TRANQUILLI,

se vi compare una pagina dove la guardia di finanza vi accusa di aver visionato siti pedopornografici e che dovete pagare una multa per poter continuare ad usare il computer.. NON CREDETECI è una truffa la finanza non vi chiederebbe mai di pagare una multa in questo modo.

Il sito che appare è come quello in questa immagine:

Metodi per la risoluzione

METODO1 (metodo pubblicato dalla guardia di finanza)

Spegnere il computer e farlo ripartire in “modalità provvisoria” tenendo premuto (per la fase di accensione) il tasto “F8”

Una volta avviato Windows cliccare con il mouse su START (oppure AVVIO o ancora sull’icona di Windows) posto in basso a sinistra della barra delle applicazioni

All’apertura del menu a tendina verticale fare clic su “Tutti i programmi”, così da aprire l’elenco dei software installati

Cercare la cartella “Esecuzione automatica” e, una volta individuata, fare clic con il mouse sull’icona corrispondente

Sullo schermo viene visualizzata la lista dei programmi configurati per essere avviati automaticamente all’accensione del computer

Dovrebbe apparire, tra gli altri, il file “WPBT0.dll” oppure un file con nome identificativo del tipo “0.<una serie di altri numeri>.exe” (il file si può presentare in altre varianti sintattiche)

Selezionare il file ed eliminarlo con il tasto “CANC” oppure “DEL” o spostando il file nel cestino presente sul desktop del computer . Ad ogni modo vi consiglio di eliminare tutto ciò che non conoscete!

Selezionare con il mouse il “cestino” sul desktop e fare clic con il tasto destro all’apertura della finestra in corrispondenza del cestino, selezionare “svuota cestino” così da procedere alla definitiva eliminazione del malware

Spegnere il computer e riavviarlo normalmente, così da poter constatare l’effettivo ripristino del regolare funzionamento dell’apparato a disposizione

Per ogni eventuale ulteriore dubbio rivolgersi al GAT – Nucleo Speciale Frodi Telematiche della Guardia di Finanza telefonando al numero 06-229381 oppure inviando una mail a sos@gat.gdf.it

Metodo 2:

Entrate in modalità provvisioria avviate ccleaner, cancellate i file temporani, togliete il programma in avvio automatico. E con un bel antimalware il gioco è fatto.

Security Protection è un falso antivirus che infetta i PC attraverso un trojan creato ad hoc dagli stessi ch epoi “ti vendono” la licenza per poterlo rimuovere.
Il falso antivirus appena infettato il pc avvia false scansioni e messaggi pop-up messaggi che avvertono della presenza di un numero SPROPOSITATO di virus nel nostro pc, l’obbiettivo del pirati è quello di farci acquistare la licenza del finto antivirus… magiamente dopo acquistata sparisce tutto MA NON DATEGLIELA VINTA.

Non acquistate nessuna licenza!

Disinstallare security protection con i metodi normali è impossibil, dal pannello di controllo infatti è impossibile vedere il programma in esecuzione.

I sintomi che presenta un pc rimasto vittima di Security Protection sono:

• sistema rallentato
• settaggi del browser modificati
• apertura continua di finestre pop-up durante la navigazione
• l’impossibilità in alcuni casi di collegarsi ad internet
• nei casi peggiori imossibilità di utilizzare il pc caussa le continue aperture di pop-up

Come disinfettarsi.

Il tool che si è dimostrato efficace nel rimuovere Security Protection è:

Scaricate Malwarebytes’ Anti-Malware, su una usb (da un altro pc)

Avviate il pc in modalità provvisoria , installate il programma precedente scaricato (va bene la versione trial free) eseguitelo come amministratore (tasto destro sul file exe poi esegui come amministratore.)

Fate una ricerca completa e poi eliminate i risultati.

Riavviate il pc ed il gioco è fatto.

Se per qualunque motivo nemmeno questo non dovesse andare vi consiglio di leggere :

Come rimuovere Security Protection!

Disintallato!!

foto by: http://trojan-killer.net

Window live messenger è uno dei programmi più usati per chattare, per questo è stato usato da molti, per infettare i nostri computer di virus, ospyware, per rubare i nostri dati personali!

Purtroppo esistono ancora molti, programmi aggiuntivi a messanger, creati apposta per aggirare l’utente ignaro, che li installa pensando di aggiungere componenti specifici e utili al nostro, MSN invece…

Le parti aggiuntive di windos live messenger, si chiamano Add-on, ne esistono di vari tipi, e aggiungono utili funzionalità alla nostra chat preferita, si deve stare attenti però a componenti aggiuntivi ,creati appositamente per infettare i nostri computer!

Ecco una lista aggiornata:

Messenger Skinner:

Aggiunge molte emotion, ma installa un rootkit, ovvero un virus che fa apparire pubblicità anche dopo disinstallato, il produttore garantisce sicurezza ma le nostre prove hanno rilevato il contrario

COME ELIMINARLO?

Disinstallazione Leggi: Winmagazine1,Winmagazine2

Find IP e MSN IP FINDER:

Sono programmi creati appositamente per rubarci le password! Non eseguono alcun programma per trovare l’Ip dei nostri contatti

Si elimina con l’antivirus

SweetIM:

Simile a Messenger Skinner, installa emotion,ma insieme installa anche spywere che tracciano le nostre abitudini, e fanno comparire banner pubblicitari

MSN Contac Fucker:

Dovrebbe permetterci di capire se qualche nostro contatto ci ha bloccato, o eliminato dalla sua lista contatti, invece installa un trojan capace di dare l’accesso dall’esterno al nostro pc

Si elimina con l’antivirus

MSN advert remover Toolbar ddvert removed:

Dovrebbe eliminare la pubblicità invece fa esattamete l’opposto!

Eliminarlo con antivisrus e antispyware

MSN TQM, Windows MessAanger,InstallMSN11En:

Fantomatiche versioni di windows live messenger, che nascono per rubarti password, ed infettare anche i tuoi contatti!

Usare Msn cleaner + Antivrus

Messenger Plus! Setup:

Si finge l’omonimo add-on messenger Plus!Live, ma in realtà ruba password einfetta i nostri contatti tramite mail!

NickNames For Messenger:

Permette di creare nomi personalizzati e nasconde spyware e fa apparire banner pubblicitari!

Disinstalla tramite l’installazione dell’applicazione!

Spero che questa guida possa esservi utile per capire che , Windowslive Messenger è un programma interessante di chat , ma non privo di pericolo.. state attenti!

In questo articolo mi rivolgerò principalmente a quei ragazzi sfortunati che hanno un trojan virus nel loro pc e non sanno cosa fare.

Per prima cosa vi consiglio di leggere i miei due articolo su antivirus e sulle caratteristiche dei trojan, per avere una conoscenza di base.

Questo articolo è inteso come aiuto alla rimozione del virus trojan quando l’antivirus e l’antispyware non riescono a fare il loro lavoro, ed il sistema è stato infettato da un ospite indesiderato.

Mantenereantivirus e antisyware aggiornati ed accompagnarli ad un buon firewall è sempre la prima cosa da fare.

E ora,iniziamo a capire come rimuovere questo fastidioso virus.

Procedura, Fase 1 - Individuazione dell’ospite

Si tratta della prima e, a quanto pare, più difficile fase di tutto il processo. Una volta che il “nemico” è noto non è poi così difficile rimuoverlo.

Utilizzeremo in questo frangente HijackThis, un tool piuttosto utile per l’individuazione di questo tipo di problemi scaricabile qui. Dopo aver lanciato l’applicazione gli chiediamo di fare una scansione e generare un log (”Do a system scan and save logfile”). Nella finestra dell’applicazione si vedranno numerose voci e verrà aperto il notepad (o l’applicazione predefinita per i .txt) con il summenzionato log. Il file viene salvato nella cartella in cui risiede hijackthis (Se lo tenete sul desktop verrà creato sul desktop). Può essere utile trasportarlo, per l’analisi, su un altro computer qualora il browser non fosse agibile.

Non fatevi prendere dal panico! Il file di testo generato può apparire incomprensibile a prima vista, vediamo di fare un po’di luce per illustrare meglio i passi successivi.

NB:Non tutto quello che vedete nel log è qualcosa di cui ci si deve preoccupare.

Hijackthis riempie il log con i dati di tutto ciò che trova, che sia un malware o meno. Per questo sotoporremo il log ad una fase di analisi.

Nella prima parte abbiamo una lista dei “Running Processes”. Si tratta dei programmi attualmente in esecuzione sulla vostra macchina. Se un malware (trojan, virus o altro) è in questa lista andrà prima di tutto “spento”, altrimenti potrebbe reinfettare la macchina anche dopo aver pulito tutto. Ci torneremo più avanti.

A seguire la lista dei processi attivi ci sarà un lungo insieme di voci, per lo più marcate con O<x>. Ognuno dei numeri ha un significato particolare. Accanto alla voce O<x> è in genere indicato il significato.

• O2,O3,O8,O9,O12,O16 ed O18 sono tutti elementi che si integrano con il browser per fornire pulsanti aggiuntivi e simili funzionalità (la toolbar di google ad esempio o il tasto del Messenger, ma anche gli ActiveX necessari ai giochi di Yahoo).

• Gli O15 sono i siti contenuti nella trusted zone. Si tratta di siti a cui il browser permette un pieno accesso. In mancanza dell’SP2 in WinXP (e in tutte le versioni di window con IE5 o inferiore), sono siti a cui si permette l’installazione, senza alcuna conferma da parte dell’utente e senza alcuna limitazione, degli elementi O2-O16 riportati sopra.

• Gli O4 sono voci di registro ed indicano le applicazioni che partono automaticamente all’avvio di windows.

• Gli O23 sono i servizi non direttamente dipendenti dal Sistema Operativo

Le altre voci non le prenderemo in esame in questo frangente.

A questo punto possiamo sfruttare l’utilissimo analizzatore automatico, presente a questo link: HijackThis Logfileauswertung. E’sufficiente copiare ed incollare il contenuto del notepad nel box apposito ed avviare l’analisi cliccando sul pulsante “Analizza”.

La schermata che risulterà analizzerà una per una tutte le voci presenti nel log. Nella colonna “Diagnosi” sarà presente un’icona colorata.

• Le voci in rosso (o marcate con una croce rossa) rappresentano malware, virus e simili che andranno rimossi.

• Le voci in giallo (marcate con un punto interrogativo) rappresentano software che, per un motivo o per l’altro il sistema di analisi non è in grado di riconoscere.

• Le voci in verde (marcate con un segno di spunta verde) rappresentano elementi sicuri.

Oltre a questi viene individuato il SistemaOperativo (marcato con l’icona di windows), i prodotti antivirus conosciuti (l’icona di uno scudo) ed i firewall (l’icona di un muretto).
Per le voci in giallo è possibile basarsi anche sul commento degli utenti. E’presente una valutazione accanto alla voce. 5 tacche verdi rappresentano in genere prodotti sicuri. 0 tacche indicano che nessuno ha commentato. Cliccando sulla valutazione è possibile leggere i commenti. E’bene controllare queste voci per capire se si tratta di programmi desiderati o meno. In mancanza di valutazioni da parte degli utenti, non è una cattiva idea, per i prodotti che sappiamo essere sicuri, dare il proprio voto. E’un aiuto agli altri utenti, e quindi indirettamente anche a noi stessi, la prossima volta che ne avremo bisogno.

In particolare finiscono in giallo spesso anche gli O17… nella maggior parte dei casi contengono gli indirizzi DNS del proprio provider e non si tratta di elementi pericolosi.

Dall’analisi quindi sapremo se un’ospite sgradito è in esecuzione (voci senza la O<x>), se viene avviato con il sistema (voce O4) e se si è integrato nel browser (le voci O<x> prcedentemente menzionate).

Procedura, Fase 2 - Rimozione degli elementi in esecuzione

In questa fase toglieremo l’ospite dalla lista dei processi attivi. E’importante che sia la prima operazione, perché un processo attivo può reinfettare il sistema anche se si è fatta un’accurata pulizia.

Utilizzando semplicemente il task manager (CTRL+ALT+CANC) si può avere un colpo d’occhio sulla lista delle applicazioni in esecuzione. Nel tab “Processi” si possono rintracciare tutte le voci presenti come “Running Processes” del log di hijackthis (più eventuali altre finestre che si sono aperte nel frattempo). Individuiamo i virus e terminiamo il processo in questione.

Se, ad esempio, l’analizzatore dei log ci informa con l’icona rossa che C:\WINDOWS\volumec.exe è un virus andiamo nel task manager e cerchiamo la voce volumec.exe, la selezioniamo e clicchiamo su “Termina Processo”.

Attendiamo che il processo scompaia dalla lista e controlliamo ogni tanto che non sia riapparso.

Alcuni virus impediscono l’accesso al task manager, chiudendolo inaspettatamente oppure mandandolo in crash. Poco male, avendo per fortuna ancora il DOS a disposizione basta aprire una schermata (Start->Esegui->cmd) e scrivere tasklist per ottenere una lista dei processi in esecuzione (la stessa fornita dal taskmanager), quindi sarà sufficiente scrivere taskkill /IM <nome_dell_ospite> per toglierlo di mezzo… se il processo fosse refrattario al taskkill si può forzare la chisura con un parametro aggiuntivo, specificando taskkill /F /IM <nome_dell_ospite>

Alcuni virus riescono ad installarsi come servizi di sistema, pertanto non vengono elencati tra i processi malevoli. Hijackthis li individuerà e li segnalerà comunqe in rosso come O23. Dagli strumenti di amministrazione (voce Servizi) è possibile spengere tali minacce. La scheda dei servizi però non sono certo sia disponibile in WinXP Home (segnalatemi la cosa in caso, non ho modo di provare per adesso), pertanto si dovrà ricorrere nuovamente al DOS.
Per spegnere un servizio da DOS si possono usare i comandi net start per ottenere una lista e net stop “<nome_del_servizio>” per terminarne l’esecuzione. Eventualmente anche Hijackthis e Spybot possono rimuovere il servizio, ma in questo caso è talvolta necessario un riavvio della macchina prima che la cosa si verifichi effettivamente.

Non è sempre semplicissimo individuare l’ospite nella lista di processi del task manager, a volte il processo malevolo presenta un nome identico ad altri nomi validi (viene aggiunto ad esempio un svchost.exe all’insieme dei 5 o 6 normalmente in esecuzione). Per essere sicuri, si può ricorrere ad un task manager alternativo. Uno gratuito e piuttosto ben fatto (della stessa microsoft) si può reperire qui: Process Explorer for Windows v10.21. Le informazioni sui processi in esecuzione è molto più dettagliata, ed è possibile vedere la posizione dell’eseguibile sull’hard-disk. Confrontando tale dato con ciò che risulta dal log di analisi è uno scherzo spengere il processo con un click destro o con il tasto canc.

Procedura, Fase 3 - Pulizia del registro

In questa fase eviteremo che il malware rientri in esecuzione al prossimo riavvio del sistema. Andare a toccare il registro è un’operazione estremamente delicata. Le modifiche e le cancellazioni non sono recuperabili, per tanto è necessario usare la massima cautela.

Si può accedere al registro tramite Start->Esegui->regedit. Si aprirà una finestra molto simile all’Esplora risorse, con una serie di cartelle in cui si può navigare. Tali cartelle si chiamano chiavi di registro.

Andiamo a ricercare nel registro tutte le voci classificate come malware da O4. Potete notare come le voci in questione riportino in testa HKLM o HKCU. Sono acronimi per HKEY_LOCAL_MACHINE ed HKEY_CURRENT_USER.

In tutti i casi, sia per HKLM che per HKCU, le voci da controllare saranno presenti nella sottochiave Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunServices oppure RunServicesOnce. Ci si posiziona quindi nella sottochiave appropriata e controlliamo sulla destra l’insieme di valori presenti.

I valori presenti nella chiave avranno un nome ed un contenuto. Nel contenuto si potrà notare il path di un eseguibile. Nell’esempio precedente magari c’è un valore di nome volumec che punta a C:\WINDOWS\volumec.exe.
Si può eliminare il valore con un click destro->elimina o semplicemente premendo il tasto canc.

Alcuni virus impediscono l’esecuzione del regedit chiudendone il processo non appena viene avviato… poco male, basta procurarsi un qualsiasi altro editor di registro. Uno gratuito e ben fatto viene messo a disposizione dagli stessi autori di Spybot S&D qui: The home of Spybot-S&D! (il funzionamento è esattamente lo stesso del comune regedit di windows)

Procedura, Fase 4 - Pulizia di BHO, DPF ed elementi integrati nel browser

Questa fase può essere svolta in più modi. Le due fasi fondamentali sono terminate e questa può essere portata a termine anche da un antispyware. Eventualmente, una volta individuati gli elementi indesiderati è possibile anche usare hijackthis, spuntando il checkbox dell’elemento che si vuole rimuovere e cliccando su “Fix checked”.

Se si utilizza Spybot S&D è sufficiente passare alla modalità avanzata e controllare la scheda Utilità, sezioni “ActiveX” e “BHO”.

Ultimamente succede sempre più di frequente che l’ospite si infiltri come ActiveX di Internet Explorer. Essendo IE alla base del sistema, questo genere di infezioni possono essere piuttosto delicate da maneggiare, in quanto il virus riesce ad integrarsi con un elemento (l’esplora risorse) che viene caricato automaticamente. Spesso è facile individuarne la posizione su disco ma difficile rimuoverlo. Ho deciso di inserire, pertanto, una piccola sezione aggiuntiva per una risoluzione “artigianale” del problema, che si può adottare anche in linea generale quando si sa bene cosa si sta facendo.

Procedura, Fase 5 - Pulizia finale e rimozione fisica

In quest’ultima fase si provvederà a rimuovere tutto lo sporco che è rimasto sull’hard disk. Le fasi 2 e 3 impediscono agli eseguibili contenenti il virus di essere attivi, ma tali eseguibili sono ancora presenti sull’hard disk ed è bene toglierli di mezzo.

E’ quindi opportuno iniziare con una scansione approfondita di tutte le unità con l’antivirus (spesso la scansione predefinita non controlla tutto). Può richiedere del tempo ma è veramente il caso di farla. Ricordiamoci che l’antivirus deve essere aggiornato prima di fare questa operazione.

Dopo la passata con l’antivirus facciamo anche una scansione con l’antispyware (Spybot o Adaware vanno benissimo, anche in questo caso ricordiamoci di aggiornarli) per ulteriore sicurezza.

Fatto questo dovremmo essere più o meno al sicuro. Giusto per scrupolo ricontrolliamo con hijackthis e ripetiamo l’analisi online del log. Le voci in rosso dovrebbero essere scomparse ed il sistema “pulito”.

E’bene ricordarsi che:

• Per lavorare sul registro e per potere avere la piena capacità di agire, l’account che si utilizza deve avere diritti di amministratore.

• In una macchina in cui sono presenti più utenti l’infezione potrebbe provenire da un account diverso dal proprio. La fase 5 di rimozione fisica dovrebbe comunque evitare una reinfezione, ma è bene, dopo aver pulito il proprio, fare un controllo con antivirus ed antispyware anche sugli account di tutti gli altri utenti.

• I malware possono attaccare l’antivirus o altri prodotti rendendoli inutilizzabili (almeno in un caso mi è successo di notarlo). In questo caso, dopo la pulizia sarà opportuno reinstallare l’antivirus in questione.

• Uno dei principali veicoli di infezioni rimane sempre il client di posta elettronica. Se l’antivirus non è dotato di un sistema di filtraggio (la maggior parte dei prodotti seri lo è, ma se l’antivirus non è aggiornato non è aggiornato nemmeno il modulo che controlla la posta) è bene usare molta cautela nell’apertura di mail ed allegati

• Soprattutto in sistemi windows, è bene mantenere il sistema il più possibile aggiornato. Diversi ospiti sfruttano le falle di SO non aggiornati per infiltrarsi nella macchina. Rimuovere il virus non risolve nulla se rimane una falla aperta.

• Il malware spesso non è costituito da programmi molto intelligenti. Nella grande maggioranza dei casi l’eseguibile infetto viene posto in C:\WINDOWS o in C:\, ovvero in cartelle sicuramente esistenti. Le voci contrassegnate in giallo durante l’analisi, che fanno riferimento a queste cartelle, vanno controllate accuratamente.

• Praticamente nessun programma degno di questo nome partirà mai da C:\TEMP, C:\WINDOWS\TEMP o una qualsiasi cartella dei file temporanei. A meno che l’eseguibile non ce l’abbiate messo voi, è veramente il caso di toglierlo di mezzo visto che si tratterà di un malware nel 99% dei casi. Cancellare periodicamente il contenuto della cartella TEMP è un’ottima forma di prevenzione artigianale… alla chiusura del sistema, almeno teoricamente, dovrebbe sempre essere vuota.

• Il sistema dovrebbe essere utilizzabile, con una certa cautela, già dopo la fase 2. Sarà possibile riavviare la macchina o cambiare utente dopo la fase 3. Sarà possibile navigare dopo la fase 4. Per sicurezza comunque è meglio limitare il più possibile ogni operazione finché non si è terminata tutta la procedura.

La modalità provvisoria con console

Questa la parte per chi ha il pc infetto e non riesce ad entrare nel proprio account.

Usare la modalità provvisoria in console può essere un utile accorgimento se l’ospite dovesse rivelarsi veramente ostinato. E’ necessario conoscere un minimo i comandi DOS (cd, ren) per poterla sfruttare, e sapere con certezza la posizione dell’elemento malevolo (magari individuato durante la fase 1 della procedura).
Per avviare in modalità provvisoria è sufficiente premere F8 durante il boot della macchina.(quando appare la schermata hp invent per windows)

Verranno proposte una serie di scelte, tra le quali la modalità provvisoria con console.

Il vantaggio di quest’ultima rispetto alla modalità provvisoria “normale” è che viene fatto partire un insieme minimo di servizi e vengono caricati un numero limitato di driver, e, cosa più importante di tutte, non viene caricato explorer, con tutto ciò che vi può essere connesso. In sostanza si ha a disposizione il sistema più leggero possibile e con il minor numero di elementi caricati in memoria.

Conoscendo a priori la posizione dell’elemento sgradito, è spesso più che sufficiente rinominarlo per renderlo temporaneamente inoffensivo. Se era un servizio, non verrà fatto partire. Se era un estensione per il browser non verrà caricata. E’ un modo di operare in maniera “inversa” (rinomino il file così non viene caricato) che talvolta può dare i suoi frutti in presenza di ospiti pesantemente integrati con il sistema.

E’ ovvio che rinominare la cosa sbagliata (un servizio di sistema essenziale) può portare più problemi che benefici, pertanto, come per tutto il resto dell’articolo è bene sottolineare quanto sia necessario essere estremamente cauti.

Autore: http://forum.masterdrive.it/microsoft-windows-and-co-10/come-rimuovere-trojan-15659/

Cosa sono i Trojan? conoscerli per evitarli!

In questo articolo vi spiegherò cosa sono i trojan, e come ci si protegge.

Allora parliamo di Virus particolari…i Trojan.

Conoscere il mondo dei trojan può rivelarsi molto utile per difendersi meglio,e per altri scopi (basta usare la fantasia).

Qualche nozione:

Da un punto di vista informatico un virus non è altro che un programma che si attiva e comincia a diffondersi in modo totalmente indipendente dalla volontà dell’utente.

Il virus per agire deve essere eseguito. ll motivo per cui il vostro PC non è in grado di riconoscere il codice di un virus è semplice, in quanto è del tutto simile ad un normale programma che contiene istruzioni per la macchina. Esistono però dei segni distintivi che aiutano a riconoscerli…(segni sfruttati dagli antivirus).

I virus, di qualunque tipo, all’inizio devono rispettare almeno 4 regole fondamentali:

1) Essere invisibile

2) Non provocare errori sospetti

3) Non occupare troppo tempo macchina

4) Non essere troppo grande

Adesso è giunto il momento di parlare di trojan veri e propri.

Vi ricordate la storiella della lotta fra Greci e Troiani? Ecco i greci vinsero nascondendosi dentro un grande cavallo di legno che donarono alla città di Troia in segno di (finta) pace. Infatti la notte uscirono dal “Cavallo di Troia” e distrussero tutta la città.

Cosa è di preciso un trojan? Iniziamo dicendo che non sono dei veri virus in quanto non si replicano, ma sono altrettanto pericolosi. La loro funzione principale è tenere aperta una backdoor (”porta di servizio”) che permetta poi di entrare, tramite appositi programmi, nel computer infetto. Una volta entrati è l’hacker/lamer puo fare ciò che vuole , come guardare i file contenuti nel vosto computer.

Usarli e facile, principalmente si dividuno in 2 file .EXE, uno è la patch contenente il “virus” da spedire alla vittima (che lo deve aprire), l’altra è il programma di controllo da installare sul tuo Pc.

Facendo cosi rendono un server accessibile tramite un client per poi far assumere il controllo da esterni senza che l’utente se ne possa accorgere

Solo i migliori programmatori che conoscono i vari linguaggi possono creare nuovi trojan,mentre molte persone chiamate lamer usano programmi fatti da altri come i trojan netbus o subseven.

Questi trojan già creati sono riconosciuti subito dagli antivirus,quindi ecco l’utilità degli antivirus.

(vi rimando al mio altro articolo ‘’gli anivirus’’ per una migliore protezione dai trojan).

Inoltre vi ricordo che inviare un trojan e infettare un pc con qualsiasi virus è un reato in quanto violazione di domicilio,reato penale.

Ora ecco una lista delle porte utilizzate dai trojan per entrare nei pc: tabella trojan

Quindi state sempre all’erta perchè le porte abbondano… Ecco la descrizione dei trojan più famosi

BACK ORIFICE controlla /windows/system e il regedit

La porta e’ udp 31337

ENIGMA e’ un setup.exe che da permesso di lettura e scrittura su

una parte di c:

MIRC e’ bersagliato, ci sono decine di script che ti fregano ma

basta un occhiata per trovarli

DMSETUP di solito crea diverse directory fasulle, e’ uno dei piu’

vecchi

BACKDOOR si installa con il nome di notepad. exe o notepa.exe

SYSPPROTECT98 dovrebbe apparire come un setup e crea un file chiamato

System e funge da server senza alcuna protezione

PICTURE ruba la vostra password di accesso a internet(cache) e

la spedisce via mail

TELECOMMANDO il server e’ una dll da 266k ed il client e comanda

quasi tutto il pc

PHASE-0 e’ tipo netbus(.) carino e con molte opzioni per il reg,

il server e’ un .exe da 294k

NETBUS E’ molto famoso, le versioni piu’ note sono la 1.6, la

1.7 e la 2.0 pro b. Apre la porta tcp 12345 o 12346 ma e’

facilmente riprogrammabile.

REMOTE WIN il server e’ RmtEwxS.exe di 262k da le opzioni di est,

SHOUTDOWN reboot e shoutdown, e’ possibile settare una password.

GATECRACHER e’ completamente scritto in visual basic, il server e’

BUG.exe di 56k, ha le funzioni piu’ comuni come apri/chiudi

cd, apri web browser, start screensaver, chiudi windows,

cancella file e dir, format, killwin, … e qualcos’altro….

ICKILLER e’ simile al netbus l’interfaccia grafica lascia un po’ a

desiderare i comandi sono gli stessi il server si installa

come explorer.exe

DEEP TROAT e’ facile e molto simile a netbus ma con qualche

Ritrovamento e opzione in piu

WINHELPER altro trojan per mirc riscrive il mirc.ini

NETPATCH installa un server che rallenta il pc

ftp sulla porta 31377(BO)

MASTER e’ molto simile al netbus, credo che, grazie ad un monitor

PARADISE sul server possa essere usato tranquillamente come RAT

GIRLFRIEND e’ molto carino…logga tutti i tasti premuti in ogni

finestra di windows…..quindi anche le password d’accesso

e rimane in ascolto del client sulla porta 21554

ANGEL installa un server ftp che da’ completo accesso all’HD

della vittima (credo senza pass)

DEVIL lo sto scaricando ma credo che sia del genere netbus visto

quanto pesa!!

WARTOOL si installa come un explorer.exe ed al riavvio cancella

tutti gli exe e le dll

GJAMER apre la porta tcp 12076 con un server ftp e www

Adesso qualche consiglio per prevenire l’infezione: prima di tutto non accettare programmi dagli sconosciuti o almeno fare un bel virus scanner. Poi è buona norma usare sempre un firewall quando siamo collegati ad internet. Un firewall, per chi non lo sapesse, è un programma che impedisce le connessioni non autorizzate. Controllare e-mail prima di aprirle, visto che pure quello sono veicolo di contagio. Se avete paura di essere stati contagiati esiste un sistema sicuro per controllare: basta che scriviate sotto dos: netstat -a. Questo vi darà le informazioni sulle porte, se oltre alla porta 0 ne è aperta un’altra allora iniziate a preoccuparvi. Per rimuoverli non usate gli antivirus ma utilizzate programmi specifici tipo “The Cleaner” reperibile in rete.

Se avete un router, tenete aperte sole le porte che vi servono, in questo modo ci sarà un grande filtro sugli ingressi di trojan, sul nostro computer.

Inoltre per tenersi lontani dai trojan,evitate di scaricare dei file .exe(cioè eseguibili)o .bat(cioè comandi-dos),e se scaricate qualcosa ricordate sempre di scansionarlo con il vostro antivirus ed eseguite una scansione di tutto il pc piu o meno ogni 2 settimane,in questo modo il pc sarà in piena sicurezza.

Come si dice,una scansione al giorno,toglie il trojan di torno!

Alby

Pazzesco, già girano miglioni di virus e trojan, ora anche chi non ha grendi capacità può crearsi un trojan da 0! Non vi sembra una pazzia?

Tra i molti tool dedicati alla creazione di malware vi è Pinch 2 Pro, un programma appena giunto alla release 2.6.Il software può essere utilizzato per costruire, in modo quasi del tutto automatizzato, un cavallo di Troia.

I trojan creati con Pinch 2 Pro 2.6 possono registrare i caratteri battuti sulla tastiera, catturare screenshot, collezionare dati da Internet Explorer, cercare file sull’hard disk, trasformare un PC in uno zombie, scaricare ed eseguire altri malware o disattivare certi processi e servizi.

Diffondere software creato con questi toolkit è, naturalmente, del tutto illegale e può provocare conseguenze giudiziarie di prima grandezza.

I trojan creati con questo tool non avranno certamente la potenza che potrebbe avere un trojan sviluppato da mani capaci, in quanto partono tutti da una base comune.

Ciò che però è preoccupante è che il software è veramente semplice da usare!

usarlo è veramente intuitivo! E le funzionalità inseribili nel trojan sono davvero tante, dalle più comuni a quelle più ricercate. Troviamo ad esempio la possibilità di fargli fare da keylogger, da password stealer, da shell remota, da proxy, da zombie, ecc….E per ognuna di queste tipologie, ci sono diverse opzioni da configurare, per personalizzarlo. C’è anche la possibilità di fargli terminare i processi degli antivirus, in modo tale da disabilitarli, ed anche quella di farlo riprodurre il più possibile, a mò di worm. Si può inoltre scegliere se ricevere i dati rubati dal trojan alla sua vittima direttamente via email, oppure tramite protocollo HTTP.

Insomma, sebbene non verranno fuori trojan “di classe”, questo tool può essere un pericolosissimo strumento nelle mani dei lamers, che potrebbero in 5-6 clicks dar vita al loro trojan per infettare amici ed amiche e sentirsi grandi hackers, con danno per la comunità e per loro stessi.

Dicono che l’unico modo per averlo è comprarlo,ma io sono riuscito a trovarlo gratis(dopo ore e ore di ricerca). Ovviamente non vidarò il link per il download per non aiutare quei lamer che si credono tanto potenti ma poi non riescono neanche a trovare un file.

Inoltre gli antivirus hanno preso norme di sicurezza nei confronti di pinch:se il trojan creato non è nascosto a livello di un hacker più che esperto,gli antivirus lo rileveranno senza alcuna difficoltà.

Alby

]]> http://www.come-fare.info/pinch-un-kit-per-costruirsi-trojan-a-pagamento/feed/ http://www.come-fare.info/evitare-di-farsi-truffare-phishing-sicurezza-e-mail/ http://www.come-fare.info/evitare-di-farsi-truffare-phishing-sicurezza-e-mail/#comments Wed, 12 Mar 2008 14:07:26 +0000 admin http://www.come-fare.info/evitare-di-farsi-truffare-phishing-sicurezza-e-mail/

Come evitare le truffe informatiche

Cos’è il phishing?

Il phishing, è in breve lo “spillaggio” dei dati sensibili, attività illegale e punibile penalmente il phishing può venire principalmente per via telefonica o via mail.

Il termine phishing deriva dall’inglese fisching, cioè pescare, nel nostro caso pescare account e password.

Come Funziona Il Phishing

Tramite mail riceviamo messaggi simili a quelli delle istituzioni ha noi note (Banca, le poste, e-bay, il prowider web ecc..), contenenti situazioni particolari, che richiedono il nostro intervento sul nostro account , inserendo i dati di accesso.

Solo che la mail truffa, ci fa arrivare ad un sito che simula la veste grafica dell’istituzione, questo sito è creato appositamente per rubare i dati personali, infatti dopo averli inseriti non entreremo sul nostro account, ma verremmo reindirizzati sul sito questa volta vero della stessa istituzione.

Come proteggersi dalle truffe

Controlli per verificare la validità di una mail:

• la mail deve contenere sempre il tuo nome utente
• nessuna istituzione come banche poste eccetera, vi chiederanno tramite mail di modificare il vostro nome utente e password
• se siete iscritti ad un programma, di cui potete ricevere e nei di phishing, il consiglio è di suddividere con filtri le mail di quel determinato programma.

Fortunatamente molti programmi cominciano a controllare anche questo aspetto, e avvisano lo sfortunato lettore che la mail non è reale.

Thunderbird per esempio avvisa i propri utenti, nel caso in cui la mail possa contenere dei tentativi di frode.

Metti in sicurezza e proteggi la tua posta

Mozilla ha potenziato le ben note capacità di Thunderbird sul fronte della sicurezza e della gestione della privacy, in modo da assicurare che le tue comunicazioni e identità rimangano veramente al sicuro. In pratica è come avere una guardia del corpo personale online.

Protezione anti-phishing

Thunderbird, segnalando i messaggi che costituiscono un tentativo di frode (phishing), è in grado di proteggerti da quelle e-mail che cercano di ingannare gli utenti al fine di sottrarre dati personali e confidenziali. Come ulteriore difesa Thunderbird avviserà nel caso in cui un collegamento cerchi di aprire un sito web diverso da quello indicato nell’URL presente nel messaggio.

Tratto dal sito thunderbird

Lo stesso servizio è offerto da outlook, e altri programmi, purtroppo, a volte scappano anche a loro qualche mail, ma esiste anche qui un modo per difendersi, se siete iscritti ad e-bay, installate la toolbar di e-bay vi avviserà se il sito non è quello reale; oppure molto più saggio scarichiamo firefox e la google toolbar, ci permetterà di essere più sicuri.:

Leggi :

Google e Firefox contro il Phishing

Motori di ricerca, firefox il browser a misura utente!

Come proteggersi, sul web sia dallo stato che da altri comuni utenti vengono segnalate le ultime frodi, di cui si deve stare attenti, leggete i seguenti siti per avere maggiori informazioni e restare aggiornati:

www.anti-phishing.it

commissariatodips