Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

TRAFFICO ANOMALO SU UN ESEGUIBILE Opzioni
krokko
Inviato: Friday, February 25, 2011 7:27:02 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Ciao a tutti, volevo esporre il seguente caso: sono un appassionato di videogame online e gioco spesso a Pro Evolution Soccer 2011 per PC. Di recente su un forum dedicato a questo videogame, molto noto per serietà e competenza dei suoi iscritti, è stata pubblicata una versione "modificata" del gioco (patch) per aggiornarne la veste grafica, i nuovi trasferimenti dei giocatori del calciomercato, ecc.. Queste modifiche sono concentrate in vari files, tra cui l'eseguibile principale del gioco. Fin qui nessun problema, la patch è stata scaricata da centinaia di utenti ed il gioco effettivamente è stato reso molto più bello e realistico. Poichè con questa patch è possibile giocare anche on line è ovvio che l'exe del gioco generi traffico in rete. Tuttavia, alcuni giorni fa un paio di utenti esperti di informatica hanno lanciato un inquietante allarme su un traffico "anomalo" generato dall'eseguibile del gioco "patchato". Premetto che non si tratta di virus, come hanno chiaramente detto questi utenti esperti, ma di un'anomalia che non riescono a spiegare. Allego di seguito i passaggi principali di citati utenti, per comodità chiamati A e B:

Utente A

Faccio due premesse:

1)tra tante patch che ho provato questa è la migliore e sono un grande fan
2)il mio intento è quello di sapere non di accusare

Detto questo e detto anche che avevo aperto un post simile nella sezione "aiuto" ma senza ricevere risposte soddisfacenti dato che riguarda questa patch posto il problema direttamente qua. Il nuovo aggiornamento della patch 0.7 crea questo tipo di situazione sul mio pc(aprite lo spoiler e vedrete uno screenshot fatto quando vado ad avviare l'osp.exe)
Ora non sarò un bravo editor di PES ma sono abbastanza ferrato per quanto riguarda il pc in generale per capire da solo che questo non è un falso positivo cioè non è un processo innocuo o una stringa che alcuni antivirus rilevano come virus, nè una cosa rilevata da un mediocre antivirus gratis, come state vedendo senza fare pubblicità è uno dei migliori antivirus e per giunta nella sua versione a pagamento settata al meglio. Rileva un keylogger(che di per se non sarebbe niente di nocivo a differenza di trojan, malware ecc) se non fosse che come potete vedere sottolineato in rosso crea traffico in uscita verso un ip e server specifico cioè locate.madserver.net sulla porta 443, ora i keylogger si sa registrano tutti gli input di tastiera password ecc ecc che finiscono spesso a chi vuole carpire conti o violare la privacy, io non dico che chi ha fatto questa patch sia un cyber criminale e non mi permetterei mai, ma vorrei porre un quesito al diretto interessato e agli esperti informatici presente su questo bel forum, vale la pena di rischiare di compromettere la sicurezza del pc e delle password per una patch(anche se stupenda)?o meglio(nella versione meno "critica")perchè mettere un adware in questa patch?(perchè googlando l'exe di tanti altri giochi e patch sono associati a quel server che risulta essere un adware).

Spero di ricevere una risposta.


Utente B:
Ho avviato di nuovo osp2011.exe sandboxato e osservato le operazioni che fa, sono le seguenti:

Azione: Installazione Hook Obiettivo: C:\Windows\system32\DINPUT8.dll
Azione: Modifica Chiave Obiettivo: HKLM\SYSTEM\ControlSet003\Control\Class
Azione: Modifica File Obiettivo: \Device\Nsi
Azione: Installazione Hook Obiettivo: C:\Windows\system32\dwmapi.dll
Azione: Accesso Client DNS/RPC Connessione in uscita protocollo UDP, Porta di origine: 64279, Porta di destinazione 53.

Si, comunque anche io non credo sia qualcosa di davvero pericoloso e grave, magari sono processi necessari all'avvio del gioco (mi viene da pensare così riguardo le azioni sugli input), l'unica cosa "strana" è quella richiesta di connessione che non credo riguardi gli aggiornamenti Konami visto che è l'unica differenza con le azioni eseguite da pes2011.exe che fa esattamente le stesse operazioni di osp2011.exe eccetto che questa richiesta di connessione..


Utente A
Allora senza "quotare" vediamo un po di rispondere ai vari messaggi:

1)la comunicazione in uscita sulla porta 443 va verso un server in blacklist da molti siti(perchè include adware e processi non autorizzati) cioè locate.madserver.net indirizzo ip 65.55.179.26
2) l'exe iniziale di pes 2011 originale non genera questo tipo di traffico(come ho scritto io gioco online e non riscontro nessun problema) quindi quasi sicuramente condivido il fatto che il no dvd potrebbe essere la base di tutto


Vorrei conoscere il vostro autorevole parere sulla questione. C'è da preoccuparsi o è un eccessivo allarmismo?
Sponsor
Inviato: Friday, February 25, 2011 7:27:02 PM

 
r16
Inviato: Friday, February 25, 2011 9:27:28 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Vorrei conoscere il vostro autorevole parere sulla questione.

Premetto che non sono un'appassionato di giochi.
Ma ci sono diverse cosette che non quadrano:
1) Il Keylogger.
Non esiste che per "per aggiornarne la veste grafica, i nuovi trasferimenti dei giocatori del calciomercato," si installi un keylogger.
Come detto Utente A, un keylogger serve a ben altro.

2) Che poi, questa patch, crei un traffico in uscita verso un ip a un server specifico , e per giunta registrato in "blacklist ", è il colmo.

Ci sono tutti (ma proprio tutti) gli ingredienti, per tenere un pc, sotto controllo, a distanza.

Io penso, che qualsiasi software di difesa, quei file, e relative chiavi, li eliminerebbe all'istante.
krokko
Inviato: Friday, February 25, 2011 9:59:15 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Un altro utente dello stesso forum ha però gettato un pò d'acqua sul fuoco inserendo questo intervento sull'argomento:

Ciao ragazzi, ho letto con molta attenzione ciò che è stato segnalato, e mi permetto di pronunciarmi per quanto possibile.
In più io ho KIS 2011 la suite di cui parla xxxxxx.

Basandomi sulle segnalazioni che sono state fatte, e per diversi incontri (in altri giochi) con il

locate.madserver.net

mi sento di tranquillizzarvi, in quanto codesto server non è altro che un server MICROSOFT che permette la visione degli eventuali Advertisement! (Annunci Download e/o pubblicità) durante l'esecuzione di un gioco che prevede magari anche la parte online.

A scanso di domande superflue sul come fai a saperlo o chi te l'ha detto:

SPOILER (clicca per visualizzare)
www.websitetrafficspy.com/madserver.net


Qui sopra potete trovare sia il traffico generato da TUTTO IL MONDO verso quel server (11,6 MILIONI), le informazioni riguardo il server , l'ndirizzo IP segnalato come "anomalo" (65.55.179) e svariate informazioni a riguardo, tra cui anche l'ISP proprietario ovvero MICROSOFT in U.S.A..
Se notate sta scritto pure Similar Traffic Sites che riporta Amazon (22 MILIONI) direi che è fuor dubbio sia un processo attendibile.

Ah, la porta 443 in Windows è usata per l' HTTPS ovvero per il trasferimento sicuro di pagine web, serve per usare ad esempio il web banking, infatti, ti colleghi alla porta 443 di un server per fare il login, e poi per altri servizi che lungono da cose malevoleper altro visto che è usata per connessioni SICURE. :wacko:

SPOILER (clicca per visualizzare)
http://it.wikipedia.org/wiki/Lista_di_porte_standard


SPOILER (clicca per visualizzare)
http://it.wikipedia.org/wiki/HTTPS



Questo per evitare allarmismi (anche se capibili) a discapito di Gente Seria, che non ha alcun motivo di ridicolizzarsi davanti a migliaia di persone, e perdere la loro fiducia.


....davvero non so a chi dare retta !!!
r16
Inviato: Friday, February 25, 2011 10:42:23 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
Commenta:
Questo per evitare allarmismi (anche se capibili) a discapito di Gente Seria, che non ha alcun motivo di ridicolizzarsi davanti a migliaia di persone, e perdere la loro fiducia.

Già......ma nessun accenno al Keylogger.Think
Che, anche se non sembra, un keylogger, è mille volte più pericoloso di qualsiasi troyan o rootkit.
Essendo praticamente invisibile, può inviare (a chichessia) le tue password, cosa visiti, con chi chatti, in pratica tutto quello che fai nel pc.

Commenta:
davvero non so a chi dare retta !!!

Non ti dico cosa farei io........perchè appunto, non sono un'appassionato, di giochi.
Bisogna vedere se ci tieni di più alla tua sicurezza, oppure ai giochi.
granuz88
Inviato: Saturday, February 26, 2011 12:15:17 AM
Rank: AiutAmico

Iscritto dal : 4/10/2005
Posts: 3,476
Se mi posso permettere però, c'è da considerare che anche gli antivirus possono sbagliare... è stato rilevato un keylogger che manda traffico ad un sito riconosciuto come sicuro. Questa frase è un ossimoro.
I keylogger non mandano roba a siti universalmente ritenuti affidabili, che senso avrebbe? In questo caso, SE il sito è realmente affidabile (bisognerebbe fare delle indagini) e di proprietà di Microsoft, penso proprio che l'antivirus abbia preso un abbaglio.

Per essere sicuro potresti caricare il file su www.virustotal.com e vedere cosa ne pensano gli oltre 40 antivirus che scansioneranno il file. Posta il risultato qui.



By Granuz88
krokko
Inviato: Saturday, February 26, 2011 11:32:54 AM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
L'eseguibile in questione "pesa" circa 40Mb quindi non riesco ad uploadarlo nè su virustotal nè sul sito viruscan Jotti's. Cos'altro posso fare? Ho trovato in Rete un antikeylogger (vedi immagine). Che dite, è affidabile? Può servire?

antikeylogger
r16
Inviato: Saturday, February 26, 2011 1:46:01 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
granuz88 ha scritto:
In questo caso, SE il sito è realmente affidabile (bisognerebbe fare delle indagini) e di proprietà di Microsoft, penso proprio che l'antivirus abbia preso un abbaglio.

Ciao granuz88 .
Non ho trovato da nessuna parte, che quel sito sia di proprietà Microsoft.
Nemmeno dove dice il tizio, che vuole evitare allarmismi.
Mi piacerebbe chiedergli, quando dovrei allarmarmi, se non con una patch,che mi combina (senza avvisarmi) tutte quelle operazioni strane.
Poi, mi viene da ridere quando dice:"tra cui anche l'ISP proprietario ovvero MICROSOFT in U.S.A..".
Come se fosse difficile contraffare, un documento.
Quello, o è un ingenuo,o ha qualche interesse, oppure di sicurezza, non ci capisce niente.


asdfasdfasdf
Inviato: Saturday, February 26, 2011 10:45:11 PM
Rank: Newbie

Iscritto dal : 2/26/2011
Posts: 3

r16
Inviato: Saturday, February 26, 2011 11:15:51 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016


asdfasdfasdf
Inviato: Saturday, February 26, 2011 11:33:00 PM
Rank: Newbie

Iscritto dal : 2/26/2011
Posts: 3
r16
Inviato: Saturday, February 26, 2011 11:46:42 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
asdfasdfasdf
Inviato: Sunday, February 27, 2011 12:01:27 AM
Rank: Newbie

Iscritto dal : 2/26/2011
Posts: 3
krokko
Inviato: Sunday, February 27, 2011 9:48:46 AM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Scusate, ma a parte la "diatriba" tra voi (evidentemente censurata) mi dite cosa in concreto potrei fare? Mi basta anche solo sapere se quell'antikeylogger di cui ho postato sopra un'immagine è attendibile oppure no. Grazie
krokko
Inviato: Tuesday, March 01, 2011 6:30:18 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Gradirei gentilmente una risposta....
r16
Inviato: Tuesday, March 01, 2011 6:55:19 PM
Rank: AiutAmico

Iscritto dal : 8/7/2007
Posts: 11,016
krokko ha scritto:
Gradirei gentilmente una risposta....

krokko, è praticamente impossibile risponderti seriamente.
Non si può sapere se quel software è attendibile, oppure no.
Bisogna scaricarlo, (io personalmente NON lo faccio) e provarlo.


krokko
Inviato: Wednesday, March 02, 2011 6:38:17 PM
Rank: AiutAmico

Iscritto dal : 7/4/2010
Posts: 45
Ah okay, scusa, pensavo che qualcuno lo utilizzasse o che per lo meno lo conoscesse. Grazie lo stesso.
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.