[News]

News: Seeweb si unisce ad Hosting Solutions e Aruba

Come si è parlato già addietro, il 2007 è diventato di diritto l’anno delle compromissioni dei siti web da parte dei malware writer. Si è parlato di Hosting Solutions, si è parlato di Aruba, si è parlato di alcuni siti di rilevanza nazionale infettati da iframe nocivi.

Continuando nelle indagini, anche il noto fornitore di connettività e hosting/housing Seeweb sembrerebbe essere stato preso di mira durante questa ondata di pirateria informatica.

[jrovera]

Entrando in msconfig nella cartella WIN.INI trovo le seguenti voci:

;for 16-bit app support
[fonts]
[exstensions]
[mci exstensions]
[files]
[Mail]
[MCI Exstensions.BAK]
[annie]
           CaptureFile=
           VideoDevice2=@device:pnp:\\?\usb#vid_0c45&pid_613c#5&36c701f9&0&2#[65e8773d-8f56-11d0-a3b9-00a0c9223196]\global
           AudioDevice2=
           FrameRate=667111
           UserFrameRate=1
           CaptureAudio=0
           CaptureCC=0
           WantPreview=1
           MasterStream=1
           UseTimeLimit=1
           TimeLimit=0
[PARID]
           ;msconfig ComputerID=[865DDCCC-8FB7-4F26-B9E7-BBF6A3DE89CE]

La domanda è: le voci [annie] e [PARID] sono normali?

Altra domanda: nel registro di sistema trovo la seguente voce in: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Telephony\HandoffPriorities
NOME                                 TIPO                      DATI
RequestMakeCall                REG_SZ               DIALER.EXE
E' un dialer? E se sì come si può cancellare visto che ho già provato ma si ripresenta puntualmente quando riavvio il pc?
Ringrazio chi volesse darmi delucidazioni
          

[Sergio Neddi]

Le sezioni [annie] e [PARID] non sono normali in Win.ini, ma potrebbero esserlo in quanto si potrebbe trattare si quale impostazione o qualche protezione di qualche programma che va a scrivere queste informazioni propio lì.
Per quanto riguarda la voce di registro che dici è assolutamente normale. Il dialer.exe è un file di Windows che consente la composizione di numeri telefonici.

[jrovera]

Allora ci deve essere qualche altro dialer nascosto, perchè mentre sono connesso, mi si chiude la connessione e se ne apre una nuova chiamata Internet Connection con numero di telefono 000 e ID 0001@flip.
Ho fatto scansioni con Gmer, SUPERAntiSpywarePro, Cureit, AVGAntirootkit, Ad-ware, AVGAntiSpyware, scansione online con karpesky che ha rilevato un paio di trojan cancellati. Ho postato anche il risultato di HiJackThis e sembra non ci sia nulla di sospetto.