Dumaru

Simgen · 20-09-2003, 01:20

ogni volta che accendo il computer il mio antivirus lo trova, lo cancello, ma se spengo e riaccendo lo ritrova.
perchè?
dipende dall'adsl?
e comunque qualcosa nel mio computer deve "chiamarlo" ogni volta o sbaglio?

Bilancino · 20-09-2003, 06:49

WORM CON CAVALLO DI TROIA
-------------------------

Sta prendendo piede sui computer degli utenti connessi a Internet il nuovo worm Dumaro,
scoperto il 16 agosto ma che negli ultimi giorni e' riuscito a rendersi pericoloso per la sua
diffusione.

Dumaro installa nel computer infettato anche un cavallo di Troia, un software che permette a
chi ha creato il virus di raccogliere dati e password dai computer colpiti.

CHI RIMANE INFETTATO
--------------------

Dumaru e' studiato per colpire tutti i sistemi Windows, sono dunque immuni i vari Linux,
Macintosh, OS/2 e UNIX.

FACILE DA RICONOSCERE
---------------------

Dumaro arriva, come spessissimo accade, attraverso la posta elettronica, con un messaggio
piuttosto subdolo: finge infatti di arrivare direttamente da Microsoft, dall'indirizzo "Microsoft
<[email protected]>" e con un soggetto invitante. Ma ecco il dettaglio del messaggio:

Soggetto: Use this patch immediately !

Testo del messaggio:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!

Per fortuna anche il file allegato ha sempre lo stesso nome: patch.exe

COME FUNZIONA
-------------

Dumaro quando si installa nel computer prepara un cavallo di Troia basato sul protocollo IRC,
invia se stesso a tutti gli account email che trova nei file del computer con le seguenti
estensioni:

htm
wab
html
dbx
tbb
abd

Per spedirsi agli indirizzi Dumaro utilizza un proprio server SMTP, ovvero non ha bisogno di
alcun software o server per diffondere i messaggi.

Inoltre, Dumaro modifica il contenuto di due file di sistema (win.ini e system.ini) e infetta i file
exe (dunque i programmi) che trova nella directory principale delle partizioni del disco
formattate con il file system NTFS.

COME DIFENDERSI
---------------

Tutti i principali produttori antivirus hanno aggiornato i propri sistemi per far fronte a Dumaru e
agli utenti si raccomanda quindi di provvedere all'aggiornamento del proprio antivirus per evitare
sorprese.

E' buona regola non aprire gli allegati ai messaggi email di cui non si e' certi della provenienza.
A volte anche la sola anteprima del messaggio puo' essere causa di infezione.

ULTERIORI INFORMAZIONI
----------------------

Una pagina di spiegazione sul funzionamento del worm e' stata pubblicata da Sophos a
questo indirizzo:
http://www.sophos.com/virusinfo/anal...32dumarua.html

Un tool per la rimozione e' invece disponibile qui:
http://securityresponse.symantec.com...oval.tool.html

Fonte :SalvaPC

Se il tuo pc ha il system restore devi disabilitarlo per rimuovere il virus che si trova li.

Ciao

Simgen · 20-09-2003, 13:33

ne il mio antivirus ne symantec me lo eliminano, non trovano nessuno dei file spiegati in sophos.
li tolgo a mano, ma quando riaccendo i file modificati system e l'altro li richiedono e ricaricano e tutto d'accapo.
dovrò formattare.

il restore è disattivato.

Bilancino · 20-09-2003, 13:36

Quote:

Originariamente inviato da Simgen
ne il mio antivirus ne symantec me lo eliminano, non trovano nessuno dei file spiegati in sophos.
li tolgo a mano, ma quando riaccendo i file modificati system e l'altro li richiedono e ricaricano e tutto d'accapo.
dovrò formattare.

il restore è disattivato.

Prova allora Stinger o Trend Microcleaner magati in modalita provvisoria. Sono nel mio sito.

Ciao

MButi · 20-09-2003, 14:00

Hai disattivato il Restore System prima della scansione ?
http://[email protected]

Simgen · 20-09-2003, 14:05

niente da fare.
Symantec e stinger non lo vedono proprio.
mentre il mio AV Personal lo pizzica ad ogni riaccenzione però non lo debella ed ogni volta si riforma.
provo con il Trojan remover del tuo sito sennò formatto tanto era già in previsione.

20-09-2003, 01:20	#1
Simgen Senior Member Iscritto dal: Nov 2000 Città: Roma Messaggi: 1552	Dumaru ogni volta che accendo il computer il mio antivirus lo trova, lo cancello, ma se spengo e riaccendo lo ritrova. perchè? dipende dall'adsl? e comunque qualcosa nel mio computer deve "chiamarlo" ogni volta o sbaglio?

20-09-2003, 06:49	#2
Bilancino Senior Member Iscritto dal: Jun 2001 Città: Lazio Messaggi: 5935	WORM CON CAVALLO DI TROIA ------------------------- Sta prendendo piede sui computer degli utenti connessi a Internet il nuovo worm Dumaro, scoperto il 16 agosto ma che negli ultimi giorni e' riuscito a rendersi pericoloso per la sua diffusione. Dumaro installa nel computer infettato anche un cavallo di Troia, un software che permette a chi ha creato il virus di raccogliere dati e password dai computer colpiti. CHI RIMANE INFETTATO -------------------- Dumaru e' studiato per colpire tutti i sistemi Windows, sono dunque immuni i vari Linux, Macintosh, OS/2 e UNIX. FACILE DA RICONOSCERE --------------------- Dumaro arriva, come spessissimo accade, attraverso la posta elettronica, con un messaggio piuttosto subdolo: finge infatti di arrivare direttamente da Microsoft, dall'indirizzo "Microsoft <[email protected]>" e con un soggetto invitante. Ma ecco il dettaglio del messaggio: Soggetto: Use this patch immediately ! Testo del messaggio: Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected! Per fortuna anche il file allegato ha sempre lo stesso nome: patch.exe COME FUNZIONA ------------- Dumaro quando si installa nel computer prepara un cavallo di Troia basato sul protocollo IRC, invia se stesso a tutti gli account email che trova nei file del computer con le seguenti estensioni: htm wab html dbx tbb abd Per spedirsi agli indirizzi Dumaro utilizza un proprio server SMTP, ovvero non ha bisogno di alcun software o server per diffondere i messaggi. Inoltre, Dumaro modifica il contenuto di due file di sistema (win.ini e system.ini) e infetta i file exe (dunque i programmi) che trova nella directory principale delle partizioni del disco formattate con il file system NTFS. COME DIFENDERSI --------------- Tutti i principali produttori antivirus hanno aggiornato i propri sistemi per far fronte a Dumaru e agli utenti si raccomanda quindi di provvedere all'aggiornamento del proprio antivirus per evitare sorprese. E' buona regola non aprire gli allegati ai messaggi email di cui non si e' certi della provenienza. A volte anche la sola anteprima del messaggio puo' essere causa di infezione. ULTERIORI INFORMAZIONI ---------------------- Una pagina di spiegazione sul funzionamento del worm e' stata pubblicata da Sophos a questo indirizzo: http://www.sophos.com/virusinfo/anal...32dumarua.html Un tool per la rimozione e' invece disponibile qui: http://securityresponse.symantec.com...oval.tool.html Fonte :SalvaPC Se il tuo pc ha il system restore devi disabilitarlo per rimuovere il virus che si trova li. Ciao __________________ HP Gaming 16 I7 10750H, nVidia GTX1650TI 4Gbyte DDR6, 16Gbyte di Ram, SSD INTEL 500Gbyte, Amplificatore Denon PMA-510AE, Diffusori Q Acoustics 3020i

20-09-2003, 13:33	#3
Simgen Senior Member Iscritto dal: Nov 2000 Città: Roma Messaggi: 1552	ne il mio antivirus ne symantec me lo eliminano, non trovano nessuno dei file spiegati in sophos. li tolgo a mano, ma quando riaccendo i file modificati system e l'altro li richiedono e ricaricano e tutto d'accapo. dovrò formattare. il restore è disattivato.

20-09-2003, 14:00	#5
MButi Senior Member Iscritto dal: Nov 2002 Messaggi: 251	Hai disattivato il Restore System prima della scansione ? http://[email protected]

20-09-2003, 14:05	#6
Simgen Senior Member Iscritto dal: Nov 2000 Città: Roma Messaggi: 1552	niente da fare. Symantec e stinger non lo vedono proprio. mentre il mio AV Personal lo pizzica ad ogni riaccenzione però non lo debella ed ogni volta si riforma. provo con il Trojan remover del tuo sito sennò formatto tanto era già in previsione.

Strumenti
Mostra una versione stampabile Invia questa pagina per email