[News]

News: Seeweb, riflessioni post-attacco
 
Sono passati alcuni giorni dal mio primo articolo relativo alla compromissione dei siti web su alcuni server dell’hoster Seeweb ed è arrivata, per mezzo di Punto Informatico, una interessantissima risposta da parte della stessa società.

[bafo77]

Mi chiedevo perche' il pagefile.sys infetto viene rilevato solo da pochi antivirus. (tra questi avast che uso in versione free).
Inoltre quanto e' grave avere infetto questo file?

L'infezzione la rilevo con l'hard disk tolto dalla macchina, e' possibile rilevarla anche a macchina avviata???(a me non e' mai capitato che un antivirus trovasse infetto il file pagefile a macchina avviata)

Ciao
Bafo77

[lucass]

Potrebbe essere un falso positivo anche perchè il file pagefile.sys è inacessibile, teoricamente avast non è in grado di aprire il file per controllarlo comunque, il file si può ricreare tranquillamente anche se per me è un falso allarme.

Ciao

Lucass

PS:Nome del malware che ha infetto il file?

[Fabri]

Potrebbe essere un falso positivo anche perchè il file pagefile.sys è inacessibile, teoricamente avast non è in grado di aprire il file per controllarlo comunque, il file si può ricreare tranquillamente anche se per me è un falso allarme.

Ciao

Lucass

PS:Nome del malware che ha infetto il file?

Il file pagefile.sys viene contollato da AVAST durante la fase di avvio quindi non è in uso.

Io consiglio nel caso risultasse infetto di farlo rimuovere da windows e ricrearlo che tra l'altro migliora un pochino le prestazioni.

La procedura da seguire è questa: hxxp://support.microsoft.com/kb/314834/en-us

Per i meno inglesi la riassumo:

Dal desktop del sistema operativo cliccare su START, ESEGUI, quindi inserire nella casella di comando l'istruzione regedit e premere su OK.
Nella parte sinistra del registro di configurazione di Windows selezionare la chiave HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Memory Management

Nella parte destra della finestra del registro di sistema cliccare due volte con il mouse sul valore ClearPageFileAtShutdown quindi nella casella DATI VALORE inserire al posto di 0 il valore 1.
Chiudere il registro di sistema e riavviare il pc.

Al riavvio il file sarà rimosso e ricreato da windows.

Una volta rientrati in windows, ripetere l'operazione precedente ma con una variante:

Cliccate su START, ESEGUI, quindi inserire nella casella di comando l'istruzione regedit e premere su OK.
Nella parte sinistra del registro di configurazione di Windows selezionare la chiave HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/Memory Management

Nella parte destra della finestra del registro di sistema cliccare due volte con il mouse sul valore ClearPageFileAtShutdown quindi nella casella DATI VALORE inserire al posto di 1 il valore 0.

Avrete ripristinato la situazione a prima dell'operazione, si sarà ricreato il file di paginazione di windows, e se il disco in precedenza era ben deframmentato, si sarà ricreato in un unica porzione di disco, rendendo anche più veloce un pochino il sistema.

[spadone]

Senza scomodare regedit, non basterebbe da
proprietà del sistema/avanzate/prestazioni/avanzate/memoria virtuale,  impostare "Nessun File di Paging" riavviare e quindi reimpostarlo su dimensioni gestite dal sistema oppure dimensioni personalizzate ?

[Fabri]

Senza scomodare regedit, non basterebbe da
proprietà del sistema/avanzate/prestazioni/avanzate/memoria virtuale,  impostare "Nessun File di Paging" riavviare e quindi reimpostarlo su dimensioni gestite dal sistema oppure dimensioni personalizzate ?

Beh non è proprio la stessa cosa, anche perchè per farlo ricreare ti tocca riavviare ancora e reimpostare tutto.

Invece senza dover stare a riconfigurare nulla, ma solo indicando a Windows di cancellarselo e ricrearselo, riparti in condizione tipo.

Tra l'altro in alcune configurazioni "magre" di ram, rischi che non si cancelli affatto, ma che si riduca soltanto di dimensione, di una dimensione ridotta.

[lucass]

se leggi sul forum di avast, l'argomento è trattato molte volte comunque, anche in fase di boot avast dice che non è possibile accedere al file

Ciao

Lucass

[Fabri]

Strano, eppure più volte gli ho fatto fare una scansione al riavvio e ha scansionato pure quello.. 

[lucass]

A me, restituisce l'errore poi, si sa come sono i computer

Ciao

Lucass

[Eraser]

Penso si tratti di un falso positivo - in effetti se si tratta di Avast poi se ne è parlato molte volte.

In generale comunque, sebbene molto in teoria sarebbe possibile infettare il file di paging, in pratica non ci vedo poi tutti questi grandi vantaggi tali da portare avanti questo attacco.

Ciao

Marco

[bafo77]

hiberfile.sys infetto da W32.CTX
pagefile.sys infetto da W32:lookme-gen

Prima di passare con AVAST o scansionato in successione con: antivirPE, PrevX, VirIT, adwere-lavasoft, kavpesky e non avevano trovato tra tutti circa 1000infezioni ma questi due file no eppure AVAST li rivela.

Sara' un falso positivo ma mi puzza che sto avast molte volte becchi infezioni qui.

Se qualcuno sa qualcosa......

Grazie

[Mr Iko]

Strano, eppure più volte gli ho fatto fare una scansione al riavvio e ha scansionato pure quello.. 

Anche a me, e mi pare l'abbia pure rimosso, a un pc a cui risultava infetto