Virus Sasser.worm.a
03/05/2004

Un nuovo virus arriva dalla rete sfruttando un bug nei sistemi operativi MS Windows.

Notizie dettagliate, aggiornamenti antivirus e istruzioni sulla rimozione si trovano sul sito della NAI e della Symantec:

Notizie tecniche sul bug all'origine della vulnerabilità sfruttata da questo virus e istruzioni su come proteggere il proprio PC si trovano sul sito della Microsoft:

IN CASO DI INFEZIONE (Windows 2000 e XP).
Abbiamo trovato utile in molti casi un programmino specifico che mettiamo a disposizione. Scaricalo da qui Stinger.exe oppure il Removal Tool di Microsoft.
E' disponibile anche il programma FxSasser della Symantec.
 

CD in distribuzione - CEA
ISTRUZIONI PER L'USO
A partire dalle ore 12.00 del 3/5/2004 è in distribuzione presso il CEA per gli uffici dell'Ateneo
un CD contenente i programmi e gli aggiornamenti per la protezione dei PC
e per la eventuale rimozione del virus Sasser.
Passo 1 Scollegare il PC dalla rete disinserendo il cavetto dal retro del PC
Passo 2 Lanciare l'aggiornamento Windows2000-KB835732-x86-ITA.exe (Windows 2000)
Lanciare l'aggiornamento WindowsXP-KB835732-x86-ITA.exe (Windows XP)
Passo 3 Lanciare il tool di rimozione Windows-KB841720-ENU.exe (entrambe i sistemi)
Passo 4 Lanciare lo Stinger.exe (entrambe i sistemi)

Mandare in esecuzione lo stinger
Cliccare sul bottone "Preferences"
Selezionare "boot sectors","Delete" e "Scan all files" e premere OK
Cliccare sul bottone "Scan Now"
Passo 5 Aggiornare il proprio antivirus
Passo 6 Aggiornare il proprio sistema operativo con Windows Update

Virus W32.Bagle.c/e/k
01/03/2004
Virus Netsky.d/MM
01/03/2004


Due nuovi virus arrivano via posta elettronica sottoforma di allegato con estensioni di diverso tipo .EXE, .PIF, .ZIP oppure .SCR

Una volta nel PC il virus si propaga anche tramite le cartelle condivise non protette.
Consigliamo l'eliminazione delle condivisioni non protette.

I virus in questione pur se bloccati a livello centrale dal nostro server (mbox.unict.it) riescono a far passare messaggi dal contenuto allarmante.
Istruzioni dettagliate su come riconoscere questi messaggi sono in linea alla pagina
http://www.unict.it/web-ateneo/avviso-virus.htm

Notizie dettagliate, aggiornamento antivirus e istruzioni sulla rimozione si trovano in:

IN CASO DI INFEZIONE.
Abbiamo trovato utile in molti casi un programmino specifico che mettiamo a disposizione. Scaricalo da qui Stinger.exe
 

Virus W32.Blaster.worm
13/08/2003
Virus Lovsan.worm
13/08/2003
Virus Sobig.f
18/08/2003

Ultimo aggiornamento 22/08/2003

Un nuovo virus arriva dalla rete sfruttando un bug nei sistemi operativi MS Windows.

IMPORTANTE !!!!
Ecco i passi per la protezione del proprio PC anche non infetto

  1. Scaricare ed eseguire la patch per il proprio Sistema Operativo:
    Windows 2000 clicca qui
    Windows XP clicca qui
    (il sistema chiederà di riavviare il computer)

  2. Scaricare e salvare sul desktop il tool di rimozione virus STINGER
    Mandare in esecuzione lo stinger
    Cliccare sul bottone "Preferences"
    Selezionare "boot sectors","Delete" e "Scan all files" e premere OK
    Cliccare sul bottone "Scan Now"

  3. Aggiornare il proprio antivirus

N.B.: E' consigliabile utilizzare anche un altro tool di rimozione distribuito da
Symantec --->>> FixBlast.exe

Notizie dettagliate, aggiornamenti antivirus e istruzioni sulla rimozione si trovano sul sito della Symantec e su quello NAI:

E' inoltre utile consultare la pagina Microsoft relativa a questi virus.

--------------------------------------------

INFINE è utile verificare anche il proprio PC relativamente ad un altro virus (SOBIG.f)
 Gli uffici pubblici italiani sono stati allertati del pericolo rappresentato dal virus informatico Sobig.
A lanciare l'allarme via posta elettronica è stato il Cnipa, centro nazionale per l'informatica della pubblica amministrazione.
Clicca qui per leggere l'avviso emanato dal CNIPA.

 

Virus Sobig.C
04/06/2003
Allegati .scr o .pif

W32/Sobig.c@MM

Un nuovo virus arriva via posta elettronica sottoforma di allegato con estensione  .PIF oppure .SCR

Una volta nel PC il virus si propaga anche tramite le cartelle condivise non protette.
Consigliamo l'eliminazione delle condivisioni non protette.

Notizie dettagliate, aggiornamento antivirus e istruzioni sulla rimozione si trovano in:

IN CASO DI INFEZIONE.
Abbiamo trovato utile in molti casi un programmino specifico che mettiamo a disposizione. Scaricalo da qui AntiSobig-en.exe.
Un altro tool per la rimozione del virus lo trovi in http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.c.removal.tool.html

Virus LovGate
15/05/2003
Allegati .exe o .pif

W32/Lovgate.?@???

Un nuovo virus arriva via posta elettronica sottoforma di allegato con estensione .EXE, .PIF oppure .JPG

Una volta nel PC il virus si propaga anche tramite le cartelle condivise non protette.
Consigliamo l'eliminazione delle condivisioni non protette.

Abbiamo trovato utile in molti casi un programmino specifico che mettiamo a disposizione. Scaricalo da qui STINGER.EXE.
 Una volta scaricato e lanciato il programma STINGER bisogna cliccare su "Preferences" e selezionare la voce "Delete" tra le opzioni del gruppo "On virus detection".

Ecco l'elenco di alcuni nomi di file allegati contenenti il virus:

L'oggetto del messaggio può essere vario. Eccone alcuni esempi:

Subject: Cracks!
Body: Check our list and mail your requests!
Attachment: CrkList.exe
or
Subject: The patch
Body: I think all will work fine.
Attachment: Patch.exe
or
Subject: Last Update
Body: This is the last cumulative update.
Attachment: LUPdate.exe
or
Subject: Do not release
Body: This is the pack ;)
Attachment: Pack.exe
or
Subject: Beta
Body: Send reply if you want to be official beta tester.
Attachment: _SetupB.exe
or
Subject: Help
Body: I'm going crazy... please try to find the bug!
Attachment: Source.exe
or
Subject: Evaluation copy
Body: Test it 30 days for free.
Attachment: Setup.exe
or
Subject: Pr0n!
Body: Adult content!!! Use with parental advisory.
Attachment: Sex.exe
or
Subject: Roms
Body: Test this ROM! IT ROCKS!
Attachment: Roms.exe
or
Subject: Documents
Body: Send me your comments...
Attachment: Docs.exe

NON APRIRE QUESTO MESSAGGIO MA SOPRATTUTTO NON APRIRE L'ALLEGATO.

QUALSIASI BUON ANTIVIRUS (se aggiornato) COMUNQUE DOVREBBE IMPEDIRNE L'ESECUZIONE AUTOMATICA.

Per maggiori informazioni visitate il sito McAfee
http://vil.nai.com/vil/content/v_100183.htm

Sono ancora validi gli avvisi delle settimane scorse relativamente ai seguenti virus in diffusione in questo periodo:

 

Virus NIMDA

Il virus arriva via posta elettronica sottoforma di allegato README.EXE.

NON ESEGUIRE QUESTO PROGRAMMA !!!

Alert: Virus W32.Nimda.A@mm

Si sta diffondendo un virus chiamato W32.Nimda.A@mm.
Tale virus viene inviato via email ed è sotto forma di attachment con nome README.EXE.
Nimba cerca di sfruttare un bug nella gestione del MIME di Outlook ed Outlook Express per esegursi senza bisogno della volontà dell'utente.
Inoltre modifica il file System.ini e copia due file con attributo H (hidden) nella directory Windows. I due file si chiamano load.exe e riched20.dll. Se infettati, il virus si propaga in diversi modi:
- invia email infettate ai destinatari presenti in rubrica
- cerca server IIS vulnerabili all'attacco del servizio di indicizzazione e modifica i file con nome:
index.html index.htm index.asp readme.html readme.htm readme.asp main.html main.htm main.asp default.html default.htm default.asp
aggiungendo del codice Javascript.
Questo Javascript scarica un file chiamato readme.eml e si propaga.
Per evitare il contagio mantenere gli antivirus aggiornati e scaricare la patch per l'Outlook da: http://www.microsoft.com/technet/itsolutions/security/current.asp

ECCO LE CURE

Cura per l'utente finale con Internet Explorer 5.5

Cura per l'utente finale con Internet Explorer 5.1

Cura per i server IIS 4.0 e relativa patch

Cura per i server IIS 5.0

Aggiornamenti per l'antivirus McAfee Agg.1 e Agg.2

Fixnimda per antivirus Norton della Symantec

Per coloro che non hanno antivirus ecco un programmino che pulisce il Nimda.

Ulteriori informazioni

SUL SITO NAI (McAfee) Ulteriori notizie http://www.nai.com

SUL SITO SYMANTEC (Norton Antivirus) Ulteriori notizie http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html

DAL NOTIZIARIO GARR

HOT NEWS
Last Update: 19-09-2001 9:40
WARNING: Attacco worm Code Rainbow

A causa di un attacco della nuova versione di Code Red (Code Rainbow) abbiamo filtrato la porta 80 verso le destinazioni esterne alla rete GARR. Per l'accesso ai servizi WWW resta disponibile il servizio GARR-CACHE. Per informazioni sul nuovo worm potete consultare i seguenti link (dopo aver configurato il proxy):

Per maggiori dettagli leggete il notiziario

 

VIRUS WTC.EXE

NEW YORK - Arriva attraverso l'e-mail con un'intestazione
condivisibile: "Pace fra l'America e l'Islam!". Ma di pacifico c'è poco
in questo nuovo virus che ha messo in allarme gli esperti alla
sicurezza informatica della California. Mascherato da un invito a
votare per o contro la guerra, il virus, una volta aperto il file,
cancella la memoria della macchina. L'allarme lanciato da San Francisco
Simon Perry, vicepresidente dell'azienda di servizi per la sicurezza
telematica Computer Associates International, è di quelli seri e anche
se la guerra sembra solo un pretesto le conseguenze per i computer sono
davvero disastrose.

Per colpire i pc i creatori del virus hanno inventato una semplice
trappola. All'interno del virus, battezzato "vota per la guerra", si
trova un messaggio: "Salve. Ci sarà guerra fra l'America e l'Islam?
Votiamo per vivere in pace!". A questo punto scatta il momento del
voto. Per farlo bisognerebbe aprire l'allegato elettronico dal
titolo "WTC.exe": ed è a questo punto che scatta l'infezione. Il virus
si scatena e penetra nella memoria dell'hard disk, cancellando il
contenuto e inviando una copia del messaggio contagioso a tutti gli
indirizzi di posta elettronica registrati nell'archivio del personal
computer.

Il virus danneggia pagine e siti Internet accessibili dai computer
contagiati e lascia sul video la scritta "America...ancora pochi giorni
e ti faremo vedere di che siamo capaci. E' il nostro turno. Zaker ti
compatisce".

Mistero sul creatore del virus. Secondo Perry non ci sono elementi che
permettano di collegare il virus agli attacchi terroristici dell'11
settembre. Si tratterebbe dunque solo di uno scherzo prodotto da "un
senso dello humour malato" di qualche pirata informatico che cerca di
far leva sull'alta reattività emotiva della gente di fronte al soggetto
guerra.

(articolo tratto da "La Repubblica" del 25/09/2001)

A VIRTUAL CARD FOR YOU

Oggetto: NUOVO VIRUS MOLTO PERICOLOSO:  ""A Virtual Card for You""

IL PEGGIOR VIRUS DI SEMPRE (CNN announced)

È appena stato scoperto un nuovo virus, classificato dalla Microsoft come il  peggiore mai apparso in
rete. Scoperto ieri pomeriggio dalla McAfee  (e' proprio l'antivirus che utilizziamo), non ha ancora un "vaccino" in  grado di bloccarlo.

Questo virus distrugge il cosiddetto "Sector zero" dell'hard disk, il cuore delle informazioni del vostro computer.
Ecco quello che succede: tutti i contatti di una mailing list ricevono automaticamente questo virus con il titolo del soggetto "A
Virtual Card for You.". Appena aperta la mail il computer si blocca, costringendovi così a resettarlo. Una volta premuti i tasti ctrl+alt+del o il bottone di reset del vostro computer, il virus attacca e distrugge il Sector Zero, e di conseguenza distrugge permanentemente l'hard disk.
Secondo la CNN esso ha già distrutto un gran numero di computer in America, e in poche ore.
Quindi non aprite nessuna mail sospetta col nome "A Virtual Card for You.".
Nel caso doveste trovarvela nella lista CANCELLATELA IMMEDIATAMENTE,
SENZA APRIRLA.
E inoltre, se ricevete una mail chiamata  "An Internet Flower For You" non apritela e cancellatela immediatamente, o distruggerà le
vostre  dynamic link libraries (.dll files) e il computer non sarà più in grado di ripartire!

Consiglio generico:  Prima di aprire una mail leggete attentamente il campo Subject/ Oggetto.