JS.Scob e attacco IIS 5.0

Cosimo · 26-06-2004, 00:08

Reports indicate that Web servers running Windows 2000 Server and IIS that have not applied update 835732, which was addressed by Microsoft Security Bulletin MS04-011, are possibly being compromised and being used to attempt to infect users of Internet Explorer with malicious code.

Kk32.dll

Surf.dat

Questi due sono i files che si creano con questo nuovo buco di sicurezza.

l'US Computer Emergency Reponse Center e l'Internet Storm Center acconsigliano di non usare IE6 fino che non sia risolto il problema. In Windows Update non c'è ancora niente. Qualcuno ne sa di più? Questo è tutto ciò che ho potuto scorpire.

Attentiiiiii!!!!!

Cosimo · 26-06-2004, 00:10

DOWNLOAD.JECT

Il nome di questo nuovo worm/virus

Cosimo · 26-06-2004, 00:11

http://www.microsoft.com/security/in...load_ject.mspx

Link dove trovate informazione di sicurezza e il modo in cui prevenirsi

Cosimo · 26-06-2004, 00:12

http://www.microsoft.com/italy/secur...load_ject.mspx

In italiano

ercolino · 26-06-2004, 09:24

Il virus è questo come potete vedere anche dal link della Microsoft

http://securityresponse.symantec.com...ob.trojan.html

http://it.trendmicro-europe.com/ente...Name=JS_SCOB.A

Al momento la diffusione è bassa la symantec da ieri sera ha portato la pericolosità da 1 a 2 ,ma potrebbe anche portarla nelle prossime ore a 3-4

La Trend ha rilasciato questa mattina l'antitodo.

eraser · 26-06-2004, 11:28

maggiori informazioni qui http://isc.sans.org/

Ciao

Eraser

Cosimo · 26-06-2004, 13:22

Quote:

Originariamente inviato da ercolino
Il virus è questo come potete vedere anche dal link della Microsoft

http://securityresponse.symantec.com...ob.trojan.html

http://it.trendmicro-europe.com/ente...Name=JS_SCOB.A

Al momento la diffusione è bassa la symantec da ieri sera ha portato la pericolosità da 1 a 2 ,ma potrebbe anche portarla nelle prossime ore a 3-4

La Trend ha rilasciato questa mattina l'antitodo.

Ma sarebe qualche buco che sfrutta la vulnerabilità di saser/blaster? O e qualcosa assolutamente diverso

Mounty · 26-06-2004, 15:48

Sapreste dirmi se i prodotti della symantech sono aggiornati?
Grazie.

eraser · 26-06-2004, 19:10

http://www.hwinit.net/modules/news/a...hp?storyid=557

Luca GT · 27-06-2004, 16:36

Ecco la soluzione definitiva !!!

http://forum.hwupgrade.it/showthread...hreadid=671174

allmaster · 27-06-2004, 19:11

non direi che è una soluzione, ma una alternativa

domani se ho tempo lo installo sulla mia macchina di test (il PC in ufficio

)

Qnick · 27-06-2004, 23:56

Avevo appena postato sul thread di firefox, ma riporto anche qua un po' di info utili: innanzitutto la prima notizia era apparsa qualche giorno fa su Repubblica, a questo indirizzo.

Da cui traggo brevemente:

"Il meccanismo dell'attacco è questo: i pirati entrano nel server che ospita il sito, e modificano alcune pagine inserendo un codice maligno. Quando un visitatore apre le pagine modificate, il suo computer contatta un server remoto, e viene infettato. A quel punto, l'aggressore è in grado di entrare nel computer della vittima e di acquisirne il pieno controllo. Tutto avviene senza che l'utente si accorga di nulla.

L'attacco sembra sfruttare alcune gravi falle di prodotti Microsoft: secondo quanto riferito dal Computer emergency readiness team (Cert), i siti colpiti risiedono tutti su server che utilizzano il sistema Microsoft IIS 5, e l'aggressione va a buon fine soltanto se il navigatore visita il sito attraverso il browser Microsoft Internet Explorer.

"Non riporteremo una lista dei siti infetti, in modo da prevenire ulteriori abusi", dichiara l'Internet storm center (Isc) in un comunicato. "Ma possiamo dire che la lista è lunga e comprende organizzazioni di norma immuni da questo tipo di problemi". Secondo l'Isc, il fine ultimo dell'attacco è trasformare tutti i computer infetti in veicoli di spam. Molti indizi lasciano supporre che dietro l'attacco non ci siano hacker comuni, ma qualche gruppo criminale ben organizzato, probabilmente russo."

Successivamente (oggi) PI ha confermato quanto sopra:

http://punto-informatico.it/p.asp?i=48771

Da cui riporto brevemente la parte più interessante:

"Come si è detto, l'attacco sfrutta due vulnerabilità di Windows: la prima, che riguarda Outlook Express, è stata corretta dal big di Redmond con il rilascio del bollettino MS04-013; la seconda, scoperta la scorsa settimana, interessa invece Internet Explorer e, al momento, è ancora senza patch. Quest'ultima falla, di tipo cross zone scripting, può consentire ad un aggressore di aggirare le restrizioni di sicurezza del browser di Microsoft per riversare sul computer della vittima programmi malevoli.

Sono esenti da questi problemi gli utenti che utilizzano un browser differente da IE o abbiano installato la Release Candidate 2 del Service Pack 2 per Windows XP.

Se per fermare l'attacco lato server è sufficiente installare la patch per IIS 5, Microsoft ha spiegato che lato client è necessario affiancare alle ultime patch critiche un firewall personale e un antivirus aggiornato. Il CERT suggerisce anche di disabilitare l'esecuzione degli script, anche se ciò potrebbe inficiare l'apparenza o la funzionalità di alcuni siti.

Il modo più semplice per sapere se un PC è stato infettato è cercare la presenza dei file Kk32.dll e/o Surf.dat: se presenti, Microsoft suggerisce di eliminare il codice malevolo servendosi di un antivirus aggiornato.

Sebbene i danni causati dall'attacco Download.Ject non siano neppure confrontabili con quelli seguiti alle epidemie di worm come Sasser e Blaster, gli esperti temono che questo tipo di minacce possa costituire in breve tempo un pericolo molto serio: ai cracker basterebbe infatti attaccare con successo uno fra i primi cento siti più visitati al mondo per infettare in breve tempo migliaia di PC e utilizzarli, ad esempio, per spedire tonnellate di e-mail pubblicitarie."

Edit: solo ora ho letto anche le info dettagliate su hwinit, del solito ottimo eraser

Mounty · 01-07-2004, 15:29

Scusate ma nel frattempo è cambiato qualcosa riguardo questo virus?

eraser · 01-07-2004, 18:22

non ci sono stati grossi passi avanti, quindi per ora l'ipotesi più veritiera è quella della mancanza sui server della patch legata al bollettino microsoft MS04-011

Ciao

Eraser

Mounty · 18-07-2004, 16:47

Sapreste dirmi se con i nuovi aggiornamenti di win update sono stati risolti i problemi relativi a questo virus?
Grazie.

allmaster · 18-07-2004, 20:01

l'aggiornamento che lo risolve è:

Aggiornamento critico per ADODB.stream (KB870669)

e lo trovi su WU

26-06-2004, 00:08	#1
Cosimo Senior Member Iscritto dal: Nov 2001 Città: Barcellona - Catalogna Messaggi: 874	Nuova ALLARMA Internet Explorer 6 Reports indicate that Web servers running Windows 2000 Server and IIS that have not applied update 835732, which was addressed by Microsoft Security Bulletin MS04-011, are possibly being compromised and being used to attempt to infect users of Internet Explorer with malicious code. Kk32.dll Surf.dat Questi due sono i files che si creano con questo nuovo buco di sicurezza. l'US Computer Emergency Reponse Center e l'Internet Storm Center acconsigliano di non usare IE6 fino che non sia risolto il problema. In Windows Update non c'è ancora niente. Qualcuno ne sa di più? Questo è tutto ciò che ho potuto scorpire. Attentiiiiii!!!!! __________________ Freedom for Catalonia \|l*l\| Freedom for all nations in the world <<-꼬씨모->> Get Firefox!

26-06-2004, 00:10	#2
Cosimo Senior Member Iscritto dal: Nov 2001 Città: Barcellona - Catalogna Messaggi: 874	DOWNLOAD.JECT Il nome di questo nuovo worm/virus __________________ Freedom for Catalonia \|l*l\| Freedom for all nations in the world <<-꼬씨모->> Get Firefox!

26-06-2004, 00:11	#3
Cosimo Senior Member Iscritto dal: Nov 2001 Città: Barcellona - Catalogna Messaggi: 874	http://www.microsoft.com/security/in...load_ject.mspx Link dove trovate informazione di sicurezza e il modo in cui prevenirsi __________________ Freedom for Catalonia \|l*l\| Freedom for all nations in the world <<-꼬씨모->> Get Firefox!

26-06-2004, 00:12	#4
Cosimo Senior Member Iscritto dal: Nov 2001 Città: Barcellona - Catalogna Messaggi: 874	http://www.microsoft.com/italy/secur...load_ject.mspx In italiano __________________ Freedom for Catalonia \|l*l\| Freedom for all nations in the world <<-꼬씨모->> Get Firefox!

26-06-2004, 11:28	#6
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	maggiori informazioni qui http://isc.sans.org/ Ciao Eraser __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

26-06-2004, 09:24	#5
ercolino Senior Member Iscritto dal: Feb 2003 Città: Torino Messaggi: 3708	Il virus è questo come potete vedere anche dal link della Microsoft http://securityresponse.symantec.com...ob.trojan.html http://it.trendmicro-europe.com/ente...Name=JS_SCOB.A Al momento la diffusione è bassa la symantec da ieri sera ha portato la pericolosità da 1 a 2 ,ma potrebbe anche portarla nelle prossime ore a 3-4 La Trend ha rilasciato questa mattina l'antitodo.

26-06-2004, 15:48	#8
Mounty Senior Member Iscritto dal: Oct 2002 Messaggi: 1243	Sapreste dirmi se i prodotti della symantech sono aggiornati? Grazie.

26-06-2004, 19:10	#9
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	http://www.hwinit.net/modules/news/a...hp?storyid=557 __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

27-06-2004, 16:36	#10
Luca GT Senior Member Iscritto dal: Aug 2003 Città: Noale (Venezia) Messaggi: 646	Ecco la soluzione definitiva !!! http://forum.hwupgrade.it/showthread...hreadid=671174

27-06-2004, 19:11	#11
allmaster Senior Member Iscritto dal: Nov 1999 Città: Zion Messaggi: 3121	non direi che è una soluzione, ma una alternativa domani se ho tempo lo installo sulla mia macchina di test (il PC in ufficio ) __________________ Così tra questa immensità s'annega il pensier mio e il navigar* m'è dolce in questo mare.*

27-06-2004, 23:56	#12
Qnick Senior Member Iscritto dal: Dec 2001 Città: Pordenone Messaggi: 7258	Avevo appena postato sul thread di firefox, ma riporto anche qua un po' di info utili: innanzitutto la prima notizia era apparsa qualche giorno fa su Repubblica, a questo indirizzo. Da cui traggo brevemente: "Il meccanismo dell'attacco è questo: i pirati entrano nel server che ospita il sito, e modificano alcune pagine inserendo un codice maligno. Quando un visitatore apre le pagine modificate, il suo computer contatta un server remoto, e viene infettato. A quel punto, l'aggressore è in grado di entrare nel computer della vittima e di acquisirne il pieno controllo. Tutto avviene senza che l'utente si accorga di nulla. L'attacco sembra sfruttare alcune gravi falle di prodotti Microsoft: secondo quanto riferito dal Computer emergency readiness team (Cert), i siti colpiti risiedono tutti su server che utilizzano il sistema Microsoft IIS 5, e l'aggressione va a buon fine soltanto se il navigatore visita il sito attraverso il browser Microsoft Internet Explorer. "Non riporteremo una lista dei siti infetti, in modo da prevenire ulteriori abusi", dichiara l'Internet storm center (Isc) in un comunicato. "Ma possiamo dire che la lista è lunga e comprende organizzazioni di norma immuni da questo tipo di problemi". Secondo l'Isc, il fine ultimo dell'attacco è trasformare tutti i computer infetti in veicoli di spam. Molti indizi lasciano supporre che dietro l'attacco non ci siano hacker comuni, ma qualche gruppo criminale ben organizzato, probabilmente russo." Successivamente (oggi) PI ha confermato quanto sopra: http://punto-informatico.it/p.asp?i=48771 Da cui riporto brevemente la parte più interessante: "Come si è detto, l'attacco sfrutta due vulnerabilità di Windows: la prima, che riguarda Outlook Express, è stata corretta dal big di Redmond con il rilascio del bollettino MS04-013; la seconda, scoperta la scorsa settimana, interessa invece Internet Explorer e, al momento, è ancora senza patch. Quest'ultima falla, di tipo cross zone scripting, può consentire ad un aggressore di aggirare le restrizioni di sicurezza del browser di Microsoft per riversare sul computer della vittima programmi malevoli. Sono esenti da questi problemi gli utenti che utilizzano un browser differente da IE o abbiano installato la Release Candidate 2 del Service Pack 2 per Windows XP. Se per fermare l'attacco lato server è sufficiente installare la patch per IIS 5, Microsoft ha spiegato che lato client è necessario affiancare alle ultime patch critiche un firewall personale e un antivirus aggiornato. Il CERT suggerisce anche di disabilitare l'esecuzione degli script, anche se ciò potrebbe inficiare l'apparenza o la funzionalità di alcuni siti. Il modo più semplice per sapere se un PC è stato infettato è cercare la presenza dei file Kk32.dll e/o Surf.dat: se presenti, Microsoft suggerisce di eliminare il codice malevolo servendosi di un antivirus aggiornato. Sebbene i danni causati dall'attacco Download.Ject non siano neppure confrontabili con quelli seguiti alle epidemie di worm come Sasser e Blaster, gli esperti temono che questo tipo di minacce possa costituire in breve tempo un pericolo molto serio: ai cracker basterebbe infatti attaccare con successo uno fra i primi cento siti più visitati al mondo per infettare in breve tempo migliaia di PC e utilizzarli, ad esempio, per spedire tonnellate di e-mail pubblicitarie." Edit: solo ora ho letto anche le info dettagliate su hwinit, del solito ottimo eraser __________________ Main PC: AMD Opteron 175 @2850MHz Vc 1,404v .::. DFI NF4 Ultra-D .::. 2x1GB DDR Samsung ZCCC @275MHz .::. XFX 9800GT XXX Ed. .::. Hitachi 7k250 .::. NEC 7200S .::. LiteON 812s@832s .::. TT Minityp-90 + Scythe KamaPWM 92mm .::. Corsair HX 520W .::. My X2 4200+ Link Ultima modifica di Qnick : 28-06-2004 alle 00:06.

01-07-2004, 15:29	#13
Mounty Senior Member Iscritto dal: Oct 2002 Messaggi: 1243	Scusate ma nel frattempo è cambiato qualcosa riguardo questo virus?

01-07-2004, 18:22	#14
eraser Senior Member Iscritto dal: Nov 2001 Città: Bastia Umbra (PG) Messaggi: 6395	non ci sono stati grossi passi avanti, quindi per ora l'ipotesi più veritiera è quella della mancanza sui server della patch legata al bollettino microsoft MS04-011 Ciao Eraser __________________ :: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio ::

18-07-2004, 16:47	#15
Mounty Senior Member Iscritto dal: Oct 2002 Messaggi: 1243	Sapreste dirmi se con i nuovi aggiornamenti di win update sono stati risolti i problemi relativi a questo virus? Grazie.

18-07-2004, 20:01	#16
allmaster Senior Member Iscritto dal: Nov 1999 Città: Zion Messaggi: 3121	l'aggiornamento che lo risolve è: Aggiornamento critico per ADODB.stream (KB870669) e lo trovi su WU __________________ Così tra questa immensità s'annega il pensier mio e il navigar* m'è dolce in questo mare.*

Strumenti
Mostra una versione stampabile Invia questa pagina per email