Reports indicate that Web servers running Windows 2000 Server and IIS that have not applied update 835732, which was addressed by Microsoft Security Bulletin MS04-011, are possibly being compromised and being used to attempt to infect users of Internet Explorer with malicious code.

Kk32.dll

Surf.dat


Questi due sono i files che si creano con questo nuovo buco di sicurezza.

l'US Computer Emergency Reponse Center e l'Internet Storm Center acconsigliano di non usare IE6 fino che non sia risolto il problema. In Windows Update non c'è ancora niente. Qualcuno ne sa di più? Questo è tutto ciò che ho potuto scorpire.

Attentiiiiii!!!!!
:muro:

DOWNLOAD.JECT

Il nome di questo nuovo worm/virus

http://www.microsoft.com/security/incident/download_ject.mspx

Link dove trovate informazione di sicurezza e il modo in cui prevenirsi

http://www.microsoft.com/italy/security/incident/download_ject.mspx


In italiano ;)

Il virus è questo come potete vedere anche dal link della Microsoft

http://securityresponse.symantec.com/avcenter/venc/data/js.scob.trojan.html

http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=JS_SCOB.A

Al momento la diffusione è bassa la symantec da ieri sera ha portato la pericolosità da 1 a 2 ,ma potrebbe anche portarla nelle prossime ore a 3-4


La Trend ha rilasciato questa mattina l'antitodo.

maggiori informazioni qui http://isc.sans.org/ ;)

Ciao

Eraser :)

Originariamente inviato da ercolino
Il virus è questo come potete vedere anche dal link della Microsoft

http://securityresponse.symantec.com/avcenter/venc/data/js.scob.trojan.html

http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=JS_SCOB.A

Al momento la diffusione è bassa la symantec da ieri sera ha portato la pericolosità da 1 a 2 ,ma potrebbe anche portarla nelle prossime ore a 3-4


La Trend ha rilasciato questa mattina l'antitodo.

Ma sarebe qualche buco che sfrutta la vulnerabilità di saser/blaster? O e qualcosa assolutamente diverso

Sapreste dirmi se i prodotti della symantech sono aggiornati?
Grazie.

http://www.hwinit.net/modules/news/article.php?storyid=557

Ecco la soluzione definitiva !!!

http://forum.hwupgrade.it/showthread.php?s=&threadid=671174


;) ;) ;)

non direi che è una soluzione, ma una alternativa :rolleyes:

domani se ho tempo lo installo sulla mia macchina di test (il PC in ufficio :D :D:D )

Avevo appena postato sul thread di firefox, ma riporto anche qua un po' di info utili: innanzitutto la prima notizia era apparsa qualche giorno fa su Repubblica, a questo indirizzo. (http://www.repubblica.it/2004/f/sezioni/scienza_e_tecnologia/attacco/attacco/attacco.html)

Da cui traggo brevemente:

"Il meccanismo dell'attacco è questo: i pirati entrano nel server che ospita il sito, e modificano alcune pagine inserendo un codice maligno. Quando un visitatore apre le pagine modificate, il suo computer contatta un server remoto, e viene infettato. A quel punto, l'aggressore è in grado di entrare nel computer della vittima e di acquisirne il pieno controllo. Tutto avviene senza che l'utente si accorga di nulla.

L'attacco sembra sfruttare alcune gravi falle di prodotti Microsoft: secondo quanto riferito dal Computer emergency readiness team (Cert), i siti colpiti risiedono tutti su server che utilizzano il sistema Microsoft IIS 5, e l'aggressione va a buon fine soltanto se il navigatore visita il sito attraverso il browser Microsoft Internet Explorer.

"Non riporteremo una lista dei siti infetti, in modo da prevenire ulteriori abusi", dichiara l'Internet storm center (Isc) in un comunicato. "Ma possiamo dire che la lista è lunga e comprende organizzazioni di norma immuni da questo tipo di problemi". Secondo l'Isc, il fine ultimo dell'attacco è trasformare tutti i computer infetti in veicoli di spam. Molti indizi lasciano supporre che dietro l'attacco non ci siano hacker comuni, ma qualche gruppo criminale ben organizzato, probabilmente russo."




Successivamente (oggi) PI ha confermato quanto sopra:


http://punto-informatico.it/p.asp?i=48771


Da cui riporto brevemente la parte più interessante:

"Come si è detto, l'attacco sfrutta due vulnerabilità di Windows: la prima, che riguarda Outlook Express, è stata corretta dal big di Redmond con il rilascio del bollettino MS04-013; la seconda, scoperta la scorsa settimana, interessa invece Internet Explorer e, al momento, è ancora senza patch. Quest'ultima falla, di tipo cross zone scripting, può consentire ad un aggressore di aggirare le restrizioni di sicurezza del browser di Microsoft per riversare sul computer della vittima programmi malevoli.

Sono esenti da questi problemi gli utenti che utilizzano un browser differente da IE o abbiano installato la Release Candidate 2 del Service Pack 2 per Windows XP.

Se per fermare l'attacco lato server è sufficiente installare la patch per IIS 5, Microsoft ha spiegato che lato client è necessario affiancare alle ultime patch critiche un firewall personale e un antivirus aggiornato. Il CERT suggerisce anche di disabilitare l'esecuzione degli script, anche se ciò potrebbe inficiare l'apparenza o la funzionalità di alcuni siti.

Il modo più semplice per sapere se un PC è stato infettato è cercare la presenza dei file Kk32.dll e/o Surf.dat: se presenti, Microsoft suggerisce di eliminare il codice malevolo servendosi di un antivirus aggiornato.

Sebbene i danni causati dall'attacco Download.Ject non siano neppure confrontabili con quelli seguiti alle epidemie di worm come Sasser e Blaster, gli esperti temono che questo tipo di minacce possa costituire in breve tempo un pericolo molto serio: ai cracker basterebbe infatti attaccare con successo uno fra i primi cento siti più visitati al mondo per infettare in breve tempo migliaia di PC e utilizzarli, ad esempio, per spedire tonnellate di e-mail pubblicitarie."


Edit: solo ora ho letto anche le info dettagliate su hwinit, del solito ottimo eraser ;)

Scusate ma nel frattempo è cambiato qualcosa riguardo questo virus?

non ci sono stati grossi passi avanti, quindi per ora l'ipotesi più veritiera è quella della mancanza sui server della patch legata al bollettino microsoft MS04-011 :)

Ciao

Eraser :)

Sapreste dirmi se con i nuovi aggiornamenti di win update sono stati risolti i problemi relativi a questo virus?
Grazie.

l'aggiornamento che lo risolve è:

Aggiornamento critico per ADODB.stream (KB870669)

e lo trovi su WU