Inviato November 5, 2006 E' possibile bloccare gli indirizzi conosciuti come dannosi o a cui non volete che qualcuno acceda modificando questo file. (HOSTS) Il file di cui sto parlando, sitrova in queste posizioni: Windows XP = C:\WINDOWS\SYSTEM32\DRIVERS\ETC Windows 2K = C:\WINNT\SYSTEM32\DRIVERS\ETC Win 98/ME = C:\WINDOWS ed è un file SENZA ESTENSIONE ed è possibile editarlo manualmente usando il blocco note, anche se per semplicità vi consiglio di usare questo programmino: ---> HOSTER -------- Copiate, una alla volta le voci qui sotto, inseritele nello spazio apposito e quindi cliccate su "Aggiungi all'Hosts" Le voci da aggiungere sono le seguenti: 127.0.0.1 aagxgbdlztw.com 127.0.0.1 cvoesdjd.com 127.0.0.1 e-46.com 127.0.0.1 fgvmwyfstd8.com 127.0.0.1 ghr5rudiys.com 127.0.0.1 gromozon.com 127.0.0.1 guerdonde.com 127.0.0.1 hk1eyenfzjd7.com 127.0.0.1 idkqzshcjxr.com 127.0.0.1 js.gbeb.cc 127.0.0.1 js.pceb.cc 127.0.0.1 lah3bum9.com 127.0.0.1 mioctad.com 127.0.0.1 mufxggfi.com 127.0.0.1 ou2dkuz71t.com 127.0.0.1 ozkkmkdk.com 127.0.0.1 rac5kymzk6u.com 127.0.0.1 rolahujkzq.com 127.0.0.1 td8eau9td.com 127.0.0.1 uv97vqm3.com 127.0.0.1 wlos.net 127.0.0.1 xearl.com 127.0.0.1 xoboe.com Per questo trucco si ringrazia Marco Giuliani -- collaboratore PrevX --- Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 5, 2006 ma questa procedura serve ad impedire che il pc si possa infettare di linkoptmizer oppure serve a che già ha è infetto? Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 5, 2006 La prima che hai detto.. e non so neppure quanto possa durare, visto il continuo aggiornarsi di questo malware (e quindi penso anche dei rispettivi server, che all'inizio erano solo tre <_< ) comunque almeno da qui lo blocca.... (quelli conosciuti) Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 5, 2006 127.0.0.1 ycvcp1ege8.com 127.0.0.1 rrsmcoooz.com 127.0.0.1 cfvfrfjwarc.com 127.0.0.1 yqrugkkjqgh.com Altri server da aggiungere Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 8, 2006 127.0.0.1 nzrxadrux.com Nuovo server appena scoperto Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 9, 2006 127.0.0.1 izohxdu7lah.com Nuovo server Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 11, 2006 127.0.0.1 yypp6pwk.com Nuovo server Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 11, 2006 Ciao ragazzi , io non credo che sia tanto necessario aggiungere questi IP al file hosts , anche perchè sono tutti chiusi questi domini quando viene sparsa la notizia di un nuovo server .... io questi aggiunti in questo topic li ho provati tutti, e danno tutti lo stesso messaggio ..... Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 11, 2006 Ciao ragazzi , io non credo che sia tanto necessario aggiungere questi IP al file hosts , anche perchè sono tutti chiusi questi domini quando viene sparsa la notizia di un nuovo server .... io questi aggiunti in questo topic li ho provati tutti, e danno tutti lo stesso messaggio ..... Sono dei messaggi falsi, i siti sono attivi, il virus si trova in una "sotto-dominio", dalla pagina iniziale non ci si infetta, ma fa credere che il sito sia stato chiuso. Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 11, 2006 Sono dei messaggi falsi, i siti sono attivi, il virus si trova in una "sotto-dominio", dalla pagina iniziale non ci si infetta, ma fa credere che il sito sia stato chiuso. i siti sono chiusi e quando li si visita , non viene scaricato assolutamente niente ..... anche se è vero che usano il trucco del sottodominio , o forse lo facevano piu prima ... sarebbe comunque un'altro url e un'altro IP a poterci infettare , visti che ne hanno tanti .. quindi non bloccabili dalla modifica del file HOSTS ... PS__premetto che le mie sono solo delle considerazioni personali , quindi non voglio contraddire nessuno e nè tanto meno voglio sconsigliare la modifica del file HOSTS Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 11, 2006 i siti sono chiusi e quando li si visita , non viene scaricato assolutamente niente ..... anche se è vero che usano il trucco del sottodominio , o forse lo facevano piu prima ... sarebbe comunque un'altro url e un'altro IP a poterci infettare , visti che ne hanno tanti .. quindi non bloccabili dalla modifica del file HOSTS ... Ho sbagliato usando il termine "sotto-dominio". Usano il collegamento ad una pagina che non è l'inidce del sito. e.s. Digitando il sito SitoInventato.com si ha la pagina con scritta "Sito chiuso" La pagina che carica il malware invece è SitoInventato.com/Pagina-Con-Virus.php Visitando la pagina iniziale non c'è nessun link alla pagina SitoInventato.com/Pagina-Con-Virus.php quindi sempra un sito realmente chiuso, ma facendo una qualsiasi ricerca con google si trovano migliaia di siti che puntano direttamente alla pagina SitoInventato.com/Pagina-Con-Virus.php Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 11, 2006 anche se il termine sottodominio era sbagliato , comunque ci eravamo capiti ..... quello che volevo dire io , è che questa tecnica veniva usata molto all'inizio della piaga gromozon , ma adesso se ci fai caso ,anche ricercando i nuovi domini su Google o su altri motori , risultano addirittura sconosciuti , o al massimo portano a forum che hanno già trattato la cosa ..... Prima invece i vecchi url ,come giustamente dicevi , portavano a migliaia di pagine collegate a quell'index che risultava "Site is closed" Sono troppo tagliati per adottare sempre le stesse tecniche , per di piu tecniche già smacherate come questa ... Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 11, 2006 anche se il termine sottodominio era sbagliato , comunque ci eravamo capiti ..... quello che volevo dire io , è che questa tecnica veniva usata molto all'inizio della piaga gromozon , ma adesso se ci fai caso ,anche ricercando i nuovi domini su Google o su altri motori , risultano addirittura sconosciuti , o al massimo portano a forum che hanno già trattato la cosa ..... Prima invece i vecchi url ,come giustamente dicevi , portavano a migliaia di pagine collegate a quell'index che risultava "Site is closed" Sono troppo tagliati per adottare sempre le stesse tecniche , per di piu tecniche già smacherate come questa ... Perchè ora il link alla pagina col virus è inserito in uno script offuscato. Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 11, 2006 Perchè ora il link alla pagina col virus è inserito in uno script offuscato. Lo script col malware è inserito in centinaia e centinaia di siti, di cui non si conosce assolutamente niente ..... e quindi assolutamente imprevedibile per certi versi , almeno per l'utente medio.... Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Inviato November 18, 2006 Per chi usa la tecnica di editare il file HOSTS , ecco dei nuovi IP riconducibili ai rootkit Gromozon e DialCall 85.255.112.0 - 85.255.127.255 81.29.240.0 - 81.29.242.63 Condividi questo messaggio Link di questo messaggio Condividi su altri siti
