Trojan (.jar) ?

[KID.A]

Mentre navigavo alcuni siti(senza fare alcun download), l'Antivirus mi segnala:

c[1].jar - Exploit-ByteVerify (presente nella dir dei Temporaty Internet Files)
-> Delete

1)
Ora, è un tipo di file java(se non sbaglio) un archivio java: può essere effettivamente un trojan ?
La cancellazione del file considerato "infetto" è stata sufficiente oppure si è installato ???

2)
A fine di quella connessione, ho notato una pag di Internet Explorer aperta con questo URL:
http://127.0.0.1:8081/index.html? (è il localhost...ma la porta?)
Posso verificare durante prox connessioni se c'è qualche porta in "listening", mendiate

codice:

netstat

oppure, com'era il comando dettagliato

codice:

netstat -a

?

----------
Ho fatto scansione con Antivirus di tutto HardDisk= ok
Devo controllare qualche chiave di Registro ?

Nota:
Controllando gli .exe recenti, ho trovato file "msorunner.exe"(31kb) in C > WinNT creato proprio quella stessa sera...?? è un file di sistema ?
fatemi sapere, GRAZIE!

[shishii]

Ciao,

jar è un archivio java... ma è anche eseguibile, se hai la JVM prova a fare (non con quel jar)
java -jar archivio.jar

sulla porta 8081 spesso viene messo Tomcat, che è una specie di web server in grado di utilizzare esegubili java oltre alle pagine .jsp e ai javabeans.

[KID.A]

Originariamente inviato da shishii
Ciao,

jar è un archivio java... ma è anche eseguibile, se hai la JVM prova a fare (non con quel jar)
java -jar archivio.jar

scusami, non ho capito cosa dovrei fare...?
devo scrivere "java -jar archivio.jar" nella barra url ? (altri jar, non ne ho e quello l'ha eliminato l'antivirus)

PRECISO dettagli:
utilizzo un NT 4.0 (non ho privilegi di admin)
l'antivirus (VirusScan di Network Associates) l'ha segnalato mentre navigavo, am non mi è chiaro se lo ha bloccato o se già può essersi installato qcosa ?
....eventualmente quali chiavi dovrei controllare manualmente.
Da scansioni successive non risultano problemi.

- ma questo .jar byte-verify che problemi può dare ?
- msorunner.exe: io su yahoo non ho trovato nulla (ma cos'è?)

Originariamente inviato da shishii
sulla porta 8081 spesso viene messo Tomcat, che è una specie di web server in grado di utilizzare esegubili java oltre alle pagine .jsp e ai javabeans.

a tal proposito cosa devo fare?
GRAZIE

[shishii]

premetto che di windows e virus non ne so moltissimo, visto che da 4 anni lavoro con linux, comunque tutto ciò che è java è multipiattaforma.

quella che ti suggerivo era una prova per farti vedere come funzionano i .jar, la stringa
java -jar file.jar
andrebbe digitata da console, va bene anche quella di DOS, ma devi avere la Java Virtual Machine istallata.


per la porta 8081 lo dicevo nel senso che si giustifica che un eseguibile java cerchi quella porta visto che spesso li c'è un server che è in grado di eseguirlo. Se hai un firewall bloccala.

[KID.A]

ho controllato in Pannello controillo > Aggiungi/rimuovi applicaz.
lì non figura esserci la JVM ...quindi il .jar non ha potuto esser eseguito ?

la pagina con porta, proprio non riesco a spiegarmela...

[KID.A]

senti shishii,
io purtroppo su questa macchina (NT 4.0) non ho privilegi di admin, quindi temo di non riuscire ad installare...ma se ci riesco, oltre a metterci:

- un bel Firewall (Outpost, Zonealarm ? meglio il primo?)
- adesso, (per verificare con sicurezza se davvero non ho nessun trojan, o schifezze e .EXE maligni in ascolto, che abbia installato il .jar con exploit-byteverify, nonostante sia stato riklevato da McAfee?) mi può servire un sw Trojan-scanner, tipo:Tauscan o The Cleaner che consigliano qui
- oppurepuò servire fare una scasione anche in qualcuno di questi links qui:
http://www.pandasoftware.com/actives..._principal.htm
http://housecall.trendmicro.com/hous...start_corp.asp
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

Ti allego, inoltre, lo screenshot di "netstat -a" da stato Offline: ti sembra tutto normale o sospetti qualcosa?
screenshot: Netstat -a ieri e oggi
GRAZIE!


ps:
ho provato a spostare il file dubbio "msorunner.exe"dalla dir C>winNT
però, a riavvio di sistema mi comapre finestra di errore

"IMPOSSIBILE TROVARE IL FILE "C:\WINNT\msorunner.exe" o uno dei suoi componenti - Verificare

che il percorso e il nome siano corretti e che tutte le librerie necessarie siano

disponibili"

=significa che è un file di sistema?
Non so se serve granché, am ho aperto msorunner.exe con Notepad, queste le stringhe finali

leggibili

tƒÑ‹èV‹÷+ðó¤^éçþÿÿ]+}‰}üa]à PE-PACK: MEMORY ALERT PE-PACK: IMPORT LDR
ERROR Memory allocation failed! Unable to load %s %s not found in %s Ordinal %.4Xh not found
&
&
7&
E&


KERNEL32.DLL GetModuleHandleA LoadLibraryA GetProcAddress VirtualAlloc VirtualFree

ExitProcess USER32.DLL MessageBoxA wsprintfA
€ ÿÿÿÿ Á%
™%


,&
µ%
 jT
° 
Ð -


ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÄÄÄÄ
-=þ PE-PACK v1.0 -þ- (C) Copyright 1998 by ANAKiN þ=-
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ ÄÄÄÄ

Inoltre, da ricerca nel Registry, risultano sia "msorunner.exe" sia "msrunner.exe"[sebbene quest'ultimo file NON risulta nel disco...] come stringhe presenti in
HKEY_CURRENT_USER>Software>Microsoft>Windows>Curre ntVersion>Explorer>Doc Find Spec MRU
e
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
screenshot:Registry_CURRENT_USER
screenshot:Registry_LOCAL_MACHINE



pps:
i file .jar di questo tipo vengono scaricati perché richiamati nei codici HTML come una semplice applet?
e perché vengono eseguiti "in automatico" ?
(perdona le espressioni magari imprecise...)

[shishii]

Originariamente inviato da KID.A
senti shishii,
io purtroppo su questa macchina (NT 4.0) non ho privilegi di admin, quindi temo di non riuscire ad installare...ma se ci riesco, oltre a metterci:

- un bel Firewall (Outpost, Zonealarm ? meglio il primo?)

quando usavo windows ho utilizzato zonealarm e mi trovavo bene, ma come fai a metterlo se non sei amministratore?

- adesso, (per verificare con sicurezza se davvero non ho nessun trojan, o schifezze e .EXE maligni in ascolto, che abbia installato il .jar con exploit-byteverify, nonostante sia stato riklevato da McAfee?) mi può servire un sw Trojan-scanner, tipo:Tauscan o The Cleaner che consigliano qui
- oppurepuò servire fare una scasione anche in qualcuno di questi links qui:
http://www.pandasoftware.com/actives..._principal.htm
http://housecall.trendmicro.com/hous...start_corp.asp
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

come ti ho già detto non sono esperto di sicurezza windows, comunque penso che un buon antivirus e fare quei scan di rete vada bene.

Ti allego, inoltre, lo screenshot di "netstat -a" da stato Offline: ti sembra tutto normale o sospetti qualcosa?
screenshot: Netstat -a ieri e oggi
GRAZIE!

certamente hai troppe porte aperte. Essendo scollegato dalla rete è molto difficile dire se qualcuna è sospetta. Un firewall che funzioni anche in uscita ti farà bene.

ps:
ho provato a spostare il file dubbio "msorunner.exe"dalla dir C>winNT
però, a riavvio di sistema mi comapre finestra di errore=significa che è un file di sistema?
Non so se serve granché, am ho aperto msorunner.exe con Notepad, queste le stringhe finali

leggibili
Inoltre, da ricerca nel Registry, risultano sia "msorunner.exe" sia "msrunner.exe"[sebbene quest'ultimo file NON risulta nel disco...] come stringhe presenti in
HKEY_CURRENT_USER>Software>Microsoft>Windows>Curre ntVersion>Explorer>Doc Find Spec MRU
e
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
screenshot:Registry_CURRENT_USER
screenshot:Registry_LOCAL_MACHINE

in effetti è un pò sospetto. Ho controllato su un windows 2000 e quel file non esiste. Se fosse un file importante di sistema, avendolo tolto penso che sarebbe successo qualcosa.
Ho cercato in rete e trovato solo info in cecoslovacco !!!

pps:
i file .jar di questo tipo vengono scaricati perché richiamati nei codici HTML come una semplice applet?
e perché vengono eseguiti "in automatico" ?
(perdona le espressioni magari imprecise...)

i meccanismi possibili di download e istallazione con IE sono tantissimi, infatti rilasciano quasi un patch di sicurezza alla settimana. L'unica difesa è un antivirus costantemente aggiornato, oppure... passare a linux !!! :maLOL:

[KID.A]

ciao Marco,
...pensa che io usavo (al lavoro) Mac OSX !? (kernel unix, come saprai, opensource).
Netscape 7 secondo te, è meno colabrodo di IE ? (mediante ie si può avere accesso diretto praticam. all'hd!)

cmq, tornando al thread:
- il fatto che (offline) abbia molte porta in listening: significa solo che sono aperte, o che c'è qualche eseguibile che cerca di "uscire"?
Vuoi che ti posti netstat durante connessione?
- Trojan scanner: servono per capire se c'ho qualcosa (che magari antivirus non rileva)?
- "msorunner.exe" e Registry: ho letto alcuni topics in tedesco dove era citato l'autore(tale Anakin)->dicono in sostanza che compare come autore aprendo con Notepad alcuni eseguibili (nel loro caso trattasi di Dialers), ma sembra da qui, in fondo che sia solo un compressore freeware di exe...boh!

GRAZIE (lunga vita al Pinguino!)

ps:
ZoneAlarm-> leggi e fammi sapere che ne pensi.

[ho visitato il tuo sito: è ben fatto e interessante!]

[shishii]

Originariamente inviato da KID.A
ciao Marco,
...pensa che io usavo (al lavoro) Mac OSX !? (kernel unix, come saprai, opensource).
Netscape 7 secondo te, è meno colabrodo di IE ? (mediante ie si può avere accesso diretto praticam. all'hd!)

Dovrebbe essere meglio, comuque potresti usare anche mozilla e opera.

cmq, tornando al thread:
- il fatto che (offline) abbia molte porta in listening: significa solo che sono aperte, o che c'è qualche eseguibile che cerca di "uscire"?

il fatto che ci sia una porta in listening vuol dire che qualcosa che ascolta... di cosa si tratta sta a te stabilirlo, su linux si usa il comando lsof, su windows non so... ma zone allarm è in grado di dirtelo.

Vuoi che ti posti netstat durante connessione?
- Trojan scanner: servono per capire se c'ho qualcosa (che magari antivirus non rileva)?

in teoria un buon antivirus dovrebbe essere in grado di rilevare anche i trojan

- "msorunner.exe" e Registry: ho letto alcuni topics in tedesco dove era citato l'autore(tale Anakin)->dicono in sostanza che compare come autore aprendo con Notepad alcuni eseguibili (nel loro caso trattasi di Dialers), ma sembra da qui, in fondo che sia solo un compressore freeware di exe...boh!

Anakin è l'autore di un programma di compressione che però è molto usato dai fabricanti di virus e trojan, vedi:

http://www.pestpatrol.com/pestinfo/p/pe_pack_crypt.asp

GRAZIE (lunga vita al Pinguino!)

ps:
ZoneAlarm-> leggi e fammi sapere che ne pensi.

mahh... non mi stupirebbe, comunque firewall software veri per windows non ne conosco, forse è meglio ricorrere ad uno hardware.

[ho visitato il tuo sito: è ben fatto e interessante!]

Grazie... e se sei interessato alla sicurezza in generale e non solo ai virus iscriviti alla newletter

[KID.A]

grazie e mille!
ciao