Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 4 su 4

Discussione: win32/agent.tv

  1. 14-04-2006, 09:30 #1
    Divinity
    Divinity non è in linea
    Utente di HTML.it L'avatar di Divinity
    Registrato dal
    Nov 2003
    Messaggi
    75

    win32/agent.tv

    Ho letto le regole e cercherò di fare la descrizione il meglio possibile.
    WinXP Pro, Nod32, Zone Alarm.

    Dall'ultimo aggiornamento di NOD32 (1.1488) ogni tanto compare il messaggio che nod ha fermato la creazione del file install.exe (identificato come il trojan del titolo) che tenta di crearsi solo nelle cartelle condivise in cui ho lasciato i permessi in scrittura da parte di altri client. (lo so, non è un uso molto sicuro ma è tanto utile).
    Adesso ho limitato i danni lasciando una sola cartella condivisa con i permessi. Scansione con NOD non ha portato a niente. Problemi nel Registro e voci di boot strane non ci sono. Scansionato anche con AD-Aware e per quello che può valere il normale anti-spyware che fa Zone Alarm in automatico.

    Siccome però questo mi sembra tutto fuor che uno spyware (un pochino ci sono nel ramo..), e remover specifici per ora non ne trovo, volevo solo sapere se qualcuno ha conoscenze in merito o, ancor meglio, qualche idea per la soluzione.
    Rispondi quotando Rispondi quotando
  2. 14-04-2006, 09:51 #2
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    è un trojan/downloader capace di scaricare via internet file infetti che eseguirà nel sistema. Ha capacità di disabilitare alcuni eseguibili di antivirus, Kaspersky, Norton..., disabilita il firewall presente nel SP2. Non è in grado di inviarsi ad altre macchine, a meno che le stesse, ed è il tuo caso, non abbiano cartelle condivise ecco perchè del trojan si viene maggiormente infettati attraverso reti P2P.
    I valori (random) che andrà ad aggiungere sono in
    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows
    \CurrentVersion
    \Run

    ed in (solo su sistemi XP SP2)

    HKEY_LOCAL_MACHINE
    \SYSTEM
    \CurrentControlSet
    \Services
    \SharedAccess
    \Parameters
    \FirewallPolicy
    \StandardProfile
    \AuthorizedApplications
    \List
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
  3. 14-04-2006, 10:10 #3
    Divinity
    Divinity non è in linea
    Utente di HTML.it L'avatar di Divinity
    Registrato dal
    Nov 2003
    Messaggi
    75
    Grazie mille per l'analisi precisissima.
    Nelle voci di registro che mi hai detto non c'è nessun programma o voce che non conosca. L'unica che non ricordo è fra le Authorized Applications ed è sessmgr.exe, ma mi pare sia, se non mi pare, roba del desktop remoto...quindi spero non sia quella.
    Ancora ogni tanto spunta fuori quel messaggio. Ovviamente nod lo blocca e lo mette in quarantena.
    Mi chiedo? Dove può risiedere? Esiste un remover universale?
    Dal momento che sul registro non si vede..non so dove andare a cercare..
    Rispondi quotando Rispondi quotando
  4. 14-04-2006, 10:34 #4
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    sessmgr.exe è un'applicazione legittima
    per quanto riguarda il trojan, tool specifici non credo ne esistano, la Nod32 ha inserito solo recentemente il trojan nel proprio db.

    Se riesci mandami il file zippato a SuspectFile

    Prova ad effettuare una scansione anche con Ewido.
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.