Domanda Risolto Dubbio se sito streaming ha installato un malware

Stato
Discussione chiusa ad ulteriori risposte.

Jack639

Utente Iron
23 Settembre 2023
22
4
2
12
Ciao a tutti, poco fa ho deciso di guardare un film su un sito streaming casuale(il primo che mi è capitato dopo la ricerca) e quando ho cliccato per iniziare a guardalo mi si è aperta una scheda e successivamente il mio computer si è riavviato da solo. adesso non so se sono riusciti a installare qualche malware o è solo il modo in cui il pc affronta delle minacce. ho provato a fare una scansione con il programma malwarebytes (la versione free che è l'unica che ho), e mi dice che non c'è nessun malware; inoltre non ho potuto fare una scansione con un antivirus(perché non c'è l'ho), se potreste darmi consigli su come affrontare il pericolo o scoprire cosa sia successo, ve ne sarei grato(dopo aver fatto il login non sembrava esserci nulla di sospetto, inoltre ho provato a guardare in gestione attività per vedere se ci fossero processi che non sembravano "normali" ma non sono molto esperto, e quindi non so quali potrebbero rappresentare una minaccia)
 
Nessun OS affronta gli attacchi riavviandosi da solo, piuttosto quello che hai descritto mi ha fatto pensare ad un buffer overflow finito male (molto male) per l'attaccante. Comunque non è possibile formulare una diagnosi corretta senza sapere dettagli addizionali:

  • Browser che usi;
  • Versione (build) del browser;
  • OS in uso
Quando faccio gli esperimenti con i buffer overflow desidero tutto tranne che vedere la VM crashare a causa di un'area di memoria che non doveva essere sovrascritta dall'exploit. Ma potrebbe essere anche che avevi un reboot in coda per qualche app che si doveva aggiornare, e si è triggerato da solo. Fammi sapere.
 
Sì questo è javascript injection finito male, e probabilmente sei crashato perché il codice intendeva colpire una versione di Windows o di Firefox più vecchia. L'exploit avrà sovrascritto regioni di memoria sbagliate facendo crashare Windows. Era più preoccupante se apparentemente non succedeva niente, come nel caso di CVE-2021-21220, un vecchio exploit che sfruttava una falla in Google Chrome alla build 89/90.
 
  • Mi piace
Reazioni: Jack639
Ultima modifica:
Sì questo è javascript injection finito male, e probabilmente sei crashato perché il codice intendeva colpire una versione di Windows o di Firefox più vecchia. L'exploit avrà sovrascritto regioni di memoria sbagliate facendo crashare Windows. Era più preoccupante se apparentemente non succedeva niente, come nel caso di CVE-2021-21220, un vecchio exploit che sfruttava una falla in Google Chrome alla build 89/90.
A posto allora, grazie per avermi aiutato
Messaggio unito automaticamente:

Nessun OS affronta gli attacchi riavviandosi da solo, piuttosto quello che hai descritto mi ha fatto pensare ad un buffer overflow finito male (molto male) per l'attaccante. Comunque non è possibile formulare una diagnosi corretta senza sapere dettagli addizionali:

  • Browser che usi;
  • Versione (build) del browser;
  • OS in uso
Quando faccio gli esperimenti con i buffer overflow desidero tutto tranne che vedere la VM crashare a causa di un'area di memoria che non doveva essere sovrascritta dall'exploit. Ma potrebbe essere anche che avevi un reboot in coda per qualche app che si doveva aggiornare, e si è triggerato da solo.
Un consiglio: è bene installare un antivirus gratuito open source, come clamAV e armadito (che ho letto in un post qui sul forum), oppure non esistono antivirus gratuiti(sempre letto qui) che facciano il loro pieno lavoro? Te lo chiedo anche perché al momento non posso pagare un abbonamento per un antivirus
 
Vuoi il 300% della sicurezza? Guardali da virtual box, o da un dispositivo che non usi mai. Gli AV sono buoni ma possono fallire.
 
Se si è riavviato il sistema senza bluescreen o crash allora difficilmente è opera di un exploit, più probabile che sia stato qualche programma che hai installato prima, un aggiornamento con riavvio pianificato o che hai problemi con le temperature (plausibilmente triggerato da qualche script miner nel browser).

Sì questo è javascript injection finito male, e probabilmente sei crashato perché il codice intendeva colpire una versione di Windows o di Firefox più vecchia. L'exploit avrà sovrascritto regioni di memoria sbagliate facendo crashare Windows. Era più preoccupante se apparentemente non succedeva niente, come nel caso di CVE-2021-21220, un vecchio exploit che sfruttava una falla in Google Chrome alla build 89/90.

I crash causati da vecchie CVE si dovrebbero verificare solo se la patch è assente, incompleta o fatta male, se hai il browser aggiornato non dovrebbe mai crashare, anche provando tutti gli exploit usciti fino alla versione precedente. E infatti qui non è crashato il browser, se è crashato qualcosa è proprio l'OS e un exploit per causare questo deve essere una privilege escalation oppure una browser sandbox escape particolarmente invasiva, il che avrebbe sottinteso che l'exploit di remote code execution per arrivare lì ha funzionato e non è patchato, insomma avresti dovuto beccare una chain di 0day ed è molto molto difficile.

Per il resto, come dice Access Denied, se vuoi stare in una botte di ferro usa una VM, comunque tenendo tutto aggiornato le possibilità di infettarti in questo modo sono pochissime e trascurabili.
 
Comunque esistono dei malware che se vedono Virtual Box si disattivano per convincerti ad eseguire programmi sul main OS, quest'operazione è facilmente attuabile verificando la presenza di sysdriver peculiari di Virtual Box, VMware, ecc. e se i malware vedono questi driver vanno in sleep mode, sperando che tu pensi che è sicuro, ma poi quando vai ad eseguire lo stesso programma sul main si attivano, e iniziano la routine di infezione. Se vuoi proprio la sicurezza maniacale quando fai queste cose sempre, e solo tutto da virtual box (anche se dopo l'esecuzione sembra tutto a posto). So che è pesante come cosa da fare, ma ci guadagni tutto in sicurezza, per l'appunto
 
Se si è riavviato il sistema senza bluescreen o crash allora difficilmente è opera di un exploit, più probabile che sia stato qualche programma che hai installato prima, un aggiornamento con riavvio pianificato o che hai problemi con le temperature (plausibilmente triggerato da qualche script miner nel browser).
cosa intendi con crash del sistema? Perché diciamo che ho visto una schermata nera per un po' di tempo e poi la pagina di login, non so se era un vero riavvio, però alla pagina di login l'ho riavviato io manualmente(schiacciando il pulsante di spegnimento)
 
cosa intendi con crash del sistema? Perché diciamo che ho visto una schermata nera per un po' di tempo e poi la pagina di login, non so se era un vero riavvio, però alla pagina di login l'ho riavviato io manualmente(schiacciando il pulsante di spegnimento)

Per bluescreen intendo la classica Blue Screen Of Death che viene mostrata alcuni secondi prima del riavvio:

windows-new-bsod-featured.jpg
unmountable-boot-volume-1514793945.png


Si può verificare per migliaia di motivi, in sostanza qualcosa è andata male in una parte critica del sistema e non è possibile prevedere cos'altro si è rotto né la vera causa del problema in primo luogo (si sa solo tipo di errore e alcune info sul driver che è esploso), quindi non potendo essere certi di riuscire a riportare stabilità viene fatto un dump della memoria (per far debuggare il problema a gli esperti) e poi forzato il riavvio. In contesto di exploit può significare che è riuscito ad eseguire codice o comunque a modificare il comportamento del kernel ma questa modifica non ha funzionato come previsto: ha fatto una "mossa illegale" di qualche tipo come scrivere a indirizzi non validi o dove non aveva i permessi giusti, ha corrotto lo stack, va in deadlock, "perde" la race condition... E questo è facile che succede con gli aggiornamenti perché magari l'exploit dava per scontate alcune cose che nelle versioni dopo sono cambiate, anche senza patch.

Se non l'hai vista cosa hai visto esattamente? Schermata nera di botto e poi login? Niente attendi, niente riavvio in corso? Che versione di Windows hai?
 
esatto, era una sorta di ibernazione, forse per la preoccupazione ho schiacciato subito la pagina del login e non me ne ero neanche accorto
Vabbè ma comunque tranquillo perché è quasi impossibile che Windows non recuperi da un BSOD, e in sicurezza offensiva per me è BSOD = attack failed.
Poi ci sono dei troll che si divertono a dossare gli altri con questa tecnica, ma almeno per quanto concerne gli aspiranti più seri (che siano in buona o in cattiva fede) un BSOD equivale a un attacco andato male. L'unico rischio concreto legato al BSOD di per sé è che puoi perdere il cosiddetto "lavoro in corso", ma alcuni programmi noti come Office, e alcuni browser, hanno preso contromisure contro i BSOD, salvando automaticamente i file temporanei della sessione precedente
 
Vabbè ma comunque tranquillo perché è quasi impossibile che Windows non recuperi da un BSOD, e in sicurezza offensiva per me è BSOD = attack failed.
Poi ci sono dei troll che si divertono a dossare gli altri con questa tecnica, ma almeno per quanto concerne gli aspiranti più seri (che siano in buona o in cattiva fede) un BSOD equivale a un attacco andato male. L'unico rischio concreto legato al BSOD di per sé è che puoi perdere il cosiddetto "lavoro in corso", ma alcuni programmi noti come Office, e alcuni browser, hanno preso contromisure contro i BSOD, salvando automaticamente i file temporanei della sessione precedente
Ok adesso sono più tranquillo, grazie
 
Stato
Discussione chiusa ad ulteriori risposte.