Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

STRANA SITUAZIONE Opzioni
enigmista63
Inviato: Sunday, January 01, 2012 6:37:59 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao a tutti ed auguri per uno splendido 2012, ho ricevuto sul mio pc l'avviso di aggiornare ADOBE FLASH PLAYER, ma al momento dell'aggiornamento , il firewall mi avvisa che il file contiene un virus? come é possibile?



Uploaded with ImageShack.us"/>
Sponsor
Inviato: Sunday, January 01, 2012 6:37:59 PM

 
kaiman
Inviato: Sunday, January 01, 2012 6:45:47 PM

Rank: AiutAmico

Iscritto dal : 12/9/2011
Posts: 430
Come saprai i firewall la loro funzione non è quella di rilevare virus come , appunto, gli AV.
E' una cosa che è successo anche a me così ho aggirato l' ostacolo collegandomi al sito, scaricando il SW e installarlo.
Quello che ti dice quel tuo firewall lo trovo irrilevante.
cbbusto
Inviato: Sunday, January 01, 2012 6:53:27 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Soliti falsi positivi, vai QUI e scarica l'ultima versione.
enigmista63
Inviato: Monday, January 02, 2012 2:56:06 AM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao ragazzi da ricerche effettuate non si tratta di falso positivo,ma di un falso aggiornamento con tanto di firma ADOBE dove in realta' si tratta di una variante di un ROOTKIT ZEROACCES, tutte le finestre fino al download sono identiche a quelle ufficiali, ma al momento del download anziche' apparire la clasica finestra rossa di adobe dove chiede di accettare le condizioni d'uso, si apre la finestra di windows con esegui.
Per notizie dettagliate questo e' il link al post 3763, OASIS( non il gruppo musicale) con cui e' collegato il firewall in tempo reale, sembra essere al momento l'unico a rilevare l'infezione, io ho sempre scaricato gli aggiornamenti java ed adobe dal sito aiutamici,mi ha insospettito il fatto di ricevere l'aggiornamento sul desktop con pc in stand by, e che al momento del''installazione conclusa non sono stato reindirizzato( come avviene di solito) sulla pagine ufficiale di adobe dove ti fa vedere con il video che l'installazione e' avvenuta regolarmente.

http://www.hwupgrade.it/forum/showthread.php?t=1064733&page=189
cbbusto
Inviato: Monday, January 02, 2012 11:19:56 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Infatti l'aggiornamento non viene mai proposto sul desk, io vado sempre sul sito Adobe.
Ho controllato, il link di aiutamici porta al sito ufficiale e il download avviene in modo corretto.
Ti direi di controllare probabilmente hai qualcosa nel tuo pc che ti dirotta.
granuz88
Inviato: Monday, January 02, 2012 1:57:38 PM
Rank: AiutAmico

Iscritto dal : 4/10/2005
Posts: 3,476
cbbusto ha scritto:
Infatti l'aggiornamento non viene mai proposto sul desk, io vado sempre sul sito Adobe.
Ho controllato, il link di aiutamici porta al sito ufficiale e il download avviene in modo corretto.
Ti direi di controllare probabilmente hai qualcosa nel tuo pc che ti dirotta.



Non è vero, a me Flash Player si aggiorna automaticamente senza andarlo a scaricare a mano.
Certo, la richiesta di aggiornamento ovviamente compare.

In questo caso specifico però ci si accorge del virus, per il semplice fatto che il percorso di esecuzione, ma soprattutto il nome del file, sono alquanto sospetti.
Viene eseguito dalla cartella "Temp" e si chiama "4.tmp".

Un nome alquanto bizzarro per un programma di Adobe!



By Granuz88
simo95
Inviato: Monday, January 02, 2012 2:04:24 PM

Rank: AiutAmico

Iscritto dal : 12/4/2008
Posts: 2,008
Esattamente granuz

L'aggiornamento a volte viene proposto all'avvio del PC, in una finestra con sfondo grigio per la versione 11.

In ogni caso il file non è legittimo, il binario originale Adobe ha denominazione: install_flash_player(_ax)_*bit.exe

Dove ax è presente solo nel caso in cui l'aggiornamento riguardi Internet explorer e *bit varia da 32bit a 64bit a seconda dell'architettura del sistema di destinazione.
Come dice cbbusto, io preferisco comunque aggiornare direttamente dal sito Adobe o tramite il portale FileHippo (http://www.filehippo.com/download_flashplayer_ie/10987/)
Lancia TFC http://www.geekstogo.com/forum/files/file/187-tfc-temp-file-cleaner-by-oldtimer/ ). Poi povvedi a fare una scansione con MBAM e HJT. Posta i log.
Ciao
sabbb
Inviato: Monday, January 02, 2012 2:47:17 PM
Rank: AiutAmico

Iscritto dal : 9/12/2009
Posts: 6,632
Anche a me capita spesso di trovare all'avvio di un PC l'avviso di un aggiornamento da parte del flash di Adobe.
Quindi,escludendo questo specifico caso di enigmista63, (ulteriori info qui) mi pare che è tutto regolare l'avviso su un desktop da parte del player in questione che cerca di aggiornarsi.
enigmista63
Inviato: Monday, January 02, 2012 3:58:33 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao ragazzi grazie per i vostri interventi, si l'aggiornamento mi appare come voi in automatico all'accensione del pc, fino a qui tutto ok, poi al momento di lanciare l'installazione inizia,ma dopo pochi passaggi viene bloccata per il sospetto di file non legittimi legati ad adobe , infatti i nomi cosi' come avete detto voi e la posizione sono alquanto strani,ma per continuare il test ,la cosa si fa intrigante, ho disattivato il firewall, e con grande stupore interviene il BHEAVIOR BLOCKER dell'antivirus che con un messaggio di alerta mi consiglia di bloccare e mettere in quarantena il file incriminato riconosciuto come rootkit, a questo punto o non prendo in considerazione gli avvisi e installo l'aggiornamento o faccio ulteriori approfondimenti, vado a scaricarlo direttamente dal sito di adobe e lancio l'installazione, alcune settimane fa si parlava di un attacco ad alcuni siti legittimi e di cui tutti ci fidiamo, uno di questi era adobe , cosi' come quicktime e real player, vorrei mai che anche la versione ufficiale abbia problemi? Concludo dicendo che anche GMER riconosce il file come rootkit.
Ormai siamo ad un livello di pericoli assurdi tutti facciamo attenzione al p2p e i virus si prendono tramite la navigazione web.
enigmista63
Inviato: Monday, January 02, 2012 7:08:49 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao ho scaricato l'aggiornamento dal sito ufficiale e risulta anche li il file infetto anche COMODO lo rileva come infetto


Uploaded with ImageShack.us"/>





Uploaded with ImageShack.us"/>
sabbb
Inviato: Monday, January 02, 2012 9:29:44 PM
Rank: AiutAmico

Iscritto dal : 9/12/2009
Posts: 6,632
Questo invece è legittimo.
Ancora prima di tutto l'ambaradan ho avuto anche io quel file per le mani (ho cliccato sul controllo plugin di Firefox è mi era uscito:non contento l'avevo mandato su VT e anche io ebbi modo di vedere che Comodo lo rileva come malware,ma penso che è un falso positivo questo)

Mi indichi il percorso esatto dove si è posizionato?
enigmista63
Inviato: Monday, January 02, 2012 10:58:08 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao si va a posizionare in documenti e setting/ .....tuo nome / impostazioni locali / temp.
Ed e' proprio quel file mostrato in immagine che viene rilevato come trojan anche da comodo.
sabbb
Inviato: Monday, January 02, 2012 11:17:25 PM
Rank: AiutAmico

Iscritto dal : 9/12/2009
Posts: 6,632
enigmista63 ha scritto:
Ciao si va a posizionare in documenti e setting/ .....tuo nome / impostazioni locali / temp.
Ciao. Sono con Seven è non lo trovo (anche abilitando i file e cartelle nascoste)
Commenta:

Ed e' proprio quel file mostrato in immagine che viene rilevato come trojan anche da comodo.
Forse volevi dire solo da Comodo (almeno io su VT quello ho visto) Speak to the hand
enigmista63
Inviato: Monday, January 02, 2012 11:42:22 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Si solo da comodo viene rilavato da oggi, invece con l'utilizzo di ONLINE ARMOR ed emsisoft antimalware non mi permettono di scaricare l'aggiornamento lo ritengono un virus, anche gmer lo rileva come virus, adesso su un altro pc con KIS 2012 non ho nessun avviso e si installa regolarmente, chi ci capisce piu' nulla?
simo95
Inviato: Monday, January 02, 2012 11:55:21 PM

Rank: AiutAmico

Iscritto dal : 12/4/2008
Posts: 2,008
sabbb ha scritto:
enigmista63 ha scritto:
Ciao si va a posizionare in documenti e setting/ .....tuo nome / impostazioni locali / temp.
Ciao. Sono con Seven è non lo trovo (anche abilitando i file e cartelle nascoste)[quote]


Su seven il percorso è diverso. Lo raggiungi digitando %temp% da Esegui. (Win + R)

Comodo probabilmente lo rileva come possibile infezione a causa della compressione dell'installer che può ingannare i moduli euristici dell'antivirus.
Il file è pulito.

Ciao
enigmista63
Inviato: Monday, January 02, 2012 11:59:20 PM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Ciao si ritengo anche io che sia pulito,ma non mi convincono questi atteggiamenti di alcuni software che ti avvisano di un possibile file infetto,ma poi lasciano all'utente la scelta se installarlo oppure no.
cbbusto
Inviato: Tuesday, January 03, 2012 12:56:37 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
enigmista63 ha scritto:
Ciao si ritengo anche io che sia pulito,ma non mi convincono questi atteggiamenti di alcuni software che ti avvisano di un possibile file infetto,ma poi lasciano all'utente la scelta se installarlo oppure no.


Più sw di protezione si usano più problemi si riscontrano e i dubbi aumentano, io ne ho uno solo (tu sai quale ) con un firewall giudicato scarso
e di problemi ZERO. Speak to the hand
enigmista63
Inviato: Tuesday, January 03, 2012 1:13:09 AM

Rank: AiutAmico

Iscritto dal : 4/28/2007
Posts: 1,976
Si anche io ne uso uno che non mi da problemi,ma avolte mi diverto a fare dei test, e devo dirti che ogni software ha il proprio modo di rilevare e gestire le infezioni,ci sono anche quelli che non rilevano quasi nulla e di sicuro creano meno problemi, li ho praticamente provati tutti anche quelli meno conosciuti ed alla fine ti orienti su quello che sbaglia meno.Cao un saluto buona notte.
simo95
Inviato: Tuesday, January 03, 2012 12:40:09 PM

Rank: AiutAmico

Iscritto dal : 12/4/2008
Posts: 2,008
enigmista63 ha scritto:
Ciao si ritengo anche io che sia pulito,ma non mi convincono questi atteggiamenti di alcuni software che ti avvisano di un possibile file infetto,ma poi lasciano all'utente la scelta se installarlo oppure no.


Solitamente questo accade quando non ci sono le definizioni virus appropriate, e subentra il modulo euristico. In questo caso ci sta solo il buon senso dell'utente.
Ciao
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.