Trojan (.jar) ?

[KID.A]

Mentre navigavo alcuni siti(senza fare alcun download), l'Antivirus mi segnala:

c[1].jar - Exploit-ByteVerify (presente nella dir dei Temporaty Internet Files)
-> Delete

1)
Ora, è un tipo di file java(se non sbaglio) un archivio java: può essere effettivamente un trojan ?
La cancellazione del file considerato "infetto" è stata sufficiente oppure si è installato ???

2)
A fine di quella connessione, ho notato una pag di Internet Explorer aperta con questo URL:
http://127.0.0.1:8081/index.html? (è il localhost...ma la porta?)
Posso verificare durante prox connessioni se c'è qualche porta in "listening", mendiate

Codice: Seleziona tutto

netstat

oppure, com'era il comando dettagliato

Codice: Seleziona tutto

netstat -a

?

----------
Ho fatto scansione con Antivirus di tutto HardDisk= ok
Devo controllare qualche chiave di Registro ?

Nota:
Controllando gli .exe recenti, ho trovato file "msorunner.exe"(31kb) in C > WinNT creato proprio quella stessa sera...?? è un file di sistema ?
fatemi sapere, GRAZIE!

[12]

ke windows hai?
mm vediamo ho fatto una ricerca in google su sto msorunner.exe ma nn spunta nemmeno una pagina

[Dylan666]

Se l'antivirus ha trovato il file ha anche provveduto a rimuoverlo con chiavi e schifezze annesse. Rifai la scansione e se non dice nulla dormi sonni tranquilli. Magari aggiorna prima del controllo e dai pure una passata anti-spyware.

[KID.A]

utilizzo un NT 4.0 (non ho privilegi di admin)

l'antivirus (VirusScan di Network Associates) l'ha segnalato mentre navigavo, am non mi è chiaro se lo ha bloccato o se già può essersi installato qcosa ?
....eventualmnte quali chiavi dovrei controllare manualmente.
Da scansioni successive non risultano problemi.

- ma questo .jar byte-verify che problemi può dare ?
- msorunner.exe: anch'io in effetti non ho trovato nulla (ma cos'è?)
grazie, ragazzi!

[Dylan666]

Con quel nome su Google trovi vari siti e descrizioni del jar. ma ripeto, se l'av lo ha scovato non devi rimuovere NULLA a mano, anche al registro ci pensa lui in automatico. Se proprio vuoi verificarlo in alcuni siti danno le istruzioni della rimozione manuale, quindi puoi vedere che file e chiavi da loro nominati sul tuo PC non ci sono più.

PS: ma siamo sicuri che non ha sbagliato a scrivere digitando msorunner.exe invece di msrunner.exe?
Del secondo qualcosa in Google si trova (virus)...

[KID.A]

grazie Dylan:
adesso guardo i links per vedere se files e chiavi sono state tutte rimosse,poi aggiorno ancora antivirus e ripasso con scansione...cmq, mi conforta il fatto che tu mi confermi che posso dormire tranquillo!

mi resta solo 1 dubbio:
il discorso della pagina explorer con porta--> http://127.0.0.1:8081/index.html? (è il localhost...ma la porta?)


ho controllato: il file si chiama proprio "msorunner.exe" ....??

[Dylan666]

La pagina non mi piace per nulla e fossi in te ricorrerei a un firewall e se correggendo la homepage non funziona allora a AD-aware. Sul file non so che dirti, nemmeno coi metamotori di ricerca trovo nulla.... casomai toglilo ma tienilo da parte.

[KID.A]

La pagina non mi piace per nulla e fossi in te ricorrerei a un firewall e se correggendo la homepage non funziona allora a AD-aware. .

il fatto (triste) è che su questo pc che posso utilizzare sono Utente (non-admin) e non posso installare...proverò cmq a installare magari OutPost (è sarà sufficiente bloccare l aporta ?)
la pagina sembra strana anche a me, ma devo dire che si è presentata solo a fine di quella connex quando rilevato .jar
Quella pagina, indicherebbe che si è installato un server web che cerca di aprire la porta 8081 ? per ricevere comandi ?

non so cosa posso farci...

[KID.A]

aggiungo (x completezza e chiarezza):
la pagina con la porta 8081 non è più ricomparsa, e NON è stata impostata come homepage di Explorer (è questo che intendevi, no?)

cosa dici:
Firewall (outpost)
o Trojan Scanner (tipo Tauscan
o AD-Aware ? (...sempre che mi conceda installazione)

-----
il famoso msorunner.exe, da TaskManage risulta sempre inutilizzato (memoria utilizzata=0k - cpu=0)[/url]

[Dylan666]

firewall tutta la vita

[KID.A]

scusa se mi ripeto (x sicurezza):
la pagina con porta 8180 per preoccupare dovrebbe essere stata impostata come homepage o ripresentarsi ? oppure basta che sia comparsa 1 volta per far pensare che qualcosa cerchi di comunicare attrav la porta ?

ps:
OutPost va bene ?

[Dylan666]

La pagina così come è rimane "strana" comunque, comunque sia sbucata. Dal browser l'URL accedeva al tuo stesso PC attraverso la porta indicata. Ora, da te usava l'IP locale, ma mi piacerebbe sapere cosa si sarebbe visto se qualcuno avesse digitato il tuo IP pubblico (quello internet). Magari fallo da un'altro PC se hai la possibilità.

PS: a me piace ZoneAlarm ma è questione di gusti

[KID.A]

ma io ho connex analogica, quindi l?IP è dinamico, no ?

[KID.A]

ho controllato in Pannello controillo > Aggiungi/rimuovi applicaz.
lì non figura esserci la JVM ...quindi il .jar non ha potuto esser eseguito ?

la pagina con porta, proprio non riesco a spiegarmela...

ps:
c'è chi dice che in Zonealarm ci siano degli spyware (boh?)

[Dylan666]

Si ma i trojan funzionano in modo tale che ha il "programma di controllo" parte con una scansione casuale di IP alla ricerca di una "vittima" che abbia l'EXE maligno in ascolto...

Ecco come agisce uno di quelli più famosi:
http://www.crazynet.it/sicurezza/subseven.htm

[Dylan666]

ps:
c'è chi dice che in Zonealarm ci siano degli spyware (boh?)

Assolutamente falso (mai sentito prima)

[KID.A]

firewall chiuderebbe i discorsi definitvamemente ?

[Dylan666]

A meno che non dai i permessi a cavolo al 99% sì.
Dico 99 e non 100 per questo discorso, ma andiamo a finire nelle finezze...

http://www.pc-facile.com/category.php?cat=29

[KID.A]

grazie Dylan
ora vedo se (pure senza privilegi) riesco a isntallare un firewall...se proble, ti disturbo ancora
ciao

[KID.A]

scusami Dylan se posto ancora,
io purtroppo su questa macchina (NT 4.0) non ho privilegi di admin, quindi temo di non riuscire ad installare...ma se ci riesco, oltre a metterci:

- un bel Firewall (Outpost o Zonealarm)
>> per l'immediato, (per verificare con sicurezza se davvero non ho nessun trojan, o schifezze e .EXE maligni in ascolto) mi può servire un sw Trojan-scanner, tipo:Tauscan o The Cleaner che consigliano qui
>> oppure può servire fare una scasione anche in qualcuno di questi links qui:
http://www.pandasoftware.com/activescan ... ncipal.htm
http://housecall.trendmicro.com/houseca ... t_corp.asp
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx

Ti allego, inoltre, lo screenshot di "netstat -a" da stato Offline:
ti sembra tutto normale o sospetti qualcosa?
screenshot: Netstat -a ieri e oggi
GRAZIE!


ps:
ho provato a spostare il file dubbio "msorunner.exe"dalla dir C>winNT
però, a riavvio di sistema mi comapre finestra di errore

"IMPOSSIBILE TROVARE IL FILE "C:\WINNT\msorunner.exe" o uno dei suoi componenti - Verificare che il percorso e il nome siano corretti e che tutte le librerie necessarie siano disponibili"

=significa che è un file di sistema?
Non so se serve granché, am ho aperto msorunner.exe con Notepad, queste le stringhe finali leggibili

tƒÑ‹èV‹÷+ðó¤^éçþÿÿ]+}‰}üa]à PE-PACK: MEMORY ALERT PE-PACK: IMPORT LDR
ERROR Memory allocation failed! Unable to load %s %s not found in %s Ordinal %.4Xh not found
&
&
7&
E&


KERNEL32.DLL GetModuleHandleA LoadLibraryA GetProcAddress VirtualAlloc VirtualFree

ExitProcess USER32.DLL MessageBoxA wsprintfA
€ ÿÿÿÿ Á%
™%


,&
µ%
 jT
° 
Ð -


ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ
-=þ PE-PACK v1.0 -þ- (C) Copyright 1998 by ANAKiN þ=-
ÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ

Inoltre, da ricerca nel Registry, risultano sia "msorunner.exe" sia "msrunner.exe"[sebbene quest'ultimo file NON risulta nel disco...] come stringhe presenti in
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Explorer>Doc Find Spec MRU
e
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
screenshot: Registry_CURRENT_USER
screenshot: Registry_LOCAL_MACHINE


pps:
i file .jar di questo tipo vengono scaricati perché richiamati nei codici HTML come una semplice applet?
e perché vengono eseguiti "in automatico" ?
(perdona le espressioni magari imprecise...)