Condividi:        

! Segnalazione Alert di Nuovi Virus !

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

! Segnalazione Alert di Nuovi Virus !

Postdi piercing » 13/08/03 00:08

Con la collaborazione di amvinfe abbiamo deciso di aprire questo topic, per aggiornare tempestivamente sull'uscita di nuovi virus.

Terrò il topic marchiato come importante, ma vi prego di limitare i commenti a ciò che risulta essere strettamente necessario... Farò comunque pesante uso di forbici ;)

Nel caso voleste approfondire un virus specifico... o perchè ve lo siete preso... o per pura curiosità... aprite pure un topic apposito...
Ultima modifica di piercing su 11/09/04 14:48, modificato 3 volte in totale.
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Sponsor
 

Postdi amvinfe » 13/08/03 14:30

W32.Blaster.Worm descrizione e rimozione.


Descrizione:

W32.Blaster.Worm è un worm che sfrutta una vulnerabilità nell’interfaccia RPC/DCOM (Remote Procedure Call – Distributed Component Object Model).
La vulnerabilità sembra che colpisca solo S.O. su piattaforma NT (NT, XP, 2000), ma non è escluso che S.O su piattaforma 9x (95, 98, ME) possa creare lo stesso problemi sia di riavvio che di crash.
Ma come fa il worm a sfruttare questa vulnerabilità sui S.O. non patchati?
Come prima cosa scansione un numero di IP in maniera casuale collegandosi sulla porta 135 in TCP ed inizia ad inviare dati che gli serviranno per verificare la presenza di macchine non patchate, quando ne trova una genera una shell utile per collegarsi da remoto facendo in modo che la shell di sistema CMD.EXE sia in ascolto sulla porta 4444 in TCP.
Dopodiché cerca di trasferire il file msblast.exe (compresso in UPX) attraverso il servizio TFTP (questo servizio viene installato per difetto nei sistemi XP, 2000 e Server 2003), rimanendo in ascolto sulla porta 69 UDP, il file infetto verrà collocato in System32.

N.B.
TFTP (Trivial File Transfer Protocol)
È una versione semplificata del protocollo FTP (File Transfer Protocol) e permette il trasferimento di archivi fra due macchine connesse alla rete.

Una volta infettata la macchina crea un mutex (BILLY) questo per evitare che eventuali copie del worm presenti sulla macchina agiscano contemporaneamente.
Crea una nuova chiave nel registro
”windows auto update" = MSBLAST.EXE nella chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

All’interno del suo codice è presente questa striscia di testo non visibile all’utente infettato.
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ?
Stop making money and fix your software!!
Da menzionare anche che il worm dal giorno 16 Agosto e fino all’ultimo giorno dell’anno in corso tenterà diversi attacchi DoS (Denial of Service) ai danni del sito windowsupdate.com, un po’ come è accaduto lo scorso 11 Agosto.


Rimozione:

Aprite la task (CTRL+SHIFT+ESC in NT, XP, 2000) (CTRL+ALT+CANC in ME)
terminate il processo MSBLAST.EXE
chiudete la task e riapritela per verificare d'avere effettivamente terminato il processo.

Eliminare il file MSBLAST.EXE in C:\Windows\System32 o C:\WINNT\System32

Portatevi in Start>Esegui => regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CurrentVersion\Run
ed elimate dal pannello di dx il valore
”windows auto update" = MSBLAST.EXE
Chiudete il registro.


Disabilitare il System Restore, riavviare e riabilitarlo.

Installare la patch Microsoft.
N.B.
Dopo l'installazione della patch RIAVVIARE la macchina per permettere l'aggiornamento.

Installate un Firewall.


Link utili:

Patch Microsoft
tool Symantec
tool Bitdefender
tool stinger N.A.I.





Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

W32.Blaster.B.Worm

Postdi amvinfe » 13/08/03 17:12

La Symantec avvisa attraverso il suo sito di una nuova variante di W32.Blaster.worm.
W32.Blaster.B.Worm questa è la nuova variante, al momento l'unico dettaglio rilasciato è che il suo eseguibile ha questo nome Penis32.exe

http://securityresponse.symantec.com/av ... .worm.html


Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi BianConiglio » 18/08/03 12:56

Leggermente offtopic.. per una segnalazione abbastanza tempestiva degli ultimi virus dei quali l'utente medio dovrebbe preoccuparsi è utile iscriversi alla newsletter SALVA PC di punto-informatico http://punto-informatico.it/r/nuova.asp

Se pensate di essere infetti da un virus di cui consocete il nome, cercate il removal tool ( per rimuoverlo ) o le istruzioni di rimozione manuale sul sito

http://it.trendmicro-europe.com/
o
http://securityresponse.symantec.com/
( o cmq un sito di case antivirus )
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi dado » 19/08/03 18:52

Riporto direttamente dalla newsletter di SalvaPc che comunica l'arrivo di un nuovo virus: Welchia.


WORM SEMPRE PIU' PERICOLOSO
---------------------------

Si chiama Welchia (o anche Nachi-a) e nonostante sia stato scoperto solo ieri gia' sta facendo tremare i computer e i server Internet non opportunamente patchati. Welchia, oltre ad attaccare la stessa vulnerabilita' di Blaster (DCOM RPC, oggetto dello scorso SalvaPC) sfrutta un ulteriore buco di sicurezza per il quale Microsoft aveva gia' rilasciato una patch nello scorso marzo.

CHI VIENE COLPITO
-----------------

I sistemi Windows e in particolare quelli che utilizzano i servizi RPC e WebDAV, tra loro quelli piu' a rischio sono Windows 2000 e XP. Windows 95/98/Me non utilizzano i servizi RPC e WebDAV e sono quindi immuni.
In particolare sono soggetti a Bluster i server web e i computer connessi a Internet che non hanno installato le patch Microsoft.

COME FUNZIONA
-------------

Come per Blaster il virus tenta di entrare nel computer dalla porta TCP 135 (per attaccare via RPC) nelle macchine con WindowsXP, mentre sfrutta la porta TCP 80 (quella comunemente utilizzata per il Web) per i sistemi dotati di Internet Information Server 5.0.

Questo worm e' capace di debellare Blaster ma potrebbe rendere instabile il sistema e arriva ad installare un TFTP server compromettendo la sicurezza della macchina. Automaticamente il worm prova quanti indirizzi IP possibili per tentare di insinuarsi in un sempre maggiore numero di computer connessi a Internet.

COME RICONOSCERLO
-----------------

Una volta entrato nel sistema Welchia crea due servizi ex novo che ne segnalano la presenza. Questi sono:
- "RpcTftpd", descritto come "Network Connections Sharing"
- "RpcPatch", descritto come "WINS Client"
Entrambi i servizi sono impostati per essere avviati automaticamente e di fatto avviano Welchia, che dopo la sua comparsa nel computer infettato subito lo riavvia per poter entrare in azione.

CHE DANNI PROVOCA
-----------------

Come si e' detto sopra potrebbero verificarsi problemi, anche dopo la rimozione del worm, con i servizi che sfruttano RPC. Inoltre, l'attivazione di un server TFTP consente teoricamente a chiunque di accedere al file system della macchina rimasta infetta, pregiudicandone notevolmente la privacy.

COME DIFENDERSI
---------------

Fondamentale e' installare le patch per le vulnerabilita' sfruttate da Welchia. Per farlo e' sufficiente collegarsi al sito Microsoft ai seguenti indirizzi:
http://www.microsoft.com/technet/treevi ... 03-026.asp
http://www.microsoft.com/technet/treevi ... 03-007.asp

Symantec ha reso disponibile un tool per rimuovere Welchia, disponibile da questo link:
http://securityresponse.symantec.com/av ... .tool.html

Aggiornare il proprio sistema antivirus.

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi amvinfe » 19/08/03 20:36

Altri due worms da tenere d'occhio, entrambi si propagano via mail ed entrambi hanno un livello d'attenzione (Symantec) 3
La Symantec ha già rilasciato le firme, qualora la macchina sia già infetta sono stati rilasciati i relativi tools

http://securityresponse.symantec.com/av ... ru@mm.html

http://securityresponse.symantec.com/av ... .f@mm.html



Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi piercing » 06/09/03 14:11

W32/Blaxe.worm Made in Italy :!:

Il rischio è basso ma è carino perchè è frutto di casa nostra...
Si prende dai programmi di file sharing...

http://vil.nai.com/vil/content/v_100607.htm
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi JollyRogers » 12/09/03 17:28

Nuova falla in Windows e nuovo rischio Worm ... :roll:

http://punto-informatico.it/p.asp?i=45198
JollyRogers
Utente Senior
 
Post: 106
Iscritto il: 09/11/02 17:59

Dietro un falso messaggio Microsoft si nasconde W32.Swen.A@m

Postdi amvinfe » 18/09/03 21:16

E' un worm che si propaga via mail, KaZaa, via IRC.
Come testo mail può avere un falso messaggio Microsoft
Immagine

Prestate la massima attenzione in quanto si prevede una larga diffusione!

W32.Swen.A@mm




Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi amvinfe » 18/09/03 21:54

Alcune mail possono sfruttare questo bug. Il bug colpisce IE 5.01 SP1 e 5.5 SP1 non patchati, in Internet Explorer 6 il bug è stato corretto.


Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi amvinfe » 18/09/03 21:56

amvinfe ha scritto:Alcune mail possono sfruttare questo bug. Il bug colpisce IE 5.01 SP1 e 5.5 SP1 non patchati, in Internet Explorer 6 il bug è stato corretto.


Marco(amvinfe)


Ovviamente non è il bug che colpisce IE, ma il worm.

Ma perchè non inserite nuovamente la funzione "modifica" ???????
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi amvinfe » 18/09/03 23:13

E' stato rilasciato dalla Bitdefender il fix per la rimozione automatica.


Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi amvinfe » 19/09/03 07:54

La Symantec ha modificato il numero della gif che descriveva la mail, questa è la giusta immagine
Immagine
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi amvinfe » 19/09/03 16:09

Rimozione W32.Swen.A@mm



Bisogna come prima cosa disabilitare il Ripristino di configurazione di Sistema, ma purtroppo se si viene infettati da questo worm il tasto dx potrebbe non funzionare più, quindi bisogna disattivare questa funzione seguendo un altro percorso, vediamo quale.

Procurarsi questo fix per la rimozione automatica.
SCOLLEGARSI DA INTERNET!!!
Eliminare tutte le mail infette.
Portarsi su Pannello di Controllo>Sistema click su "Ripristino configurazione di sistema" abilitate la casellina "Disattiva Ripristino configurazione di sistema su tutte le unità", ciccate poi su OK.
Riavviate il computer per permettere le modifiche.
Riavviate nuovamente in modalità provvisoria (premete il tasto F8 al caricamento del sistema operativo), IMPORTANTE!!! Disabilitate il vostro antivirus prima di lanciare la scansione con il fix!!! E lanciate il fix per la rimozione automatica.
Riavviate in modalità normale, riattivate il “Ripristino di configurazione di Sistema” togliendo la spunta da "Disattiva Ripristino configurazione di sistema su tutte le unità", riavviate in modalità provvisoria E SEMPRE CON L’ANTIVIRUS DISABILITATO!!! Fate girare nuovamente il fix_tool e se è tutto a posto riavviate un’ultima volta in modalità normale.

Da quanto affermato dalla Bitdefender, questo fix_tool è in grado di ripristinare anche le chiavi di registro modificate dal worm.



Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi piercing » 20/09/03 14:55

Ecco la tipica email di Swen... un vero capolavoro... ci cascherà mezzo mondo!!! ;)

Immagine
Ultima modifica di piercing su 23/09/03 00:08, modificato 1 volte in totale.
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi amvinfe » 20/09/03 18:00

piercing ha scritto:Ecco la tipica email di Swen... un vero capolavoro... ci cascherà mezzo mondo!!! ;)

[img]

l'ho già modificata due volte (continuano a modificare il numero delle .gif su Symantec), speriamo che almeno la tua duri un po' di più :D
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi JollyRogers » 22/09/03 22:43

Virus su WinMx:

Guardate all'interno dei vostri file condivisi se si trova una certa cartella Kernell/ (grandezza variabile tra 0,05 MB e 0,08 MB) contenente circa 600 virus (tutti sotto falso nome)

All'apertura di WinMx la cartella si autocondivide ...

Questo è l'elenco dei file contenenti il virus

Qui se ne parla

Si tratta di un Worm, W32.HLLW.Blaxe
JollyRogers
Utente Senior
 
Post: 106
Iscritto il: 09/11/02 17:59

w32.marque@mm: worm con allegato Zelig.scr

Postdi amvinfe » 25/10/03 00:51

amvinfe ha scritto:http://securityresponse.symantec.com/avcenter/venc/data/w32.marque@mm.html



Non ci sono ancora molti dettagli in merito, ma se ne prevede una larga diffusione.



Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi dado » 25/10/03 10:57

Riguardo alla segnalazione di amvinfe sul virus 'zelig', ecco un approfondimento di SalvaPC (P.I.).

UNA EMAIL SOSPETTA
------------------

Nelle ultime ore si sta diffondendo sempre di piu' sulla rete italiana un messaggio di posta elettronica in italiano che invita a scaricare uno screen saver (salva schermo) di Zelig, la popolare trasmissione televisiva.

Sono pero' diverse le ragioni che inducono a ritenere che si tratti di un worm, se non anche di un trojan: prima fra tutte il testo del messaggio, sempre uguale e l'indirizzo del mittente dell'email, sempre diverso.

Gli esperti sono tuttora al lavoro per capire quali siano con esattezza gli effetti del file una volta aperto. SalvaPC consiglia di non scaricare il file sul proprio computer prima che i tecnici abbiano concluso le loro analisi.

Di certo in questo momento nessun antivirus e' in grado di individuare questo file come un worm.

COME RICONOSCERE IL MESSAGGIO INFETTO
-------------------------------------

Come detto, il mittente dell'email e' sempre diverso e potrebbe corrispondere all'email di un utente che e' stato colpito dal worm.
Il soggetto del messaggio e' invece sempre lo stesso: Il momento e' catartico.

Nel corpo del messaggio si trova sempre lo stesso testo:

Ricevo e cortesemente inoltro,.... un premio per la genialita'
hanno reso mitico un salva schermo scaricalo, poesie catartiche, che non sai cosa ti perdi
ciao

Dove "poesie catartiche" e' linkato ad una pagina accedendo alla quale viene richiesto di scaricare il file sospetto.

UN SITO SPARAVIRUS?
-------------------

Senza biosgno di ulteriori click, accedendo al sito viene richiesto lo scaricamento di Zelig.scr.

Sul sito, francescone.com/index.html, si trova una sola frase:
Il momento e' catartico... per parafrasare un noto comico di ZELIG !!!

COME COMPORTARSI
----------------

Al momento la cosa migliore da fare e' evidentemente evitare di aprire o scaricare il file o, ancor meglio, di recarsi sul sito pubblicizzato dalle email infette.

Nelle prossime ore e' probabile che i maggiori produttori di antivirus metteranno a punto aggiornamenti specifici per individuare e bloccare il probabile worm. E' anche possibile, anche se appare per ora improbabile, che si tratti di una bufala ben organizzata.

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi amvinfe » 25/10/03 16:22

Sono andato sul sito da dove è possibile lo scaricamento del file infetto, ho effettuato il download ed il mio antivirus (aggiornato) ha bloccato il download.
Poi ho voluto fare un'altra prova, ho visitato in sequenza e per più volte il sito ed ho chiuso la finestra del download con la funzione "annulla", lo scaricamento del file non è avvenuto, ma quando ho provato a cliccare sul bottone "X" della stessa finestra il download è partito in automatico. Quindi verificate con attenzione d'avere le definizioni virali del vostro anrivirus aggiornate ;)


Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "! Segnalazione Alert di Nuovi Virus !":


Chi c’è in linea

Visitano il forum: Nessuno e 85 ospiti