peopleForFun ~ don’t surf the net, make the waves

ho avuto tra le mani un pc infetto dal bagle.XX.worm, rimuoverlo è stato… scocciante ma non impossibile :)
i sintomi erano cpu al 60/70 %, sto parlando di un intel dual 2.33 GHz, connessione attiva, cioè si intuiva che stava trasferendo/scaricando qualcosa, chiavetta usb infettata da un autorun.inf e nideiect.com, anche il file di registro risultava modificato, privilegi dello user account, cartelle e file nascosti non visibili, inoltre firewall bloccato, antivirus (nod32) e altri programmi inutilizzabili etc etc

la prima cosa è stata una ricerca su google, e un livescan sul sito Eset
tra i vari siti visitati ho trovato molto interessante questa pagina, di un ragazzo che si chiama Maurizio, ci sono anche altri articoli che val la pena di leggere,

dopo lo scan online, che ha trovato ed eliminato 4 bagle, ho staccato la connessione e ho seguito i consigli di Maurizio, tranne il combofix che su winVista non funziona, anzi, alcuni sconsigliano di usarlo (su Vista) perchè potrebbe danneggiare il sistema
a fine procedura sembrava tutto a posto, anche se non sono sicuro che il programma OtMoveIt abbia funzionato, i file temporanei ad esempio li ho cancellati manualmente
mancavano ancora i permessi per l’utente e la visualizzazione dei file nascosti, lanciando regedit mi sono accorto che il file di registro era stato modificato e ho riaggiunto le voci,
questo per le cartelle

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
  00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

e questo per l’account
creazione di una chiave DWORD, nome EnableLua, valore (esadecimale) 0 o 1
qui:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

anche il Centro sicurezza PC Windows era stato disabilitato, (impossibile avviare…), basta andare su pannello di controllo -> Sistema -> Servizi: controllare che sia avviato il servizio RPC e che sia abilitato/avviato il servizio Centro di Protezione

la chiavetta invece è stata pulita con un… Mac :)
alla fine ho rifatto uno scan con nod32 ed è risultato tutto a posto,

almeno per il momento

semplice esempio in as3, si tratta di un trucco, lo stesso utilizzato tempo fa con flash 5 :)
sovrapposizione d’immagine e maschera

da qualche parte nella foto c’è la nostra casetta… ;)

  lente d'ingrandimento (615 KiB, 24 hits)

non so se può servire, cmq… su p4f uso la versione 1.1, dovendo fare un lavoro per un cliente ho preferito la 1.2, ora non sono un esperto di mootools e ovviamente ho perso un po’ di tempo per capire le differenze tra le 2 versioni
se può essere utile di seguito trovate lo script che utilizzo per il rollover nelle 2 versioni, piccoli ma necessari cambiamenti

/* mootools 1.2 */
window.addEvent('domready', function(){
   var links = $$('.myElement','.myElement2');
   links.each( function( el ) {
      var bgcolor = el.getStyle('backgroundColor');
      var color = el.getStyle('color');
         el.addEvents({
            mouseenter: function(){
               this.morph({
               'backgroundColor': '#D60001',
               'color': '#fdfdfd',
               'padding-left': '15px'
         });
      },
            mouseleave: function(){
               this.morph({
               backgroundColor: bgcolor,
               'color': color,
               'padding-left': '5px'
            });
         }
     });
   });
});

/* mootools 1.1 */

var links = $$('.block ul a','.title ul a','.pageLinks a');
links.each( function( lnk ) {
      var fx = new Fx.Styles(lnk, {duration:200, wait:false});
      lnk.bgc = lnk.getStyle('background-color');
      lnk.col = lnk.getStyle('color');
      lnk.addEvent('mouseenter', function(){
         fx.start({
            'background-color': '#D60001',
            'color': '#fdfdfd',
            'padding-left': '15px'
         });
      });
      lnk.addEvent('mouseleave', function(){
         fx.start({
            'background-color': lnk.bgc,
            'color': lnk.col,
            'padding-left': '5px'
         });
      });
   });

e un piccolo esempio
ovviamente in rete ci sono moltissimi esempi di sicuro più esplicativi, basta cercare :)

ed ecco qui il plugin per l’instant search usato in questo sitarello, :)
basta installare il plugin e aggiungere il widget, per qualsiasi problema lasciate un commento
per personalizzare la pagina bisogna editare ajaxsearch.php
testato solo su wordpress 2.6.0

  ajaxSearch (1.8 KiB, 15 hits)

ora pare che funzioni, avevo scritto 2 function con lo stesso nome… :)
ho anche aggiornato un po’ la grafica, sempre del guestbook, implementando un po’ di ajax e la libreria mootools, sfruttata tra l’altro anche dal menù
per i curiosi… la parte di amministrazione del guestbook è quella del plugin dmsguestbook, modificata perchè il database era esistente e con campi diversi (risale al p4f del 2002 o giù di lì), la parte visibile all’utente è riscritta del tutto, non so se a qualcuno possa interessare, ma se serve posto i sorgenti