulla di javascript.


Edit: P.S. ahahaha semi.genius ho visto che hai cambiato la firma... dovrei aggiornarla pure io!!!
Era d'obbligo dopo quel post :D

RunDLL
13-04-2010, 22.11.03
Per quanto riguarda gli esempi di RunDLL, klez bisogna che lo avvi in qualche modo e se lo avvi e meglio che abbandoni il mondo dell'informatica e ti dediche a qualche gioco di carte. Invece se hai problemi di conservazione dei dati o di situazioni in cui si necessità l'always on, l'high availability o qualche cluster di failover o similia, spero che l'antivirus proattivo sulla falsariga di AVG sia l'ultima cosa che andrai utilizzare, visto che ci sono tool ben più efficaci e più congeniali (a mio avviso), non ultima l'adozione di un OS momentaneamente esente da virus.
Al di là del fatto che gli utenti di un pc non sono tutti esperti e molti sono anche obbligati ad usarne uno senza aver la minima passione informatica quindi non tenuti a sapere tutto ciò che ci ruota intorno e come navigare o a cosa stare attenti. A questi vogliamo proporre di non utilizzare antivirus e di fare una navigazione oculata? Sarebbe l'apoteosi dell'antideontologia!

Inoltre, in passato virus come Blaster o Sasser infettavano senza navigare e senza intervento di nessuno come autocomplicità.

Mi affido tranquillamente ad AVG e non condivido il pensiero di tools più efficaci, in particolare in ambiente antivirus, tanto meno l'idea di utilizzare OS esenti da virus, questo significherebbe non utilizzare Windows, ideologia che non mi appartiene.
Anche perchè se tutti adottassero questo sistema non cambierebbe assolutamente nulla, visto che non sono altri sistemi operativi ad essere immuni ma semplicemente che nessuno fa virus per essere distribuiti su pochi computer, ma vengono fatti per la distribuzione capillare appunto per Windows essendo il più diffuso.
Se Linux e affini avessero la stessa diffusione di Windows avrebbero gli stessi problemi nè più nè meno.

gsmet
13-04-2010, 22.11.04
(Y) Ma non è colpa lì per sè dell'antivirus. L'algoritmo di scansione ha una certa elasticità che è il suo limite più grande: come ad esempio riprendendo il codice per AVG:


Se io aggiungessi un attributo come scrolling=no all'iframe o cambiassi doctype, già AVG non lo rileva più come modello di infezione. Eppure non è cambiato niente a livello semantico

E poi dettagli importanti, di queste limitazioni lo sanno anche gli attaccanti che vogliono fare un attacco DoS. Quindi il panico fa pure propagare con successo l'infezione, anzi andiamo sull'assurdo: la minaccia software che al pc non procura danno influenza le persone!

E se cambio nel codice il doctype in uno loose, pure F-Prot e Authentium me lo rilevano come minaccia.

Poi stiamo anche attenti ai nomi "fasulli": sempre riprendendo avg, JS/Download.Agent anche se non c'era proprio nulla di javascript.

Si quindi stai praticamente affermando che non serve a niente. Perchè scrolling=no non solo non cambia niente a livello semantico, ma neppure a livello grafico. Quindi che me serve un antivirus che da risultati "aleatori" se non ad allarmare la gente?