In Alto Gli Scudi: stanno arrivando altri virus by Pola

[Bilancino]

Quote:

Originariamente inviato da Pola
[b]Tutte le principali Case di produzione di software antivirus, riportano all' attenzione il possibile ritorno del W95.CIH, nella sua variante 1049. Il W95.CIH, meglio conosciuto come Chernobyl, e' stato uno dei piu' distruttivi virus in circolazione negli scorsi anni: sovrascrive il contenuto del disco fisso con dati a casaccio, fino a renderlo inutilizzabile, attacca il BIOS del PC cercando di azzerarlo, rendendone il recupero quasi impossibile. A quei tempi, la rimozione del virus non era un'impresa semplice ma sembra che questo problema sia adesso superato, rendendo eliminazione e riparazione un'azione meno difficoltosa.

La variante 1049 attivera' le proprie payloads il giorno 2 Agosto.

Comunque, niente panico: qualsiasi antivirus aggiornato dovrebbe essere in grado di identificare senza problemi il codice virale, in ogni caso innocuo se non doppiocliccato.

Inoltre il pericolo e' "limitato" (si fa per dire) ai sistemi Win95/98/ME e non causa danni su NT/2K/XP. C'é, però, un problemino in piu' rispetto al passato: in Symantec si dice che il Chernobyl 1049 possa a sua volta infettare il Klez, diffusissimo in questo periodo, diventandone il possibile, quanto spiacevole, regalino aggiuntivo...

http://www.symantec.com/avcenter/ven....cih.1049.html

Quote:

Originariamente inviato da Pola
[b]Ed ecco un'altra brutta new: sembra che si stia diffondendo un nuovo virus/troiano chiamato Downloader-W (alias JS/Downloader, W32/BrowseEVT)!

Subdolamente nascosto in alcune pagine del Web, questo trojan ha la capacità di modificare le impostazioni di sicurezza di Internet Explorer attraverso un JavaScript permettendo, così, il download di un ActiveX maligno che automaticamente (a sua volta) scarica ed installa parecchi componenti del suddetto trojan.
Il Downloader-W approfitta di un conosciuto e vulnerabile aspetto della Microsoft Virtual Machine riguardante le precedenti versioni alla release 3802: per maggiori informazioni e patch, seguite questo link oppure andate in Windows Update.

http://www.microsoft.com/technet/tre...n/MS00-075.asp

Questo diabolico script é stato identificato, al momento, su queste 2 pagine Web delle quali non metto il link attivo (non si sa mai che per sbaglio) ...

koolkatalog.com

online1net.com oppure wwws1.com/au/

pertanto non andate a visitarle mettendo a dura prova il vostro antivirus che, come ben sappiamo, deve essere sempre e costantemente aggiornato!

Trovate altre informazioni qui:

http://vil.nai.com/vil/content/v_99457.htm

e qui:

http://securityresponse.symantec.com...autoupder.html

Ciao.

Quote:

Originariamente inviato da Pola
[b]Da qualche giorno, é stato scoperto un altro virus VBS/Horty.b@MM che può farci visita come una email attachment dal titolo specifico ANGELINA-JOLIE-MEGAFUCK.TXT.vbs ed autoinviarsi utilizzando i vari bugs inerenti l'esecuzione degli scripts.

Se distrattamente eseguite questo VBS, si riprodurranno sull'hard disk particolari files virali dai titoli singolari che potrete visionare a questo link:

http://vil.nai.com/vil/content/v_99485.htm

così come le caratteristiche di questo VBS/Horty.b@MM nonché le istruzioni per rimuoverlo.



Risale, invece, al giorno 09/05/02 la scoperta del subdolo worm W32.Trilisa.B@mm (una variante del W32.Trilisa@mm) che si autoreplica a tutti gli indirizzi nel Microsoft Outlook address book.
Il worm, inoltre, rinomina tutti i files con estensione .exe .scr presenti nelle directory di Windows (o WINNT) facendoli diventare con estensione .avp poi, non soddisfatto, copia se stesso con il nome del file originale.
Per esempio, il W32.Trilisa.B@mm rinominerà il file originale Notepad.exe in Notepad.avp e successivamente si sostituirà al file originale chiamandosi appunto Notepad.exe.

Troverete maggiori informazioni qui:

http://[email protected]

Ciao.

Quote:

Originariamente inviato da Pola
[b]

Per ulteriori informazioni su questo trojan JS.Fortnight aggiungo anche il link a Symantec:

http://securityresponse.symantec.com...fortnight.html

e a McAfee:

http://vil.nai.com/vil/content/v_99486.htm

Ciao a tutti.

Quote:

Originariamente inviato da Pola
[b]Da qualche giorno circola nella rete peer to peer di Kazaa, un worm che si cammuffa come un MP3 creando, su ogni PC colpito, una falsa cartella di condivisione con altri utenti.
Una volta eseguito, il W.32Benjamin.Worm modifica le impostazioni di Kazaa e crea centinaia di suoi "gemelli" con i nomi dei più famosi films, canzoni oppure games che si desiderano ricercare.

Questa scoperta é talmente recente che Symantec non ci fornisce ulteriori informazioni se non quella che il suddetto worm é inserito nell'ultimo aggiornamento delle Definizioni dei Virus:

http://securityresponse.symantec.com...dyn/34577.html

mentre, McAfee, ci fornisce qualche informazione più dettagliata qui:

http://vil.nai.com/vil/content/v_99495.htm

Ulteriori info anche qui:

http://www.viruslist.com/eng/viruslist.html?id=49790

Consiglio soprattutto di leggere qui:

http://www.hwfiles.it/news/265.html

E per finire, sembra che questo worm sia stato "pensato" specificamente per gli appassionati del file-sharing che, da un pò di tempo a questa parte, stanno utilizzando a piene mani il network peer to peer di Kazaa.

'Notte.

Quote:

Originariamente inviato da Pola
[b]Finalmente, approfondite informazioni da Symantec sul W.32Benjamin.Worm:

http://securityresponse.symantec.com...amin.worm.html

Quote:

Originariamente inviato da Pola
[b]Scoperto il 29 Maggio il W32.Enemany.B@mm:

W32.Enemany.B@mm is a mass-mailing worm which sends itself to all contacts in the Microsoft Outlook Address Book. It copies itself as:

C:\Windows\System\Edonkey.scr
C:\Windows\Esel_Update.exe

Altre informazioni qui:

http://[email protected]

e qui:

http://vil.mcafee.com/dispVirus.asp?...haracteristics

Si presenta come Edonkey Update salutando in questo modo:
"Hello, Edonkey User, this is the Update tool to fix our Edonkey Client to 35.16.51" !!!

Attachment: Esel_Update.Exe


Aggiorniamo sempre il nostro antivirus controllando l'apposito box su:

http://www.hwfiles.it/

Quote:

Originariamente inviato da Pola
[b]Due giorni fa é stato scoperto il virus Frethem che si sta diffondendo in 6 varianti.

Ecco la notizia:

http://www.zdnet.it/zdnet/JumpNews.a...4&idUser=0

Qui la specifica pagina del Security Response Symantec:

http://[email protected]

Se non l'avete ancora fatto, aggiornate l'antivirus.

Quote:

Originariamente inviato da Pola
[b]Scoperto il worm W32.Liac.A@mm che, se eseguito, si visualizza questo messaggio:

Message: Error54: Media Player not installed correctly

Altre info qui:

http://[email protected]

Occhio all'aggiornamento del nostro antivirus.

Ho aperto questa discussione per una facile e veloce lettura inserendo solo gli utili interventi della moderatrice Pola. Logicamente solo Pola potrà aggiungere altre notizie.

Ciao a Tutti

[Pola]

E' arrivato un nuovo worm in Rete: W32/Bugbear e' un classico mailworm, con caratteristiche trojan (contiene un keylogger) e capacita' di diffondersi in rete locale.
Il W32/Bugbear "nuclearizza" i processi attivi dei tradizionali Antivirus e Firewall e si autoattiva da Outlook Express tramite il solito bug relativo agli Incorrect MIME Header presente in sistemi con Internet Explorer 5.01 e 5.5 (non adeguatamente patchati).
L'infezione arriva attraverso un amichevole messaggio email (esortando alla fatale apertura dell'allegato) che, spesso, ha doppia estensione. Inoltre, modifica il registro di Windows per autoattivarsi durante l'avvio del sistema.

Purtroppo, sembra voler seguire le orme del famigerato Klez: vedi qui: http://forum.hwupgrade.it/showthread...24#post3611333

quindi ... alziamo gli scudi e, cioé, aggiorniamo sempre il nostro Antivirus.

Vedi anche la new qui:

http://www.hwfiles.it/news/379.html (grazie a Fabio)

[Pola]

Altre news sul W32/Bugbear:

http://www.prognosisx.com/cgi-bin/cg...id=27&op=t

sembra anche che questo worm tenti di individuare password e dati identificativi della carta di credito degli utenti.

[Pola]

Il W32.BugBear.@mm ha spodestato il Klez dalla 1a posizione:

http://www.bitdefender.com/html/rtvr.php

http://www.messagelabs.com/viruseye/...t.asp?by=month

[Pola]

E' arrivato un nuovo worm W32.Brid.A@mm fornito di motore proprio SMTP che, tramite l'anteprima di OE o la semplice apertura del messaggio (e solo in caso del solito bug Incorrect MIME che si spera ormai risolto con l'upgrade di IE:
http://www.microsoft.com/technet/tre...n/MS01-020.asp)
modifica il nominativo del mittente ed infetta pure le risorse locali condivise.

Ulteriori info qui:

http://[email protected]

http://vil.nai.com/vil/content/v_99776.htm

Inutile ricordare che dobbiamo sempre aggiornare il nostro Antivirus.

[Pola]

Il 6 novembre (ieri) é stato scoperto un altro worm che si diffonde tramite MIRC, risorse condivise, Kazaa e posta elettronica.
Si chiama W32.HLLW.Oror.B@mm ... non so perché ma mi ricorda, vagamente, Halloween.
Battuta a parte e tanto per sdrammatizzare questo (ennesimo) evento negativo, questo worm si cammuffa come una fasulla patch, finti upgrade di sistema e messaggi amichevoli.
Ovviamente, dispone delle solite "armi" per invadere il nostro PC: si diverte nel distruggere Antivirus e Firewall, autoreplicandosi.

Ulteriori info qui:

http://[email protected]

http://vil.nai.com/vil/content/v_99787.htm

Aggiornate l'Antivirus dato che sono uscite le nuove definizioni.

Ciao.

[Pola]

Individuato il 23/11/02 il virus W32.HLLW.Winevar che, pur non essendosi ancora ampiamente diffuso, é particolarmente pericoloso dato che é una variante dell'ormai (tristemente) famoso W32.FunLove: sembra che abbia la capacità di cancellare, in modo approfondito, numerosi file del S.O. sfruttando il ben conosciuto bug degli Incorrect MIME headers.
Inoltre, la sua parte HTML, s'insinua nel gravissimo bug insito nei Controlli ActiveX, vedi: (http://www.microsoft.com/technet/tre...n/MS00-075.asp).

Ovviamente, come tutti i virus che si rispettano, si replica tramite mail, tenta di sopprimere i processi attivi di Firewall ed Antivirus modificando il nostro S.O.

Per maggiori info:
http://securityresponse.symantec.com...w.winevar.html

http://vil.nai.com/vil/content/v_99819.htm

[Pola]

Aggiornamento sull'incremento della diffusione dei virus tramite e-mail:

http://www.messagelabs.com/viewNewsPR.asp?id=112&cmd=PR

e la Virus Map nelle ultime 24 ore

http://wtc.trendmicro.com/wtc/

[Pola]

Il 31/12/02 è stato scoperto un Macro Virus, il W97M.Killboot, la cui diffusione non é allarmante ma il danno che provoca é molto alto (livello 2).
Il virus inizia la sua marcia, creando il file c:\Setver.exe e modificando l'Autoexec.bat (entrambi segnalati come Trojan.Killboot).
Dopo aver eseguito Setver.exe, modifica il Master Boot Record (rilevato dal Norton Antivirus come Killboot.145) e continua la propria marcia, alterando i settaggi di Word riguardanti la sicurezza ed infettando il file normal.dot e qualunque altro documento aperto.
Purtroppo, la conseguenza della sovrascrittura del Master Boot Record è la totale impossibilià di avviare l'hard disk.
Altre info qui:

http://securityresponse.symantec.com/avcenter/venc/data/w97m.killboot.html

Aggiorniamo sempre il nostro sistema di sicurezza, l'Antivirus.

[Pola]

Un'altra brutta notizia: sta arrivando un nuovo email-aware worm, il W32/Sahay-A che non solo tenta di ripulire il PC dal worm W32.Yaha-K ma contiene pure un messaggio sprezzante nei confronti di questo!

" ........ Hi there.. it seems you were infected with Yaha.k. That worm however, written by an idiot who sPeLlS lIkE tHiS, abused my website and got me to receive the complaints. Therefore, I have just disinfected you. Don't worry tho.. as I didn't wanna steal from you, I gave you this virus (Win32.HLLP.YahaSux) in return "

Greetz,
Gigabyte [Metaphase VX Team]



Ulteriori informazioni:

http://www.sophos.com/virusinfo/articles/sahay.html

http://vil.mcafee.com/dispVirus.asp?virus_k=99959

http://www.symantec.com/avcenter/venc/data/[email protected]


Teniamo sempre alti gli scudi.

[Pola]

Symantec Security Response ha confermato che é stata trovata una nuova variante di CodeRed II, il CodeRed.F livello 3.
Ecco tutte le informazioni in merito:

http://www.symantec.com/avcenter/venc/data/codered.ii.html

http://securityresponse.symantec.com/avcenter/venc/data/codered.f.html

ed il Removal Tool:

http://securityresponse.symantec.com/avcenter/venc/data/codered.removal.tool.html

[Pola]

Un pò in ritardo, ecco la notizia che un nuovo worm si sta diffondendo in rete, il W32/Fizzer@MM.

Leggete l'articolo di Fabio Boneschi:
http://news.hwupgrade.it/9945.html

ed il thread postato da Eraser:
http://forum.hwupgrade.it/viewtopic.php?t=450658

Altre info qui:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

Purtroppo, il worm agisce come server http e cioé la macchina colpita può essere usata per attacchi DoS.

Inoltre, la sua trasmissione attraverso le reti p2p ne annuncia una diffusione già classificata come alta. (categoria 3)

[Pola]

Ecco un altro worm, il W32/Palyh@MM, che si trasmette tramite allegati nei messaggi email il cui mittente viene falsificato.
Tutte le informazioni qui:

http://news.hwupgrade.it/9987.html

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

[Pola]

Ringrazio Hell-VoyAgeR per la segnalazione:

"Attenzione alla nuova versione di BUGBEAR (l'orsetto bacato)

arriva tramite e-mail o condivisioni di rete, l'aspetto del messaggio e' come proveniente da persona conosciuta, anche il testo e' in italiano (presumibilmente prende messaggi gia' mandati e li riinvia)

allegato da cliccare per eseguire il virus, non sembra utilizzare vulnerabilita' di outlook express & simili

correzione!!! sfrutta la classica vulnerabilita' IFRAME di outlook (express) se non patchato...

per ora riconosciuto da Sophos antivirus, non so altri (segnalazione delle 12:20)

www.sophos.com per informazioni

Qualche informazione piu' strutturata:

- infezione tramite e-mail e condivisioni di rete
- si maschera inviandosi come risposta ad un altro messaggio o creandone uno nuovo
- installa una backdoor sulla porta 1080
- infetta diversi programmi tipo acrobat reader, regedit ecc..
- virus polimorfico
- installa un keylogger
- disabilita i piu' comuni antivirus
- sfrutta una vulnerabilita' gia' segnalata di outlook express
- non e' molto intelligente e scambia le stampanti condivise in rete come altri pc e quindi stampa schifezze o interrompe il funzionamento della stessa

E' classificato come alta diffusione ma basso rischio (anche se non sono cosi' d'accordo visto che la backdoor permette di fare TANTE cose, fra le quali PIALLARE il disco)."

Ulteriori informazioni qui:

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

http://vil.mcafee.com/dispVirus.asp?virus_k=100358

http://www.messagelabs.com/viruseye/info/default.asp?tabIt=rep&virusname=W32/Bugbear.B-mm

Il livello di rischio é alto data la velocità con cui si diffonde: mi raccomando aggiornate SEMPRE l'Antivirus.

[Pola]

Ed ecco la Top Ten dei Virus nel mese di maggio rilasciata da Message Labs:

http://www.messagelabs.com/viruseye/threats/

Come si può notare, dal Virus Infection Rate, siamo in un periodo di notevole aumento dell'attività virale.

[Pola]

Grazie ad Amvinfe per la segnalazione qui:

http://forum.hwupgrade.it/showthread...hreadid=496030

Tool di rimozione McAfee:
http://vil.nai.com/vil/stinger/


Tool di rimozione Symantec:
http://securityresponse.symantec.com...oval.tool.html

Mi raccomando, aggiorniamo sempre il nostro antivirus.

[Pola]

Top Ten dei Virus nel mese di Luglio 2003:
http://www.sophos.com/virusinfo/topten/

http://www.messagelabs.com/viruseye/threats/

Inoltre, tramite il link al download potete scaricare l'analisi statistica mensile dell'Intelligence di MessageLabs con informazioni relative a virus, spam e porn protection.
Ad esempio si può notare che 1 mail su 166 conteneva un virus, 1 su 2 conteneva Spam e 1 su 589 spam pornografico.

Fonte SWZone.it

http://www.messagelabs.com/data/flashmovies/main.asp

[Pola]

Scoperta una variante del Sobig, W32/Sobig.f@MM, identificata il 19/08/2003.

http://www.newsnet5.com/technology/2415659/detail.html

http://securityresponse.symantec.com...oval.tool.html

Come tutte le altre sue varianti, questa finirà di propagarsi ad una data prestabilita: dal 10 settembre 2003.

[Pola]

Nuovo virus worm W32/Holar-I:

http://news.hwupgrade.it/11099.html

http://www.sophos.com/virusinfo/analyses/w32holari.html

[Pola]

http://news.hwupgrade.it/11684.html