Enorme problema con un worm...

[Alberto80]

Innanzitutto chiedo scusa se l'argomento è trito e ritrito, ma andando nella history del forum non ho trovato nulla che potesse aiutarmi. Vi spiego la mia situazione...
Circa una settimana fa ho ricevuto una e-mail da un mio amico, con subject che diceva "Se lo fai, fallo al meglio", e con un inquietante messaggio "Occhio all'allegato ;-)", che comunque non era presente (almeno ufficialmente)... Inutile dire che avevo l'anteprima di Outlook Express attivata, e che, come un perfetto idiota, ero sfornito dell'antivirus! Purtroppo, da quel momento, sono iniziate le mie peripezie...
Infatti, nella giornata stessa, ricevo una vagonata di e-mail (circa trenta) da svariati postmaster (libero, clarence, hotmail e via dicendo...) sostenenti che stavo mandando messaggi di posta elettronica infetti in giro per il globo (indirizzi a caso, neanche della mia rubrica, appositamente cancellata dal sottoscritto). Uno di questi postmaster (Clarence) mi informa, attraverso il suo antivirus (NAV, se non erro) che i miei "messaggi casuali" erano infetti dal Worm Klez... Inutile dire che avevo installato antivirus, e downloadato tutti i tool possibili di rimozione per il Klez, Navidad, Bugbear e via dicendo. Eppure tutti gli antivirus da me provati (InoculateIT, Norton, e per ultimo NOD32) con tools annessi non hanno funzionato.
Decido di formattare il tutto (ho WinXP Professional, senza la Service Pack1), e di vedere se risolvo qualcosa; e puntualmente tutto torna come prima. Premetto che ho due HD: uno di sistema (che ho formattato) e uno di dati (che ovviamente non ho potuto formattare).
Cosa devo fare? A questo punto dev'essere un Klez per forza, ma non riesco a toglierlo! Ho anche provato una rimozione manuale, spulciando nel registro di sistema, ma nulla...
Devo buttare il PC? Così come l'ho fatto, lo posso distruggere...
Grazie anticipatamente!

[amvinfe]

Come prima cosa il virus in questione non è Klez, ma W32/Higuy-A .
E' un virus italiano (quindi essendo compatriota) è anche facile da togliere... , fai quanto segue:
nei S.O. 9x e ME premi Ctrl+Alt+Canc nei S.O. NT/2000/XP premi CTRL+SHIFT+ESC . Dalla lista cancella i files “Dlmgr32”
“dllmgr32.exe”, verifica che i files siano stati effettivamente eliminati chiudendo e riaprendo la Task Manager, chiudi.
Vai in HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run e cancella "DllManager”, chiudi il registro, riavvia e vedi se hai amcora problemi. Un consiglio spassionato, e se al posto di questo virus, la tua macchina veniva infettata da qualcosa di più serio???
Marco(amvinfe)

[Alberto80]

Purtroppo hai ragione, avrei dovuto installare un antivirus, mea culpa...

Comunque ho seguito i tuoi consigli, ma non ho visto l'eseguibile da te citato, né tra i servizi avviati col Task Manager, né nel registro di sistema...
Ecco i tasks avviati:




Come vedi, non c'è...

[amvinfe]

Beh, se non hai neanche il file DLLMGR32.EXE nella directory WINDOWS allora stai tranquillo. Sicuro che nell'e-mail c'era l'allegato? Allegato che poteva essere: TETTONA.EXE, EURO.EXE , TATOO.EXE
Marco(amvinfe)

[Alberto80]

No, non aveva allegati! Almeno non erano visibili, dato che la classica "graffetta" sul messaggio di Outlook non c'era...
Per sicurezza ho controllato su tutti e due i dischi, e non c'è traccia dell'eseguibile "DLLMGR32.EXE"

Questo è il testo tipico delle risposte che mi arrivano, a caso, dai postmaster:


These recipients of your message have been processed by the mail server:
[email protected]; Failed; 4.4.7 (delivery time expired)


--------------------------------------------------------------------------------


Return-Path: <[email protected]>
Received: from Oguhtu (151.25.175.70) by smtp1.libero.it (6.5.028)
id 3D9DC1530001DD59 for [email protected]; Fri, 4 Oct 2002 22:22:02 +0200
From: inesanta <[email protected]>
To: [email protected]
Subject: A very funny game
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=GHLC006n574J8o39yk267M8X0h1t9F


Mentre questo è il messaggio di Libero&Sicuro:

Ti informiamo che il file inUrl.exe conteneva il virus W32.Klez.H@mm che Libero&Sicuro non ha potuto eliminare, ed e' percio' stato rimosso

Con i dettagli relativi:

Return-Path: <>
Received: from smtp2.libero.it (193.70.192.52) by ims1b.libero.it (6.5.028)
id 3D9D716A0013E453 for [email protected]; Mon, 7 Oct 2002 20:50:01 +0200
Received: from hurricane1 (193.70.194.61) by smtp2.libero.it (6.5.028)
id 3D9DBC0800137AEB for [email protected]; Mon, 7 Oct 2002 20:50:01 +0200
Received: from smtp6.libero.it (193.70.192.59) by ims1b.libero.it (6.5.028)
id 3D9D716A0013E2FA for [email protected]; Mon, 7 Oct 2002 20:49:01 +0200
Received: from omr-d08.mx.aol.com (205.188.156.76) by smtp6.libero.it (6.5.028)
id 3D9774AC015E0E8D for [email protected]; Mon, 7 Oct 2002 20:49:01 +0200
Received: from rly-xg02.mx.aol.com (rly-xg02.mail.aol.com [172.20.115.199]) by omr-d08.mx.aol.com (v86_r1.15) with ESMTP id RELAYIN9-1007144736; Mon, 07 Oct 2002 14:47:36 2000
Received: from localhost (localhost)
by rly-xg02.mx.aol.com (8.8.8/8.8.8/AOL-5.0.0)
with internal id OAN11055;
Mon, 7 Oct 2002 14:45:42 -0400 (EDT)
Date: Mon, 7 Oct 2002 14:45:42 -0400 (EDT)
From: Mail Delivery Subsystem <[email protected]>
Message-Id: <[email protected]>
To: <[email protected]>
Subject: Returned mail: User unknown
Auto-Submitted: auto-generated (failure)
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="LORTVXZbegilnprtvxz13579BDFIKMOQSUXZbdfhjlnprtvxz1368ACEHJLNPRTV"
X-BLTSYMAVREINSERT: OFng156hqD1cQksQ2a5CBmHAtt8A


Attualmente uso il NOD32, e non rileva niente, né in entrata, né in uscita...

[Alberto80]

Come vedi gli indizi portano al Klez... Ma non ci sono i segnali tipici, sul mio PC, della presenza del Klez!

Che nervi!

[amvinfe]

Quote:

Originariamente inviato da Alberto80
[b]Circa una settimana fa ho ricevuto una e-mail da un mio amico, con subject che diceva "Se lo fai, fallo al meglio", e con un inquietante messaggio "Occhio all'allegato ;-)", che comunque non era presente (almeno ufficialmente)...

Se il subject della mail era quello allora si trattava di W32/Higuy@MM http://vil.nai.com/vil/content/v_99524.htm questo per quanto riguarda l'e-mail speditati "indirettamente" dal tuo amico e con oggetto "Se lo fai, fallo al meglio" e con un allegato che evidentemente non c'era "Occhio all'allegato ;-)", (infatti non credo che lui abbia colpe, ma piottosto mi preoccuperei di dirgli di verificare la presenza o meno sul suo Pc di questo virus)

Mentre questo messaggio di Libero&Sicuro:

Ti informiamo che il file inUrl.exe conteneva il virus W32.Klez.H@mm che Libero&Sicuro non ha potuto eliminare, ed e' percio' stato rimosso.

ti fa capire che LIBERO non ha potuto fare altro che eliminarlo, vista la presenza del virus Klez, e rimuovere tutta l'e-mail, e questa è una mail che comunque tu non hai mai ricevuto o ho capito male? Ma hai solo ricevuto la notifica da Libero?!?

Quindi una volta appurato di non aver nessun file sulla tua macchina che riguarda W32/Higuy@MM ed una volta che hai avuto la notifica di cancellazione per quanto riguarda l'e-mail con Klez non hai da preoccuparti.
Marco(amvinfe)

[Alberto80]

Per quanto mi riguarda, è da una settimana che non spedisco e-mail, proprio per evitare di infettare pc altrui. Però Klez è in grado di autogenerarsi messaggi da spedire a caso? Mi sa di sì...
Quindi è stato spedito a caso dal mio pc, oppure qualcuno si è impossessato del mio indirizzo di posta elettronica! Non ci sono altre spiegazioni...
Io, per non sbagliarmi, cambio e-mail!

[Alberto80]

Cosa strana...
Andando nelle impostazioni dell'account di posta, ho notato che nella casella del server POP3, anziché il tipico "popmail.libero.it" c'era un "localhost" mai visto... Chevvordì?

Ecco cosa intendo:





Mentre qui, al posto della porta 110, c'era 10500!!!





(Ho editato per non spammare)

[amvinfe]

Allora Alberto, ti spiego una cosa molto semplice sui virus di nuova generazione e Klez fa parte di uno di loro:
quando un Pc viene infettato da un virus dalle caratteristiche di Klez, copia dalla macchina infetta gli indirizzi residenti nella rubrica, e si autoallega a loro. Poniamo che il mio Pc sia infetto da Klez e che io abbia nella rubrica il tuo indirizzo, quello del tuo amico e quello di Bilancino , ma che io sia ignaro di tutto ciò perchè il mio antivirus non è aggiornato o peggio non ho neanche un antivirus. Il virus prende a caso da un file del mio Pc un pezzo di un qualsiasi testo si allega alla mail e si autoinvia appena scarico la posta con il mio client. Tu, il tuo amico e Bilancino riceverete miei mail infette, ma solo il tuo amico (poniamo) rimarrà infettato perchè non ha l'antivirus, mentre tu hai Libero&sicuro che ti blocca all'origine la mail infetta e perchè hai l'antivirus aggiornato, Bilancino.....figurati se il suo Pc s'infetta con tutte le precauzioni che usa. Secondo te il tuo amico deve cambiare indirizzo mail o si deve procurare un antivirus, tanto più che la cosa assurda è che tu non sei neanche stato infettato,......e per così poco vuoi cambiare indirizzo e-mail??? Piuttosto avvisa il tuo amico di fare una bella scansione del disco con un antivirus aggiornato
Ciao Marco(amvinfe)

[Bilancino]

Quote:

Originariamente inviato da amvinfe
[b]Bilancino.....figurati se il suo Pc s'infetta con tutte le precauzioni che usa. Ciao Marco(amvinfe)

Effettivamente.......

Ciao

[Alberto80]

Innanzitutto grazie per la mole di pazienza che hai usato nei miei confronti! Poi sul fatto che io sia stato un po' sprovveduto, è abbastanza chiaro: oltretutto io dovrei conoscere ampiamente l'argomento PC (configurandone un pacco al giorno), ma evidentemente c'è sempre qualcosa da imparare, specie in campo informatico. Poi, fino ad una settimana fa, ero contro l'installazione di qualunque AV, proprio perché ho sempre avuto c**o di non beccarmi virus; adesso che ci sono andato vicino, vedrò di riparare!
Comunque mi piacerebbe sentire un vostro parere su quei valori che ho indicato sotto le 2 figure dell'Outlook: perché "localhost" anziché "popmail.libero.it"? Perché la porta POP "10500" anziché "110"?

[amvinfe]

Quote:

Originariamente inviato da Alberto80
[b]Comunque mi piacerebbe sentire un vostro parere su quei valori che ho indicato sotto le 2 figure dell'Outlook: perché "localhost" anziché "popmail.libero.it"? Perché la porta POP "10500" anziché "110"?

Una cosa simile alla tua è successa ad un altro forumista di un altro Forum dopo l'installazione dell'antivirus Avast32, che sia successa a te la stessa cosa?
E poi verificherei anche se usufruendo di LIBERO&SICURO i valori restano quelli predefiniti al momento della configurazione del tuo Client di Posta o meno. Ovviamnete per quanto riguarda l'ultima possibilità da me descritta è solamente una mia opinione, anche se abbastanza remota.
Ciao Marco(amvinfe)

[Alberto80]

Quote:

Originariamente inviato da amvinfe
[b]

Una cosa simile alla tua è successa ad un altro forumista di un altro Forum dopo l'installazione dell'antivirus Avast32, che sia successa a te la stessa cosa?

Esattamente! Non mi ero accorto che il NOD32, con il POPScan attivato, modifica i parametri, proprio per filtrare i messaggi entranti. Si vede che sono novello sugli antivirus...
Riguardo i settaggi di "Libero&Sicuro", sono i soliti. Almeno stando a ciò che è scritto sulle info di tale servizio...
Grazie di tutto, amvinfe!

[amvinfe]

Figurati Alberto , quando si può aiutare e finchè non mi costa nulla...
Ciao Marco(amvinfe)