Istruzioni relative al virus NIMDA

Virus NIMDA

Il virus arriva via posta elettronica sottoforma di allegato README.EXE.

NON ESEGUIRE QUESTO PROGRAMMA !!!

Alert: Virus W32.Nimda.A@mm

Si sta diffondendo un virus chiamato W32.Nimda.A@mm.
Tale virus viene inviato via email ed è sotto forma di attachment con nome README.EXE.
Nimba cerca di sfruttare un bug nella gestione del MIME di Outlook ed Outlook Express per esegursi senza bisogno della volontà dell'utente.
Inoltre modifica il file System.ini e copia due file con attributo H (hidden) nella directory Windows. I due file si chiamano load.exe e riched20.dll. Se infettati, il virus si propaga in diversi modi:
- invia email infettate ai destinatari presenti in rubrica
- cerca server IIS vulnerabili all'attacco del servizio di indicizzazione e modifica i file con nome:
index.html index.htm index.asp readme.html readme.htm readme.asp main.html main.htm main.asp default.html default.htm default.asp
aggiungendo del codice Javascript.
Questo Javascript scarica un file chiamato readme.eml e si propaga.
Per evitare il contagio mantenere gli antivirus aggiornati e scaricare la patch per l'Outlook da: http://www.microsoft.com/technet/itsolutions/security/current.asp

ECCO LE CURE

Cura per l'utente finale con Internet Explorer 5.5

Cura per l'utente finale con Internet Explorer 5.1

Cura per i server IIS 4.0 e relativa patch

Cura per i server IIS 5.0

Aggiornamenti per l'antivirus McAfee Agg.1 e Agg.2

Fixnimda per antivirus Norton della Symantec

Per coloro che non hanno antivirus ecco un programmino che pulisce il Nimda.

Ulteriori informazioni

SUL SITO NAI (McAfee) Ulteriori notizie http://www.nai.com

SUL SITO SYMANTEC (Norton Antivirus) Ulteriori notizie http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

DAL NOTIZIARIO GARR

HOT NEWS
Last Update: 19-09-2001 9:40

WARNING: Attacco worm Code Rainbow

A causa di un attacco della nuova versione di Code Red (Code Rainbow) abbiamo filtrato la porta 80 verso le destinazioni esterne alla rete GARR. Per l'accesso ai servizi WWW resta disponibile il servizio GARR-CACHE. Per informazioni sul nuovo worm potete consultare i seguenti link (dopo aver configurato il proxy):

Per maggiori dettagli leggete il notiziario

VIRUS WTC.EXE

NEW YORK - Arriva attraverso l'e-mail con un'intestazione
condivisibile: "Pace fra l'America e l'Islam!". Ma di pacifico c'è poco
in questo nuovo virus che ha messo in allarme gli esperti alla
sicurezza informatica della California. Mascherato da un invito a
votare per o contro la guerra, il virus, una volta aperto il file,
cancella la memoria della macchina. L'allarme lanciato da San Francisco
Simon Perry, vicepresidente dell'azienda di servizi per la sicurezza
telematica Computer Associates International, è di quelli seri e anche
se la guerra sembra solo un pretesto le conseguenze per i computer sono
davvero disastrose.

Per colpire i pc i creatori del virus hanno inventato una semplice
trappola. All'interno del virus, battezzato "vota per la guerra", si
trova un messaggio: "Salve. Ci sarà guerra fra l'America e l'Islam?
Votiamo per vivere in pace!". A questo punto scatta il momento del
voto. Per farlo bisognerebbe aprire l'allegato elettronico dal
titolo "WTC.exe": ed è a questo punto che scatta l'infezione. Il virus
si scatena e penetra nella memoria dell'hard disk, cancellando il
contenuto e inviando una copia del messaggio contagioso a tutti gli
indirizzi di posta elettronica registrati nell'archivio del personal
computer.

Il virus danneggia pagine e siti Internet accessibili dai computer
contagiati e lascia sul video la scritta "America...ancora pochi giorni
e ti faremo vedere di che siamo capaci. E' il nostro turno. Zaker ti
compatisce".

Mistero sul creatore del virus. Secondo Perry non ci sono elementi che
permettano di collegare il virus agli attacchi terroristici dell'11
settembre. Si tratterebbe dunque solo di uno scherzo prodotto da "un
senso dello humour malato" di qualche pirata informatico che cerca di
far leva sull'alta reattività emotiva della gente di fronte al soggetto
guerra.

(articolo tratto da "La Repubblica" del 25/09/2001)

A VIRTUAL CAR FOR YOU

Oggetto: NUOVO VIRUS MOLTO PERICOLOSO: ""A Virtual Card for You""

IL PEGGIOR VIRUS DI SEMPRE (CNN announced)

È appena stato scoperto un nuovo virus, classificato dalla Microsoft come il peggiore mai apparso in
rete. Scoperto ieri pomeriggio dalla McAfee (e' proprio l'antivirus che utilizziamo), non ha ancora un "vaccino" in grado di bloccarlo.

Questo virus distrugge il cosiddetto "Sector zero" dell'hard disk, il cuore delle informazioni del vostro computer.
Ecco quello che succede: tutti i contatti di una mailing list ricevono automaticamente questo virus con il titolo del soggetto "A
Virtual Card for You.". Appena aperta la mail il computer si blocca, costringendovi così a resettarlo. Una volta premuti i tasti ctrl+alt+del o il bottone di reset del vostro computer, il virus attacca e distrugge il Sector Zero, e di conseguenza distrugge permanentemente l'hard disk.
Secondo la CNN esso ha già distrutto un gran numero di computer in America, e in poche ore.
Quindi non aprite nessuna mail sospetta col nome "A Virtual Card for You.".
Nel caso doveste trovarvela nella lista CANCELLATELA IMMEDIATAMENTE,
SENZA APRIRLA.
E inoltre, se ricevete una mail chiamata "An Internet Flower For You" non apritela e cancellatela immediatamente, o distruggerà le
vostre dynamic link libraries (.dll files) e il computer non sarà più in grado di ripartire!

Consiglio generico: Prima di aprire una mail leggete attentamente il campo Subject/ Oggetto.