Attenti a questo virus

ercolino · 19-03-2004, 00:33

Beagle ora arriva senza allegato
N. 88 di giovedì 18 marzo 2004

IN QUATTRO ALL'ASSALTO

Nelle scorse ore sono state scoperte ben quattro nuove varianti di Beagle (secondo alcuni Bagle), che si stanno diffondendo su Internet via posta elettronica.

Tra le nuove versioni una è particolarmente pericolosa perchè l'email con cui arriva può non presentare alcun allegato ma contenere comunque il worm. È sufficiente infatti aprire l'email per correre il rischio che il proprio computer rimanga infettato.

Le nuove varianti sono la O, la R, la S e la T. La variante particolarmente pericolosa è la R (secondo alcuni centri di ricerca si tratterebbe della variante Q, ma è solo un problema di nome).

CHI VIENE COLPITO

Come tutte le varianti di Beagle, ad essere colpiti sono i sistemi Windows dalla versione 95 in poi.

Beagle.R quando arriva senza allegato riesce ad infettare le macchine con installato Windows che non abbiano applicato tutte le patch messe a disposizione da Microsoft. In particolare, quella relativa alla "Microsoft Internet Explorer Object Tag Vulnerability", una vulnerabilità descritta nel relativo bollettino di sicurezza disponibile dal 3 ottobre 2003 con relativa patch al seguente indirizzo:
http://www.microsoft.com/technet/sec.../MS03-032.mspx

COME FUNZIONA

L'email che permette l'infezione di Beagle.R contiene al suo interno del codice HTML che viene eseguito non appena si apre il messaggio di posta elettronica. In sostanza, viene richiamato un particolare file presente su vari server che si occupa di saricare ed eseguire il worm.

Va anche considerato che il file che viene scaricato attraverso questo sistema è attualmnete il worm Beagle.R, ma questo potrebbe essere sostituito con altri worm oppure altri file eseguibili per svolgere anche diversi tipi di attacchi.

COME RICONOSCERLO

L'indirizzo del mittente con cui arriva il messaggio comincia con uno dei seguenti nomi, ma il dominio è casuale: management@, administration@, staff@, antivirus@, antispam@, noreply@, support@.

Il soggetto delle email, sempre in inglese, può essere uno tra i seguenti:

Account notify
E-mail account disabling warning.
E-mail account security warning.
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Email account utilization warning.
Email report
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
RE: Protected message
RE: Text message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
Re: Thank you!
Re: Thanks

Re: Yahoo!
Request response
Site changes
Warning about your e-mail account

Il testo del messaggio può cominciare con una delle seguenti parole, ma può contenerne molte altre, oltre al codice HTML per scaricare il worm:
Dear user of
Hello user of
Dear user
the management of .

Il file che si può trovare nella versione con allegato ha la dimensione di 25.600 KB.

QUALI DANNI PROVOCA

Quando questo worm riesce ad infettare il sistema svolge una serie di funzioni tipiche: esegue alcune scritture sul registro di sistema, cancella alcune voci e rende impossibile l'avvio di numerosi programmi e tra questi i più popolari sistemi antivirus. Non contento cerca anche di disattivare eventuali software antivirus in funzione.

Come le altre varianti di Beagle anche la R apre una backdoor sul computer infettato. La porta 2556 viene resa utilizzabile dall'esterno per chi volesse entrare nel sistema.

Ancora, il worm tenta di diffondersi anche attraverso i software di file sharing (P2P: Kazaa, eMule, WinMX, ecc) copiando se stesso in tutte le cartelle il cui nome comincia per "shar", utilizzando nomi di programmi famosi per essere appetibile agli utenti che utilizzano questi sistemi di scambio file. Ecco i nomi che può prendere Beagle.R:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Infine, come tutti i worm, cerca nei dischi tutti gli indirizzi email a cui poi spedire se stesso utilizzando un proprio server SMTP, ovvero il protocollo per l'invio di messaggi di posta elettronica su Internet.

COME PROTEGGERSI

È consigliabile alzare la guardia verso tutti i messagi in arrivo con soggetto in inglese. Se proprio si è in dubbio sulla bontà di un determinato messaggio è consigliabile escludere la connessione alla rete prima di aprire l'email.

Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.

ULTERIORI INFORMAZIONI

Maggiori informazioni su Beagle.R sono disponibili in inglese ai seguenti indirizzi:

http://[email protected]
www.sophos.com/virusinfo/analyses/w32bagler.html
http://it.trendmicro-europe.com/ente...ame=PE_BAGLE.Q

Punto informatico.

Bilancino · 19-03-2004, 00:42

Bel problema ma se si ha l'ultima patch cumulativa per IE non si ha problemi..........

Ciao

ercolino · 19-03-2004, 00:48

Esatto,però purtroppo in pochi installano le patch ed aggiornano sempre gli antivirus

raceman · 19-03-2004, 17:58

E va beh cavolo....così non ci gioco più.....
non ci sono più i virus di una volta....

allmaster · 21-03-2004, 14:08

certo che non ci sono più altrimenti gli antivirus a che servono

orami per evitare i virus si deve usare un bel client di posta completamente in modalita testo (tipo blocco note per capirci)

io le mail sospette le apro col tasto destro proprietà

ercolino · 21-03-2004, 15:26

Idem

19-03-2004, 00:33	#1
ercolino Senior Member Iscritto dal: Feb 2003 Città: Torino Messaggi: 3710	Attenti a questo virus Beagle ora arriva senza allegato N. 88 di giovedì 18 marzo 2004 IN QUATTRO ALL'ASSALTO Nelle scorse ore sono state scoperte ben quattro nuove varianti di Beagle (secondo alcuni Bagle), che si stanno diffondendo su Internet via posta elettronica. Tra le nuove versioni una è particolarmente pericolosa perchè l'email con cui arriva può non presentare alcun allegato ma contenere comunque il worm. È sufficiente infatti aprire l'email per correre il rischio che il proprio computer rimanga infettato. Le nuove varianti sono la O, la R, la S e la T. La variante particolarmente pericolosa è la R (secondo alcuni centri di ricerca si tratterebbe della variante Q, ma è solo un problema di nome). CHI VIENE COLPITO Come tutte le varianti di Beagle, ad essere colpiti sono i sistemi Windows dalla versione 95 in poi. Beagle.R quando arriva senza allegato riesce ad infettare le macchine con installato Windows che non abbiano applicato tutte le patch messe a disposizione da Microsoft. In particolare, quella relativa alla "Microsoft Internet Explorer Object Tag Vulnerability", una vulnerabilità descritta nel relativo bollettino di sicurezza disponibile dal 3 ottobre 2003 con relativa patch al seguente indirizzo: http://www.microsoft.com/technet/sec.../MS03-032.mspx COME FUNZIONA L'email che permette l'infezione di Beagle.R contiene al suo interno del codice HTML che viene eseguito non appena si apre il messaggio di posta elettronica. In sostanza, viene richiamato un particolare file presente su vari server che si occupa di saricare ed eseguire il worm. Va anche considerato che il file che viene scaricato attraverso questo sistema è attualmnete il worm Beagle.R, ma questo potrebbe essere sostituito con altri worm oppure altri file eseguibili per svolgere anche diversi tipi di attacchi. COME RICONOSCERLO L'indirizzo del mittente con cui arriva il messaggio comincia con uno dei seguenti nomi, ma il dominio è casuale: management@, administration@, staff@, antivirus@, antispam@, noreply@, support@. Il soggetto delle email, sempre in inglese, può essere uno tra i seguenti: Account notify E-mail account disabling warning. E-mail account security warning. E-mail technical support message. E-mail technical support warning. E-mail warning Email account utilization warning. Email report Encrypted document Fax Message Received Forum notify Hidden message Important notify Important notify about your e-mail account. Incoming message Notify about using the e-mail account. Notify about your e-mail account utilization. Notify from e-mail technical support. Protected message RE: Protected message RE: Text message Re: Document Re: Hello Re: Hi Re: Incoming Fax Re: Incoming Message Re: Msg reply Re: Thank you! Re: Thanks Re: Yahoo! Request response Site changes Warning about your e-mail account Il testo del messaggio può cominciare con una delle seguenti parole, ma può contenerne molte altre, oltre al codice HTML per scaricare il worm: Dear user of Hello user of Dear user the management of . Il file che si può trovare nella versione con allegato ha la dimensione di 25.600 KB. QUALI DANNI PROVOCA Quando questo worm riesce ad infettare il sistema svolge una serie di funzioni tipiche: esegue alcune scritture sul registro di sistema, cancella alcune voci e rende impossibile l'avvio di numerosi programmi e tra questi i più popolari sistemi antivirus. Non contento cerca anche di disattivare eventuali software antivirus in funzione. Come le altre varianti di Beagle anche la R apre una backdoor sul computer infettato. La porta 2556 viene resa utilizzabile dall'esterno per chi volesse entrare nel sistema. Ancora, il worm tenta di diffondersi anche attraverso i software di file sharing (P2P: Kazaa, eMule, WinMX, ecc) copiando se stesso in tutte le cartelle il cui nome comincia per "shar", utilizzando nomi di programmi famosi per essere appetibile agli utenti che utilizzano questi sistemi di scambio file. Ecco i nomi che può prendere Beagle.R: ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Matrix 3 Revolution English Subtitles.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP working Crack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe Opera 8 New!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe WinAmp 5 Pro Keygen Crack Update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe XXX hardcore images.exe Infine, come tutti i worm, cerca nei dischi tutti gli indirizzi email a cui poi spedire se stesso utilizzando un proprio server SMTP, ovvero il protocollo per l'invio di messaggi di posta elettronica su Internet. COME PROTEGGERSI È consigliabile alzare la guardia verso tutti i messagi in arrivo con soggetto in inglese. Se proprio si è in dubbio sulla bontà di un determinato messaggio è consigliabile escludere la connessione alla rete prima di aprire l'email. Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione. ULTERIORI INFORMAZIONI Maggiori informazioni su Beagle.R sono disponibili in inglese ai seguenti indirizzi: http://[email protected] www.sophos.com/virusinfo/analyses/w32bagler.html http://it.trendmicro-europe.com/ente...ame=PE_BAGLE.Q Punto informatico.

19-03-2004, 00:42	#2
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	Bel problema ma se si ha l'ultima patch cumulativa per IE non si ha problemi.......... Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

19-03-2004, 17:58	#4
raceman Senior Member Iscritto dal: Nov 2002 Messaggi: 1567	E va beh cavolo....così non ci gioco più..... non ci sono più i virus di una volta.... __________________ *Chi semina raccoglie, ma chi raccoglie si china e a quel punto è un attimo*

21-03-2004, 14:08	#5
allmaster Senior Member Iscritto dal: Nov 1999 Città: Zion Messaggi: 3121	certo che non ci sono più altrimenti gli antivirus a che servono orami per evitare i virus si deve usare un bel client di posta completamente in modalita testo (tipo blocco note per capirci) io le mail sospette le apro col tasto destro proprietà __________________ Così tra questa immensità s'annega il pensier mio e il navigar* m'è dolce in questo mare.*

19-03-2004, 00:48	#3
ercolino Senior Member Iscritto dal: Feb 2003 Città: Torino Messaggi: 3710	Esatto,però purtroppo in pochi installano le patch ed aggiornano sempre gli antivirus

21-03-2004, 15:26	#6
ercolino Senior Member Iscritto dal: Feb 2003 Città: Torino Messaggi: 3710	Idem

Strumenti
Mostra una versione stampabile Invia questa pagina per email