stemanca
09-01-2003, 15:28
Non so se ne sia già parlato sul forum (dalla ricerca non mi pare), ma nel dubbio io metto un post...
W32.LIRVA.C
------------
In queste ore si sta diffondendo rapidamente sulla rete e anche in Italia un worm le cui caratteristiche distruttive non sono al momento preoccupanti. Si tratta di una variante del meno noto W32.Lirva.A e attacca la piattaforma Windows-Outlook. Le sue caratteristiche sono cosi' particolari che e' senz'altro opportuno farne la conoscenza.
La sua capacita' di diffusione non va comunque sottostimata e il Symantec Security Response ha infatti gia' portato a 2 il livello di attenzione su questo worm, un livello che potrebbe pero' aumentare nel corso delle prossime ore.
COME SI DIFFONDE
----------------
A differenza di altri worm, W32.Lirva non si diffonde solo via posta elettronica ma anche attraverso le chat IRC e ICQ nonche' il network peer-to-peer di KaZaa e su tutte le reti aperte di cui faccia parte un computer infetto.
Il nome del file infetto cosi' come il soggetto dell'email che trasporta il worm puo' variare ampiamente e talvolta riportare il nome della celebre popstar Avril Lavigne.
Se non si aggiorna Microsoft Outlook da piu' di un anno l'email puo' infettare quando viene aperta, anche se non viene lanciato l'allegato (vedi piu' sotto, Come Difendersi).
GLI EFFETTI DEL WORM
--------------------
Qualora si venga colpiti dal worm, Lirva tenta di:
- disabilitare i sistemi antivirus e firewall presenti sul computer
- inviare le password di accesso ad internet al creatore del virus
- collegarsi al sito web.host.kz e scaricare il programma di attacco BackOrifice che viene lanciato e che puo' consentire al creatore del virus di accedere al computer colpito
- nei giorni 7, 11 e 24 del mese il worm re-indirizza il browser dell'utente sul sito www.avril-lavigne.com e sul desktop di Windows pone immagini animate.
Contestualmente il worm si autoinvia a tutti gli indirizzi che trova nella rubrica di Windows e nei file con estensione dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch e idx.
COME DIFENDERSI
---------------
La prima regola per la difesa e' come sempre quella di tenere aggiornati i propri sistemi antivirus e di non aprire email inattese o non richieste. Chi possiede Norton Antivirus puo' facilmente aggiornare il software utilizzando LiveUpdate.
Qualora non si fosse provveduto ad aggiornare il proprio Outlook e' bene ricorrere alla patch resa disponibile da Microsoft al seguente indirizzo:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
ULTERIORI INFORMAZIONI
----------------------
Per conoscere tutti i dettagli del nuovo worm questa e' la URL da seguire:
http://securityresponse.symantec.com/avcenter/venc/data/w32.lirva.c@mm.html
Per saperne di piu' su BackOrifice e' possibile consultare la pagina dedicata del Symantec Security Response:
http://securityresponse.symantec.com/avcenter/venc/data/backorifice.html
Ciao
STE
W32.LIRVA.C
------------
In queste ore si sta diffondendo rapidamente sulla rete e anche in Italia un worm le cui caratteristiche distruttive non sono al momento preoccupanti. Si tratta di una variante del meno noto W32.Lirva.A e attacca la piattaforma Windows-Outlook. Le sue caratteristiche sono cosi' particolari che e' senz'altro opportuno farne la conoscenza.
La sua capacita' di diffusione non va comunque sottostimata e il Symantec Security Response ha infatti gia' portato a 2 il livello di attenzione su questo worm, un livello che potrebbe pero' aumentare nel corso delle prossime ore.
COME SI DIFFONDE
----------------
A differenza di altri worm, W32.Lirva non si diffonde solo via posta elettronica ma anche attraverso le chat IRC e ICQ nonche' il network peer-to-peer di KaZaa e su tutte le reti aperte di cui faccia parte un computer infetto.
Il nome del file infetto cosi' come il soggetto dell'email che trasporta il worm puo' variare ampiamente e talvolta riportare il nome della celebre popstar Avril Lavigne.
Se non si aggiorna Microsoft Outlook da piu' di un anno l'email puo' infettare quando viene aperta, anche se non viene lanciato l'allegato (vedi piu' sotto, Come Difendersi).
GLI EFFETTI DEL WORM
--------------------
Qualora si venga colpiti dal worm, Lirva tenta di:
- disabilitare i sistemi antivirus e firewall presenti sul computer
- inviare le password di accesso ad internet al creatore del virus
- collegarsi al sito web.host.kz e scaricare il programma di attacco BackOrifice che viene lanciato e che puo' consentire al creatore del virus di accedere al computer colpito
- nei giorni 7, 11 e 24 del mese il worm re-indirizza il browser dell'utente sul sito www.avril-lavigne.com e sul desktop di Windows pone immagini animate.
Contestualmente il worm si autoinvia a tutti gli indirizzi che trova nella rubrica di Windows e nei file con estensione dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch e idx.
COME DIFENDERSI
---------------
La prima regola per la difesa e' come sempre quella di tenere aggiornati i propri sistemi antivirus e di non aprire email inattese o non richieste. Chi possiede Norton Antivirus puo' facilmente aggiornare il software utilizzando LiveUpdate.
Qualora non si fosse provveduto ad aggiornare il proprio Outlook e' bene ricorrere alla patch resa disponibile da Microsoft al seguente indirizzo:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
ULTERIORI INFORMAZIONI
----------------------
Per conoscere tutti i dettagli del nuovo worm questa e' la URL da seguire:
http://securityresponse.symantec.com/avcenter/venc/data/w32.lirva.c@mm.html
Per saperne di piu' su BackOrifice e' possibile consultare la pagina dedicata del Symantec Security Response:
http://securityresponse.symantec.com/avcenter/venc/data/backorifice.html
Ciao
STE