Discussioni su virus e antivirus
 

Colossale "attacco" virus... me la spiegate?

Bowlingbpsl 14 Mag 2017 11:49
Mica ho capito poi molto bene il perche' di questa colossale diffusione.
Leggendo qua e la', ho capito (o creduto di capire) che:
Ha fatto il trojan e poi si e' scatenato. Ma lo fanno tutti... e questo,
che ha di cosi' innovativo?
Ha usato una qualche vulnerabilita' qualcosa-blue, sfuggita alla NSA (si,
e magari pianificata dal NWO?).
Da qualche parte, dicono che XP e' molto vulnerabile... boh?

Me la spiegate con un po' piu' di proprieta' di linguaggio? Perche',
tecnicamente parlando, non ci ho capito una *******


Fabrizio :-P
Leonardo Serni 14 Mag 2017 16:35
On Sun, 14 May 2017 11:49:37 +0200, "Bowlingbpsl" <bowling@people.it> wrote:

>Me la spiegate con un po' piu' di proprieta' di linguaggio? Perche',
>tecnicamente parlando, non ci ho capito una *******

Normalmente i ransomware ti arrivano da un computer zombie via mail, esplodono
sul tuo computer e si estinguono.

L'infezione è mantenuta dalla rete zombie.

Se ho capito bene *QUESTO* ransomware, almeno per un certo tempo, fa scansione
della rete su cui si trova, cercando ******* SaMBa vulnerabili e se le trova, fa
di loro le sue donne.

Quindi l'infezione è iniziata dalla rete zombie ma amplificata dalle vittime -
diciamo ALCUNE vittime.

XP, se ha anche solo IPC$ (diciamo tcp 139/445 aperta, to'), è vulnerabile. Lo
stesso per tutti i Windows con aggiornamenti NON posteriori ad aprile. Mentre,
se hai aggiornato dopo aprile, stai a posto CONTRO LE INFEZIONI ALTRUI, come è
logico se invece APRI TU STESSO UNA MAIL allora ti serve qualcosa di più (come
minimo JS/WSH disattivato, ma non so minga se basta...).

Non ho capito se OLTRE a propagarsi via SMB, il ransomware ramazzi anche email
dal PC infetto e si propaghi ai suoi contatti: ma, se non lo fa questo, si può
stare sicuri che lo farà il prossimo. Gli stronzoletti nelle loro reti anonime
sono pieni di idee :-(

...per esempio, se ti arriva una email con allegato, IDENTICA ad una email che
t'ha inviato ieri il tuo commercialista, dal suo IP, con lo stesso testo, ogni
header autentico, tutte cose...[1]

...controlla che le dimensioni dell'allegato tornino. Sai mai, che il computer
del commercialista non sia più "del commercialista" se non di nome.

Leonardo

[1] tranne magari il subject "ERRATA CORRIGE" - o la prima riga "Mi scusi, qui
lei trovare l'allegato vero. Clicca su allegato, migliori riguardi."
--

A terrible beauty is born.
- W. B. Yeats, Easter 1916
Gabriele - onenet 15 Mag 2017 10:48
Bowlingbpsl wrote on 14/05/17 11:49:
> Mica ho capito poi molto bene il perche' di questa colossale diffusione.
> Leggendo qua e la', ho capito (o creduto di capire) che:
> Ha fatto il trojan e poi si e' scatenato. Ma lo fanno tutti... e questo,
> che ha di cosi' innovativo?
> Ha usato una qualche vulnerabilita' qualcosa-blue, sfuggita alla NSA (si,
> e magari pianificata dal NWO?).
> Da qualche parte, dicono che XP e' molto vulnerabile... boh?


Exploit di SMB che NSA aveva nel suo arsenale (ovviamente senza avvertire chi di

dovere) e divulgato un paio di mesi fa insieme a tanta altra roba; Microsoft
aveva patchato a marzo, ma se non hai aggiornato sei infettabile da remoto.
Come i cari bei vecchi exploit di una volta :-D

>
> Me la spiegate con un po' piu' di proprieta' di linguaggio? Perche',
> tecnicamente parlando, non ci ho capito una *******
>

Buona lettura:
https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/


ciao

Gabriele
Gabriele - onenet 15 Mag 2017 10:52
Bowlingbpsl wrote on 15/05/17 10:25:

[CUT]

>
>
> P.S.
>
> Da it.comp.os.win.xp:
>
>
> Protect Against WannaCry: Microsoft Issues Patch for Unsupported Windows
> (XP,
> Vista, 8,...)
> <http://the*****ernews.com/2017/05/wannacry-ransomware-windows.html>
> <http://www.theregister.co.uk/2017/05/13/wannacrypt_ransomware_worm/>
>
> <http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598>
>
> Ora vedo che dice quello relativo ad XP. Speriamo che non sia un trojan
> pure "esso" (preso dal catalog della mammasoft? Well...)
>

Questo:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Occhio che in molti hanno lamentato una lentezza esasperante (più del solito)
dei server di aggiornamento Microsoft, ma credo che ormai le cose vadano meglio.

PS: dovresti seguirmi su Twitter :-)
GbC 15 Mag 2017 11:06
Il 15/05/2017 10:25, Bowlingbpsl ha scritto:
> Leonardo Serni wrote:
>> On Sun, 14 May 2017 11:49:37 +0200, "Bowlingbpsl" <bowling@people.it>
>> wrote:
>
>>> tecnicamente parlando, non ci ho capito una *******
>>
>> Normalmente i ransomware ti arrivano da un computer zombie via mail,
>> esplodono sul tuo computer e si estinguono.
>
> ...ecco, arrivavo fin qui, con svariati allegati zippati da presunti
> corrieri, contenenti un .JS che NON attiva l'antivirus (e nemmeno nei
> giorni successivi che l'ho messo sul disco), il che mi pare un bel buco di
> sicurezza, non so se rimediabile.
>
>> Se ho capito bene *QUESTO* ransomware, almeno per un certo tempo, fa
>> scansione della rete su cui si trova, cercando ******* SaMBa
>> vulnerabili e se le trova, fa di loro le sue donne.
>
> Oh, cacchio.
>
>> Quindi l'infezione è iniziata dalla rete zombie ma amplificata dalle
>> vittime - diciamo ALCUNE vittime.
>>
>> XP, se ha anche solo IPC$ (diciamo tcp 139/445 aperta, to'), è
>
> Od*****, ho un polveroso ricordo (oltretutto infarcito di frizzi e lazzi: mi
> sono sentito dire che grc.com diceva fregnacce e cose cosi'), epoca di
> W98, che usava il netbeui per "legare" correttamente la rete... e
> funzionava piuttosto bene. Sono rimasto indietro e, maledizione, e' bene
> che corra ai ripari, perche' se "qui" c'e' andata bene, e' GRAZIE al
> cervello, presente o... infuso a furia di ripetere le basi della
> sicurezza. Humpf. Sto invecchiando.
>
>> vulnerabile. Lo stesso per tutti i Windows con aggiornamenti NON
>> posteriori ad aprile. Mentre, se hai aggiornato dopo aprile, stai a
>
> Errrggghhh... a volte, si rimane con vecchi sistemi operativi per una
> serie di ottimi motivi, non ultimo quello economico: l'acquisto di un'orda
> di licenze per far funzionare un PC che emette biglietti fiscali (il cui
> software e' oltretutto fatto "col ******* , perche' non hanno
> concorrenza...), non e' da due spicci.
>
>> posto CONTRO LE INFEZIONI ALTRUI, come è logico se invece APRI TU
>> STESSO UNA MAIL allora ti serve qualcosa di più (come minimo JS/WSH
>> disattivato, ma non so minga se basta...).
>
> Il java l'ho tolto ma, ad esempio, ho un ricordo di aver tentato di usare
> la Carta Servizi nazionale... e di aver rinunciato, perche' avrei dovuto
> installare una versione di Java obsoleta (di almeno tre release, senno'
> non funzionava...), passandola al commercialista, modello "mo' so' ******* >
suoi", in fondo Egli poteva destinare un'unica macchina a "quello", io no.
>
>> Non ho capito se OLTRE a propagarsi via SMB, il ransomware ramazzi
>> anche email dal PC infetto e si propaghi ai suoi contatti: ma, se non
>> lo fa questo, si può stare sicuri che lo farà il prossimo. Gli
>> stronzoletti nelle loro reti anonime sono pieni di idee :-(
>
> Ooooccheeeiiii, altra idea che devo tenere a mente. ;-)
>
>> ...per esempio, se ti arriva una email con allegato, IDENTICA ad una
>> email che t'ha inviato ieri il tuo commercialista, dal suo IP, con lo
>> stesso testo, ogni header autentico, tutte cose...[1]
>
> Fortunatamente, io butto un occhio all'estensione degli allegati. Ah,
> gia'. E' ancora attiva di default "nascondi estensione per i ******* >
conosciuti" pure per W10, giusto? Fino all'8, mi pare di averla notata, ma
> ho avuto un attacco di dissenteria, l'ultima volta che ho dovuto usare W8
> e non ricordo bene.
>
>
>> [1] tranne magari il subject "ERRATA CORRIGE" - o la prima riga "Mi
>> scusi, qui lei trovare l'allegato vero. Clicca su allegato,
>> migliori riguardi."
>
> Ne ho ricevute di scritte meglio, in cui un piccolo errore, poteva essere
> anche colpa dell'operatore... ah no, con quel .JS andiamo male, molto ma
> molto male. (cit)
>
> Fabrizio
>
>
> P.S.
>
> Da it.comp.os.win.xp:
>
>
> Protect Against WannaCry: Microsoft Issues Patch for Unsupported Windows
> (XP,
> Vista, 8,...)
> <http://the*****ernews.com/2017/05/wannacry-ransomware-windows.html>
> <http://www.theregister.co.uk/2017/05/13/wannacrypt_ransomware_worm/>
>
> <http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598>
>
> Ora vedo che dice quello relativo ad XP. Speriamo che non sia un trojan
> pure "esso" (preso dal catalog della mammasoft? Well...)
>
>
>
>

Uff...

JS non ha nulla a che vedere con la JVM.

La diffusione dei ransomware avviene in due momenti distinti (tralascio
i particolare e semplifico):

A) Apri un allegato, che in realtà contiene un ******* eseguibile. Il virus
vero e proprio in questa fase non è ancora nel piccì ed il sistema è
ancora integro.

B) L'eseguibile si attiva e scarica, da qualche parte delal rete, il
virus vero e proprio, che cerca di perseguire i payload impostati da chi
lo ha scritto. In questa fase il sistema è compromesso.

Per salvare le ******* basta quindi evitare che il ******* scaricato con
l'allegato possa essere eseguito.

Come?

Il modo in cui il JS dei ransomware entra nel sistema sfrutta un bug di
Active Directory presente in W dal 2004 e corretto solo a Marzo di
quest'anno, riguardante l'esecuzione di codice remoto da parte degli
script.

È sempre stato possibile disattivare l'esecuzione di codice remoto da
parte di JS: bastava disattivare Windows Script Host (WSH), come ben
sanno tutti quelli che hanno gestito server NT in quegli anni.

Avevo scritto un tool che fa proprio questo
(https://www.gbc.uno/cryptolocker-preveniamo/) che ho dato ai miei
clienti e reso scaricabile dalla rete, che consente di
attivare/disattivare (anche termporaneamente) WSH. Tieni presente che
faccio il programmatore e non mi sono neanche accorto di aver
disattivato WSH.

Con gli aggiornamenti di Marzo non è più necessario, comunque la pagina
è lì.

Ciao cia'

--
GbC
www.gbc.uno
BIG Umberto 15 Mag 2017 11:34
Gabriele - onenet in data 10:48, lunedì 15 maggio 2017, nel gruppo
it.comp.sicurezza.virus ha scritto:

> Exploit di SMB che NSA aveva nel suo arsenale (ovviamente senza avvertire chi
> di dovere) e divulgato un paio di mesi fa insieme a tanta altra roba;

Mi sovvengono seri dubbi...
Ma questi exploit, che stranamente cia, nsa hanno in dotazione, non é micca che
se li sono fatti fare apposta da mamma microsoft?
Quindi perché avvisare chi lo sa giá perfettamente bene?

Come si diceva, "a pensar male, é bene, perché spesso ci si azzecca"!


--
+---------------------------------------------------------------------------+
| Se si mette a *****o una donna e' arte, se lo fa un uomo famoso e' |
| provocazione, se lo fa un uomo qualunque sono da tre mesi a tre |
| anni di reclusione. |
+-----#44--------------------Diamanti di saggezza.--------------------------+
Leonardo Serni 15 Mag 2017 14:57
On Mon, 15 May 2017 10:25:20 +0200, "Bowlingbpsl" <bowling@people.it> wrote:

>...ecco, arrivavo fin qui, con svariati allegati zippati da presunti
>corrieri, contenenti un .JS che NON attiva l'antivirus (e nemmeno nei
>giorni successivi che l'ho messo sul disco), il che mi pare un bel buco di
>sicurezza, non so se rimediabile.

Forse. Dovresti riuscire a disattivare il WSH e il supporto JS, so che ci sono
dei tùlz che lo consentono. Se no ho la chiave di registro da qualche parte.

Leonardo
--

A terrible beauty is born.
- W. B. Yeats, Easter 1916
Max max 15 Mag 2017 15:12
Il 15/05/2017 10.25, Bowlingbpsl ha scritto:

> la Carta Servizi nazionale... e di aver rinunciato, perche' avrei dovuto
> installare una versione di Java obsoleta (di almeno tre release, senno'
> non funzionava...),

Funzionano tranquillamente con l'ultima versione di java ... Tieni
presente che ormai molti programmi ad uso professionale presuppongono
java, per cui disabilitarlo non è possibile in molte realtà.
Greg 15 Mag 2017 16:33
Il 15/05/17 11:06:34 GbC ha scritto:

> Avevo scritto un tool che fa proprio questo
(https://www.gbc.uno/cryptolocker-preveniamo/) che ho dato ai miei
> clienti e reso scaricabile dalla rete, che consente di attivare/disattivare
(anche termporaneamente) WSH. Tieni
> presente che faccio il programmatore e non mi sono neanche accorto di aver
disattivato WSH.
>
> Con gli aggiornamenti di Marzo non è più necessario, comunque la pagina è
lì.
>
> Ciao cia'

Grazie :)

--
Greg
Max max 15 Mag 2017 16:43
Il 15/05/2017 11.06, GbC ha scritto:

> Con gli aggiornamenti di Marzo non è più necessario, comunque la pagina
> è lì.

Ottimo ! :)
Gabriele - onenet 15 Mag 2017 19:55
BIG Umberto wrote on 15/05/17 11:34:
> Gabriele - onenet in data 10:48, lunedì 15 maggio 2017, nel gruppo
> it.comp.sicurezza.virus ha scritto:
>
>> Exploit di SMB che NSA aveva nel suo arsenale (ovviamente senza avvertire chi
>> di dovere) e divulgato un paio di mesi fa insieme a tanta altra roba;
>
> Mi sovvengono seri dubbi...
> Ma questi exploit, che stranamente cia, nsa hanno in dotazione, non é micca
che
> se li sono fatti fare apposta da mamma microsoft?
> Quindi perché avvisare chi lo sa giá perfettamente bene?
>
> Come si diceva, "a pensar male, é bene, perché spesso ci si azzecca"!
>
>

Eh capisco il tuo dubbio :-)
Però non credo, almeno in questo caso; anzi Microsoft non ha gradito molto e ha

fatto notare quanto sia pericoloso:
https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/


Gabriele
ObiWan 17 Mag 2017 08:44
:: On Tue, 16 May 2017 19:40:41 +0000 (UTC)
:: (it.comp.sicurezza.virus)
:: <offkjp$1h1c$1@gioia.aioe.org>
:: AleX <spammenograzie@NOSPAMlibero.it> wrote:


> /QUOTE ON
> 1) le vittime ricevono il malware via rete (**non si hanno al momento
> evidenze di mail vettore dell’infezione**).
> /QUOTE OFF
>
> (http://www.poliziadistato.it/articolo/38591867b4ec5fd518737032/)

Stando a quanto si legge in rete, invece, il vettore arriva proprio con
la classica email con allegato e/o contenente un link

> O, viceversa, è possibile che ci siano tante macchine che, dietro un
> router, espongono lato WAN le porte 139 e/o 445 ?

prova a collegarti ad una MAN fastweb e fai una scansione <g>
Gabriele - onenet 17 Mag 2017 10:32
ObiWan wrote on 17/05/17 08:44:
> :: On Tue, 16 May 2017 19:40:41 +0000 (UTC)
> :: (it.comp.sicurezza.virus)
> :: <offkjp$1h1c$1@gioia.aioe.org>
> :: AleX <spammenograzie@NOSPAMlibero.it> wrote:
>
>
>> /QUOTE ON
>> 1) le vittime ricevono il malware via rete (**non si hanno al momento
>> evidenze di mail vettore dell’infezione**).
>> /QUOTE OFF
>>
>> (http://www.poliziadistato.it/articolo/38591867b4ec5fd518737032/)
>
> Stando a quanto si legge in rete, invece, il vettore arriva proprio con
> la classica email con allegato e/o contenente un link

O da server compromessi prima in altro modo, da lì si è scatenato l'inferno
:-)


>
>> O, viceversa, è possibile che ci siano tante macchine che, dietro un
>> router, espongono lato WAN le porte 139 e/o 445 ?
>
> prova a collegarti ad una MAN fastweb e fai una scansione <g>
>

Però in effetti mi sono posto anch'io la stessa domanda, specialmente dato
l'alto tasso di PC infetti in ospedali e simili.

Gabriele
ObiWan 17 Mag 2017 12:12
:: On Wed, 17 May 2017 10:32:57 +0200
:: (it.comp.sicurezza.virus)
:: <ofh1rp$2qj6$1@newsreader1.mclink.it>
:: Gabriele - onenet <infoTS@onenet.it> wrote:


>>> O, viceversa, è possibile che ci siano tante macchine che, dietro
>>> un router, espongono lato WAN le porte 139 e/o 445 ?
>>
>> prova a collegarti ad una MAN fastweb e fai una scansione <g>

> Però in effetti mi sono posto anch'io la stessa domanda, specialmente
> dato l'alto tasso di PC infetti in ospedali e simili.

un classico; arriva in amministrazione la mail "fattura emessa...", il
tipico utonto la apre ed attiva l'infector; questo impesta la macchina
e poi si mette ad eseguire scansioni sulla rete alla ricerca di PC da
infettare tramite la vuln SMB e ... le trova, le infetta e le macchine
infette a loro volta effettuano scansioni ...
P/ero 18 Mag 2017 15:43
ObiWan <obiwan@mvps.org> ha scritto:
> :: On Wed, 17 May 2017 10:32:57 +0200
> :: (it.comp.sicurezza.virus)
> :: <ofh1rp$2qj6$1@newsreader1.mclink.it>
> :: Gabriele - onenet <infoTS@onenet.it> wrote:
>
>
>>>> O, viceversa, è possibile che ci siano tante macchine che, dietro
>>>> un router, espongono lato WAN le porte 139 e/o 445 ?
>>>
>>> prova a collegarti ad una MAN fastweb e fai una scansione <g>
>
>> Però in effetti mi sono posto anch'io la stessa domanda, specialmente
>> dato l'alto tasso di PC infetti in ospedali e simili.
>
> un classico; arriva in amministrazione la mail "fattura emessa...", il
> tipico utonto la apre ed attiva l'infector; questo impesta la macchina
> e poi si mette ad eseguire scansioni sulla rete alla ricerca di PC da
> infettare tramite la vuln SMB e ... le trova, le infetta e le macchine
> infette a loro volta effettuano scansioni ...
>
>


--
Piero
ObiWan 18 Mag 2017 15:53
:: On Thu, 18 May 2017 15:43:52 +0200 (GMT+02:00)
:: (it.comp.sicurezza.virus)
:: <eo5momFfj5U1@mid.individual.net>
:: P/ero <ppiero@woow.it.INVALID> wrote:

e quindi ?
qu 18 Mag 2017 23:22
GbC wrote:
cut
> Uff...

A chi lo dici ma avrei una domanda.

> JS non ha nulla a che vedere con la JVM.

E fin qui, il tuo tool sembrerebbe LA risposta.

> La diffusione dei ransomware avviene in due momenti distinti
> (tralascio i particolare e semplifico):
>
> A) Apri un allegato, che in realtà contiene un ******* eseguibile. Il
> virus vero e proprio in questa fase non è ancora nel piccì ed il
> sistema è ancora integro.
>
> B) L'eseguibile si attiva e scarica, da qualche parte delal rete, il
> virus vero e proprio, che cerca di perseguire i payload impostati da
> chi lo ha scritto. In questa fase il sistema è compromesso.
>
> Per salvare le ******* basta quindi evitare che il ******* scaricato con
> l'allegato possa essere eseguito.

Chiaro come il Sole.

> Come?
>
> Il modo in cui il JS dei ransomware entra nel sistema sfrutta un bug
> di Active Directory presente in W dal 2004 e corretto solo a Marzo di
> quest'anno, riguardante l'esecuzione di codice remoto da parte degli
> script.
>
> È sempre stato possibile disattivare l'esecuzione di codice remoto da
> parte di JS: bastava disattivare Windows Script Host (WSH), come ben
> sanno tutti quelli che hanno gestito server NT in quegli anni.
>
> Avevo scritto un tool che fa proprio questo
> (https://www.gbc.uno/cryptolocker-preveniamo/) che ho dato ai miei
> clienti e reso scaricabile dalla rete, che consente di
> attivare/disattivare (anche termporaneamente) WSH. Tieni presente che
> faccio il programmatore e non mi sono neanche accorto di aver
> disattivato WSH.
>
> Con gli aggiornamenti di Marzo non è più necessario, comunque la
> pagina è lì.
>
> Ciao cia'

Ergo:
Se faccio fare una bella rinfrescata a quel CANE del sistemista dell'Ente
Pubblico in cui ho l'incarico di Privacy officer, quante probabilità ci sono
che il suddetto possa evitare di far licenziare, stavolta sul serio,
l'imbecille di turno? Magari da un Prefetto all'uopo acconcio?

No, perchè il sindaco, dall'anno scorso, è del M5s, e secondo me in quel
comune la policy di rete si basa sul mangiare Vegan, mentre l'antivirus è un
bastoncino di incenso acceso...

E andando al serio:
Se dovessi passare il tuo piccolo sw, così en passant, ai singoli dipendenti
del lugubre luogo di cui sopra, distraendoli da efukt e ******* la cosa
rientrerebbe nell'uso professionale della medesima?

Sai com'è, buono si... ma fino a un certo punto.

Ah, come rimpiango la semplicità del "you fired" dei colleghi
d'oltreoceano.

--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtube.com/watch?v=kCscWlOiXd0
GbC 19 Mag 2017 10:54
Il 18/05/2017 23:22, qu ha scritto:
> GbC wrote:
> cut
[snip]

> Se dovessi passare il tuo piccolo sw, così en passant, ai singoli
> dipendenti del lugubre luogo di cui sopra, distraendoli da efukt e
> ******* la cosa rientrerebbe nell'uso professionale della medesima?
>
> Sai com'è, buono si... ma fino a un certo punto.
>
> Ah, come rimpiango la semplicità del "you fired" dei colleghi
> d'oltreoceano.
>

Sono l'ambiente e lo scopo che definiscono l'utilizzo.

Ti serve una licenza che, scusa ma devo pur mangiare, avrà un costo.
Certo puoi scaricartelo ed usarlo lo stesso (non ha nessun meccanismo di
controllo a parte la scritta nell'about), ma non saresti per nulla
simpatico :)

In alternativa si puo disattivare WSH anche a mano pastrocchiando sul
registro, non è complicato.

--
GbC
www.gbc.uno
qu 20 Mag 2017 17:58
GbC wrote:
> Il 18/05/2017 23:22, qu ha scritto:
>> GbC wrote:
>> cut
> [snip]
>
>> Se dovessi passare il tuo piccolo sw, così en passant, ai singoli
>> dipendenti del lugubre luogo di cui sopra, distraendoli da efukt e
>> ******* la cosa rientrerebbe nell'uso professionale della medesima?
>>
>> Sai com'è, buono si... ma fino a un certo punto.
>>
>> Ah, come rimpiango la semplicità del "you fired" dei colleghi
>> d'oltreoceano.
>>
>
> Sono l'ambiente e lo scopo che definiscono l'utilizzo.
>
> Ti serve una licenza che, scusa ma devo pur mangiare, avrà un costo.
> Certo puoi scaricartelo ed usarlo lo stesso (non ha nessun meccanismo
> di controllo a parte la scritta nell'about), ma non saresti per nulla
> simpatico :)

Lo dirò al grillico sindaco: fra una candela profumata e una carota khm0,
chissà non trovi il tempo di occuparsene... :D

> In alternativa si puo disattivare WSH anche a mano pastrocchiando sul
> registro, non è complicato.

Non metterei in mano di quei personacci regedit neppure sotto ******* e
SPERO non sappiano MAI della sua esistenza.

Ti faccio sapere casomai: mi limiterò a dire (immagino la domanda, ma come
facciamo ad aggiornare TUTTI quei Pc, come se fossero di altri e un
dipendente non fosse preposto far a quello) "beh, se è difficoltoso
aggiornare, ci sarebbe una soluzione a pagamento"

E vediamo come va' :)

--
qu
qu[levami]@x-planet.org (elimina [levami] per scrivermi)
''se la gente che inculatasi reciprocamente formasse un anello, la Terra
sarebbe Saturno"
Un consiglio per il quote: http://youtube.com/watch?v=kCscWlOiXd0
Greg 21 Mag 2017 20:17
Il 15/05/2017 11:06:34 GbC ha scritto:

> Avevo scritto un tool che fa proprio questo
(https://www.gbc.uno/cryptolocker-preveniamo/) che ho dato ai miei
> clienti e reso scaricabile dalla rete, che consente di attivare/disattivare
(anche termporaneamente) WSH. Tieni
> presente che faccio il programmatore e non mi sono neanche accorto di aver
disattivato WSH.
>
> Con gli aggiornamenti di Marzo non è più necessario, comunque la pagina è
lì.
>
> Ciao cia'

Pensandoci meglio, cosa ci vuole affinche il SO operativo quando un programma
chiede si criptare un ******* chieda
all'utente se è una cosa voluta?

--
Greg
Leonardo Serni 21 Mag 2017 21:50
On Sun, 21 May 2017 20:17:20 +0200, Greg <greg@alicie.com> wrote:

>Il 15/05/2017 11:06:34 GbC ha scritto:
>
>> Avevo scritto un tool che fa proprio questo
(https://www.gbc.uno/cryptolocker-preveniamo/) che ho dato ai miei
>> clienti e reso scaricabile dalla rete, che consente di attivare/disattivare
(anche termporaneamente) WSH. Tieni
>> presente che faccio il programmatore e non mi sono neanche accorto di aver
disattivato WSH.
>>
>> Con gli aggiornamenti di Marzo non è più necessario, comunque la pagina è
lì.

>> Ciao cia'

>Pensandoci meglio, cosa ci vuole affinche il SO operativo quando un programma
chiede si criptare un ******* chieda
>all'utente se è una cosa voluta?

Perché mica il programma chiede di "criptare un ******* .

Chiede di cancellare un ******* (e se il SO ti dovesse chiedere conferma per
ogni ******* cancellato *NON DA UI*, il SO stesso diverrebbe inservibile). Poi,
chiede
di aprire un ******* Poi, di scriverci dati. E sa assai il SO che quei dati
sono
il ******* originale criptato.

Di cose se ne possono fare, eh.

Per esempio:

- il mailreader apre solo alcune estensioni, non TUTTE quelle note al sistema.
Certo, DOC, XLS e forse PDF non sono sicure come si potrebbe sperare. Se uno
vuole aprire uno zip o lanciare un exe, deve salvarlo da qualche parte e poi
aprirlo da lì.

- i programmi fatti partire da alcuni altri programmi (tipo il mailreader) non
hanno i permessi per aprire ******* cancellarli, modificarli, connettersi a
un
sito Internet, modificare il registro, aggiungere operazioni pianificate e -
in breve - non possono fare altro che mostrare qualcosa a video. Di nuovo l'
utente se vuole salva gli allegati in una cartella e li lancia da lì.

Nessuna delle due soluzioni è a prova di bomba, ma mi pare che si riesca, come
minimo, a parare il 99% dei *****i attuali a un costo ragionevolissimo.

Leonardo
--

A terrible beauty is born.
- W. B. Yeats, Easter 1916
Arne Saknussemm 25 Mag 2017 09:37
On Sat, 20 May 2017 17:58:31 +0200
"qu" wrote in it.comp.sicurezza.virus <ofpp2u$1l2v$1@gioia.aioe.org>:

> Ti faccio sapere casomai: mi limiterò a dire (immagino la domanda, ma
> come facciamo ad aggiornare TUTTI quei Pc, come se fossero di altri e
> un dipendente non fosse preposto far a quello) "beh, se è
> difficoltoso aggiornare, ci sarebbe una soluzione a pagamento"

Se hai una struttura ActiveDirectory, per l'installazione/esecuzione
del tool non dovresti avere problemi, potresti usare le GPO oppure uno
script di logon che automaticamente verifichi se il tool è presente sul
sistema ed in caso contrario, provveda a copiarlo, installarlo (in
modalità "batch" senza interazione) ed avviarlo (sempre in modalità
batch)
Arne Saknussemm 25 Mag 2017 10:09
On Mon, 15 May 2017 11:06:34 +0200
"GbC" wrote in it.comp.sicurezza.virus <ofbr2q$12ee$1@gioia.aioe.org>:


> Avevo scritto un tool che fa proprio questo
> (https://www.gbc.uno/cryptolocker-preveniamo/) che ho dato ai miei
> clienti e reso scaricabile dalla rete, che consente di
> attivare/disattivare (anche termporaneamente) WSH. Tieni presente che
> faccio il programmatore e non mi sono neanche accorto di aver
> disattivato WSH.

Caruccio, per migliorarlo ulteriormente, potresti prevedere la
possibilità di avviarlo in modalità "batch" passando le opzioni su
command line o, quantomeno, prevedere una modalità batch per la
disattivazione (lasciando interattiva la riattivazione)

A proposito, non ho problemi con UPX, ma occhio perchè certi AV
potrebbero segnalare il ******* come "sospetto" solo perchè è compresso
con UPX

Tra l'altro (giusto per curiosità) ... è scritto in VB6 ?!?!?
Arne Saknussemm 25 Mag 2017 10:49
On Thu, 25 May 2017 09:37:06 +0200
"Arne Saknussemm" wrote in it.comp.sicurezza.virus
<20170525093706.00003b0b@eternal-september.org>:

> On Sat, 20 May 2017 17:58:31 +0200
> "qu" wrote in it.comp.sicurezza.virus <ofpp2u$1l2v$1@gioia.aioe.org>:
>
>> Ti faccio sapere casomai: mi limiterò a dire (immagino la domanda,
>> ma come facciamo ad aggiornare TUTTI quei Pc, come se fossero di
>> altri e un dipendente non fosse preposto far a quello) "beh, se è
>> difficoltoso aggiornare, ci sarebbe una soluzione a pagamento"
>
> Se hai una struttura ActiveDirectory, per l'installazione/esecuzione
> del tool non dovresti avere problemi, potresti usare le GPO oppure uno
> script di logon che automaticamente verifichi se il tool è presente
> sul sistema ed in caso contrario, provveda a copiarlo, installarlo (in
> modalità "batch" senza interazione) ed avviarlo (sempre in modalità
> batch)

tra l'altro, puoi disattivare WSH anche usando un normale "batch", es.

@echo off
setlocal
:
rem --- percorso registry e nome della voce
set REGPATH="HKLM\Software\Microsoft\Windows Script Host\Settings"
set VALNAME=Enabled
:
rem --- controlla se disattivare o attivare
set FLAG=0
if (%1)==(/e) set FLAG=1
:
rem --- elimina e (ri)crea la voce di registry
reg DELETE %REGPATH% /v %VALNAME%
reg ADD %REGPATH% /v %VALNAME% /t REG_DWORD /d %FLAG%
:
endlocal
exit

da notare che lo script disattiva WSH per l'intero sistema, se invece
preferisci disattivarlo solo per l'utente corrente (ad esempio perchè
hai degli script che ti serve far girare schedulati o per uso "admin"),
ti basterà usare HKCU al posto di HKLM; tornando al "come far girare lo
script", un'altra opzione è quella di usare "p*****ec"

https://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

per copiare e poi avviare il batch sui vari computers senza dover
andare fisicamente "sul posto"

ciao
Arne Saknussemm 25 Mag 2017 11:14
On Thu, 25 May 2017 10:49:51 +0200
"Arne Saknussemm" wrote in it.comp.sicurezza.virus
<20170525104951.0000694b@eternal-september.org>:

> far girare lo script", un'altra opzione è quella di usare "p*****ec"

o anche la sintassi "remota" di reg, ad esempio

reg ADD \\computer\percorso ...

anche se in questo caso potrai agire solo su HKLM dato che HKCU non
sarà (per ovvii motivi) disponibile, ma in qualsiasi caso sarai in
grado di disattivare WSH da una singola postazione centrale :)
Skywalker Senior 25 Mag 2017 12:23
GbC ha spiegato il 15/05/2017 :

>
> Avevo scritto un tool che fa proprio questo
> (https://www.gbc.uno/cryptolocker-preveniamo/) che ho dato ai miei clienti e
> reso scaricabile dalla rete, che consente di attivare/disattivare (anche
> termporaneamente) WSH. Tieni presente che faccio il programmatore e non mi
> sono neanche accorto di aver disattivato WSH.
>

Domanda da 1€cent... ma disabilitare il WSH non va ad impattare con gli
script (vbs) che i pc in dominio (almeno quelli con server SBS)
lanciano ad ogni avvio (tramite le policy "Windows SBS CSE" e "Windows
SBS User policy")?
ObiWan 25 Mag 2017 14:56
:: On Thu, 25 May 2017 12:23:28 +0200
:: (it.comp.sicurezza.virus)
:: <og6bb1$dp0$1@gioia.aioe.org>
:: Skywalker Senior <sky@SPAMMATUAMAMMA.com> wrote:

> GbC ha spiegato il 15/05/2017 :
>
>>
>> Avevo scritto un tool che fa proprio questo >
>> (https://www.gbc.uno/cryptolocker-preveniamo/) che ho dato ai miei
>> clienti e > reso scaricabile dalla rete, che consente di
>> attivare/disattivare (anche > termporaneamente) WSH. Tieni presente
>> che faccio il programmatore e non mi > sono neanche accorto di aver
>> disattivato WSH.
>
> Domanda da 1€cent... ma disabilitare il WSH non va ad impattare con
> gli script (vbs) che i pc in dominio (almeno quelli con server SBS)
> lanciano ad ogni avvio (tramite le policy "Windows SBS CSE" e
> "Windows SBS User policy")?

Si

Infatti conviene disattivare WSH "per utente" in modo da lasciare che
gli script (che si suppone vengano eseguiti come SYSTEM o Admin) usati
per vari scopi, possano continuare a funzionare

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni su virus e antivirus | Tutti i gruppi | it.comp.sicurezza.virus | Notizie e discussioni sicurezza virus | Sicurezza virus Mobile | Servizio di consultazione news.