Virus DEL PC E soluzioni..

Virus Sasser



Sono 300 milioni i computer a rischio in tutto il mondo colpiti dal baco informatico Sasser la cui diffusione, particolarmente veloce ed intensa degli ultimi giorni, fa temere l'inizio di un'altra epidemia di virus mondiale.

Di questo virus, secondo gli esperti nei prossimi giorni, faranno la loro comparsa molte varianti provocando danni anche se vengono aggiornati gli antivirus, rivelandosi inefficaci se non viene installata la patch di Microsoft, presente in questa pagina
www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Il virus si diffonde a caso, scandagliando la rete, alla ricerca di indirizzi IP vulnerabili.
Segnali che avvisano che siete stati infettati dal virus sono che il computer si riavvia ogni volta che si connette a Internet, un certo rallentamento del computer e la comparsa di un arresto invocato da NT AUTHORITY\SYSTEM con questo messaggio d'errore
Il processo di sistema C:\WINDOWS\system32\lsass.exe" è terminato in modo non previsto con codice di stato - 1073741819. Il sistema sarà chiuso e riavviato

Gli utenti più esperti possono vedere se in computer è infettato controllando l'esistenza del file avserve.exe nella cartella di Windows o il processo avserve.exe in memoria.

Come detto precedentemente il virus non si propaga per email ma sfrutta una vulnerabilità dei sistemi operativi non aggiornati, e attraverso un sovraccarico di buffer permette l'esecuzione del codice sulla macchina presa di mira.
Si propaga mediante scansione casuale di indirizzi IP sulla porta TCP 445. Se trova un sistema non aggiornato e non protetto adeguatamente da firewall crea un ftp script sulla macchina vittima in modo da attuare un server ftp che permette il download e l'esecuzione del virus.
L'host infetto accetterà il traffico sulla porta TCP 5554.

Sasser si replica nella directory di sistema creando file exe col nome di una sequenza numerica di 4 o 5 cifre seguita da _up.exe
( ad esempio c:\WINDOWS\system32\11583_up.exe ).

Nel registro iscrive la seguente chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "avserve.exe" = C:\WINDOWS\avserve.exe

Come rimuovere il virus

- Terminate dal task manager (CTRL+ALT+CANC e tasto dx del mouse) i processi avserve.exe e quelli denominati da sequenza numerica,

- Eliminate la chiave di registro ed applicate subito la patch Microsoft, avendo cura di attivare innanzitutto un firewall : per gli utenti di XP quello in dotazione per gli altri, se non dotati, consiglio un ottimo e gratuito firewall Sygate Personal Firewall

- Usate un removal tool per rimuovere Sasser ( vedi elenco sotto), disabilitando prima il Ripristino configurazione di sistema. ( dalle proprietà delle risorse di sistema - Tasto destro su Risorse del computer ---> proprietà ----> Ripristino configurazione di sistema --- > mettere spunta alla casella Disattiva ripristino configurazione di sistema)

Come non prendere il virus

Per chi non fosse ancora stato infettato dal virus seguire con attenzioni queti piccoli accorgimenti:

- Non connettetevi ad internet e abilitate subito un firewall : per gli utenti XP utilizzare quello in dotazione , per gli altri, se non dotati, consiglio un ottimo e gratuito firewall Sygate Personal Firewall

- Scaricate la Pack di Micorsoft
www.microsoft.com/technet/security/bulletin/MS04-011.mspx

- Aggiornare il proprio anitivirus e verificare,per scupolo, di non avere il computer infettato.

Esistono già tool predisposti dalle maggiori case produttrici di antivirus, in grado di rimuoverlo ( vedi link sotto) ed il virus a oggi ha già due varianti, per cui usare un tool per ogni variante.
Vi riporto infine la pagina di Symatec in cui sono spiegate le caratteristiche di questo virus e le azioni da intraprendere per una sua rimozione manuale

Virus Netsky

Un nuovo virus, Netsky ( di cui esistono già vari varianti B, C, D, E, etc), si sta rapidamente diffondendo in queste ore in Italia (18/02/2004) ,mentre giungono notizie che abbia già contaminato molti computer in Giappone, Olanda, Svezia e Germania

Il virus che risiede in nella memoria del computer si propaga utilizzando il protocollo SMTP ( contiene un infatti proprio motore SMTP per costruire messaggi in uscita) ed invia un massiccio numero di email.
Camuffa l’indirizzo (campo FROM nei messaggi) in modo che chi riceve email non sia in grado di visualizzare chi sia il reale mittente.
Contiene inoltre un componente per l’accesso remoto ed una notifica viene inviata all’hacker.
Passa inoltre nei sistemi come un file eseguibile con doppia estensione usando un'icona di World.

Dopo la sua esecuzione, il file si propaga in tutte le cartelle condivise dell'utente infetto, autoinviandosi agli indirizzi trovati nella rubrica della vittima e installandosi automaticamente sui drive di rete.
Il virus analizza inoltre tutti i drive da C a Z cercando cartelle che si chimano "Share" or "Sharing," e copia sè stesso in queste cartelle al fine di propagarsi attraverso i programmi di File Sharing

Il virus si duplica in una cartella utilizzando il filename SERVICES.EXE, aggiunge una chiave ai registri in modo da attivarsi all’accensione del computer e mostra questa finestra di errore



Il codice di rischio assegnato da Symatec per questo virus è già al massimo livello, 4

ecco il testo dell'email che potrebbe arrivarvi con un allegato di 22 k

----- Original Message -----
From: [email protected]
To: [email protected]
Sent: Wednesday, February 18, 2004 6:09 PM
Subject: [newsletter xxxxxxxxxx] read it immediately
Message :you are bad

con allegato un file "textfile.zip"

Il soggetto e il testo del messaggio possono essere molteplici, come pure i nomi degli allegati .
Per non farsi infettare dal virus è sufficiente non aprire l'allegato

Se pertanto ricevete in questi giorni email con allegati, prima aprirli verificate se soggetto, testo e allegato dell'email che avete ricevuto sono simili a quelli indicati nel sito di Symatec


Il virus può essere rimosso manualmente seguendo quanto indicato in questo articolo o tramite il tool messo a punto dalla Symatec

Virus Beagle.B



Si è già diffuso in vari parti del mondo a partire da oggi (17 Febbraio 2004) e sta per arrivare anche qui in Italia, questo nuovo virus che, secondo gli esperti, sarà ben presto classificato come altamente pericoloso (codice ross ) dal nome Beagle.B o Aula

La vera minaccia di questo virus risiede nel fatto che è in grado aprire un backdoor nei sistemi in cui penetra attraverso l'apertura della porta TCP 8866 ,ossia, aprendo questa porta, è in grado di permettere un pieno controllo del computer, da parte dell'hacker che ha creato il virus.

Una pecauzione immediata contro l'attacco di questo virus è consigliata a chi ha installato nelle proprie reti aziendali o sul prorpio computer un firewall: non permettere l'accesso alla porta TCP 8866.

Il virus si diffonde attraverso la posta elettronica, contiene infatti un proprio motore SMTP in grado di costruire messaggi con soggetti e allegati casuali, diversi ogni volta ed è programmato per fermarsi il 25/02/2004

Ecco una copia del messaggio che potrebbe arrivarvi

----- Original Message -----
From: [email protected]
To: [email protected]
Subject: ID (numero casuale)... thank
Attachment: (casuale).exe
Message : Yours ID (numero casuale)
---
Thank

Aprendo l'allegato infetto il virus si auto copia nella directory di sistema di Windows come au.exe, procede ad aprire il registratore di suoni di Windows (Sound Recorder) eseguendo l'applicazione sndrec32.exe , modifica la chiave di registro in
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\,
apre la porta TCP port 8866 ed infine accede poi ai seguenti diversi siti web:
www.strato.de/1.php
www.strato.de/2.php
www.47df.de/wbboard/1.php
www.intern.games-ring.de/2.php
( pertanto è consigliato agli amministratori di sitema di bloccarne l'accesso)
Effettua una scansione di tutti i file presenti nel computer ricercando quelli con estensione:
.wab
.txt
.htm
.html
Ed infine provvede ad autospedirsi a tutti gli indirizzi email che trova nelle pagine sopra analizzate

Esistono già tool predisposti dalle maggiori case produttrici di antivirus, in grado di rimuoverlo ( vedi link sotto) .
Vi riporto infine la pagina di Symatec in cui sono spiegate le caratteristiche di questo virus e le azioni da intraprendere per una sua rimozione manuale

Virus Dumaru Y


Elene scrive a tutti e manda in giro la sua foto , ma come al solito non aprite l'allegato perchè si tratta del virus Dumaru.Y
Il virus online dal 24 gennaio 2004 è un worms che utilizza vari metodi per impossessarsi dei dati sul vostro pc come password e altro.

Il testo dell'email è molto breve a avvisa solo che allegato all'email "c'è la mia foto che mi hai richiesto ieri" e arriva da Elene con email [email protected]
Ecco il testo dell'email

From: "Elene < [email protected] >"
Subject: : Important information for you.Read it immediately !
Attached file: myphoto.zip
Hi !

Here is my photo, that you asked for yesterday.

L'allegato da non aprire è myphoto.zip
Se lo fate il vostro computer verrà infettato dal virus Dumaru.Y che provvederà ad autospedirsi cercando indirizzi nella vostra rubrica e impadronendosi di alcuni vostri dati

Il virus può essere rimosso manualmente seguendo quanto indicato in questo articolo

Rimuovi Dumaru Y

Ultimo consiglio : se siete abili ad usare i filtri della vostra posta elettronica, bloccate tutti i messaggi che vi arrivano da Elene < [email protected] > o se oggetto del messaggio contiene Important information for you.Read it immediately ! e il virus Dumaru Y non vi darà più alcun fastidio

Malware

Nella sicurezza informatica il termine malware indica genericamente un qualsiasi software creato con il solo scopo di causare danni più o meno gravi ad un computer o un sistema informatico su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano è detto anche codice maligno.
La diffusione di tali software risulta in continuo aumento: si calcola che nel solo anno 2008 su Internet siano girati circa 15 milioni di malware, di cui quelli circolati tra i mesi di gennaio e agosto sono pari alla somma dei 17 anni precedenti, e tali numeri sono destinati verosimilmente ad aumentare con l'espansione della Rete e il progressivo diffondersi della cultura informatica.

Categorie di malware

Si distinguono molte categorie di malware, anche se spesso questi programmi sono composti di più parti interdipendenti e rientrano pertanto in più di una classe. Vista inoltre la rapida evoluzione in questo campo, la classificazione presentata di seguito non è da ritenersi esaustiva.
Virus: sono parti di codice che si diffondono copiandosi all'interno di altri programmi, o in una particolare sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un computer a un altro tramite lo spostamento di file infetti ad opera degli utenti.
Worm: questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Per indurre gli utenti ad eseguirli utilizzano tecniche di ingegneria sociale, oppure sfruttano dei difetti (Bug) di alcuni programmi per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose.
Trojan horse: software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli, contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore. Non possiedono funzioni di auto-replicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso cavallo di Troia.
Backdoor: letteralmente "porta sul retro". Sono dei programmi che consentono un accesso non autorizzato al sistema su cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una forma di accesso lecita di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password dimenticata.
Spyware: software che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato. Le informazioni carpite possono andare dalle abitudini di navigazione fino alle password e alle chiavi crittografiche di un utente.
Dialer: questi programmi si occupano di gestire la connessione ad Internet tramite la normale linea telefonica. Sono malware quando vengono utilizzati in modo illecito, modificando il numero telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale, allo scopo di trarne illecito profitto all'insaputa dell'utente.
Hijacker: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser) e causano l'apertura automatica di pagine Web indesiderate.
Rootkit: i rootkit solitamente sono composti da un driver e, a volte, da copie modificate di programmi normalmente presenti nel sistema. I rootkit non sono dannosi in sé, ma hanno la funzione di nascondere, sia all'utente che a programmi tipo antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare spyware e trojan.
Scareware: sono così chiamati quei programmi che ingannano l'utente facendogli credere di avere il proprio PC infetto, allo scopo di fargli installare dei particolari malware, chiamati in gergo rogue antivirus, caratterizzati dal fatto di spacciarsi per degli antivirus veri e propri, talvolta spacciati anche a pagamento.
Rabbit: i rabbit sono programmi che esauriscono le risorse del computer creando copie di sé stessi (in memoria o su disco) a grande velocità.
Adware: programmi software che presentano all'utente messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o nullo. Possono causare danni quali rallentamenti del pc e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto.
Batch: i Batch sono i cosiddetti "virus amatoriali". Non sono sempre dei file pericolosi in quanto esistono molti file batch tutt'altro che dannosi, il problema arriva quando un utente decide di crearne uno che esegua il comando di formattare il pc (o altre cose dannose) dell'utente a cui viene mandato il file. Non si apre automaticamente, deve essere l'utente ad aprirlo, perciò dato che l'antivirus non rileva i file Batch come pericolosi è sempre utile assicurarsi che la fonte che vi ha mandato il file sia attendibile oppure aprirlo con blocco note per verificare o meno la sua pericolosità. Bisogna però anche dire che esistono modi per camuffare i Batch e farli sembrare dei file exe, aumentandone anche il peso per sedare ogni sospetto. L'utilizzo di questo particolare "malware" è spesso ricorrente nel Cyberbullismo.
Keylogger: I Keylogger sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o che copia e incolla rendendo così possibile il furto di password o di dati che potrebbero interessare qualcun altro. La differenza con gli Adware sta nel fatto che il computer non si accorge della presenza del keylogger e il programma non causa rallentamento del pc, passando così totalmente inosservato. Generalmente i keylogger vengono installati sul computer dai trojan o dai worm, in altri casi invece il keylogger viene installato sul computer da un'altra persona che può accedere al pc o attraverso l'accesso remoto (che permette a una persona di controllare un altro pc dal suo stesso pc attraverso un programma) oppure in prima persona, rubando così dati e password dell'utente.
Rogue antispyware: malware che si finge un programma per la sicurezza del PC, spingendo gli utenti ad acquistare una licenza del programma.
Bomba logica: è un tipo di malware che "esplode" ovvero fa sentire i suoi effetti maligni al verificarsi di determinate condizioni o stati del PC fissati dall'hacker stesso.
Nell'uso comune il termine virus viene utilizzato come sinonimo di malware e l'equivoco viene alimentato dal fatto che gli antivirus permettono di rilevare e rimuovere anche altre categorie di software maligno oltre ai virus propriamente detti.
Si noti che un malware è caratterizzato dall'intento doloso del suo creatore, dunque non rientrano nella definizione data i programmi contenenti bug, che costituiscono la normalità anche quando si sia osservata la massima diligenza nello sviluppo di un software.
Attività criminose legate ai malware

La legislazione relativa ai malware è estremamente variabile a seconda delle nazioni ed è in continua evoluzione. In generale se i virus, i worm e i trojan sono illegali in quasi ogni parte del mondo non si può dire lo stesso per le altre categorie. I dialer in particolare sono di per sé legali, tanto che ogni sistema operativo moderno ne contiene almeno uno. L'ambiguità è peggiorata dal fatto che molti software si situano sul limite che separa un vero e proprio malware da un programma forse fastidioso ma non dannoso.
Attualmente i malware (in particolare trojan, worm, spyware e malware) vengono utilizzati per inviare grandi quantità di file non richiesti dall'utente; quest'ultimi vengono solitamente venduti agli spammer. Esiste un vero e proprio mercato nero legato ai malware: oltre alla compravendita di dati personali, è possibile acquistare l'utilizzo di computer infetti, cioè la possibilità di impiegare, per i propri fini e a insaputa dei legittimi proprietari, una certa quantità (nell'ordine delle migliaia) di computer controllati da remoto tramite una backdoor.

Apple, 'Flashback' prima seria minaccia



(ANSA) - ROMA, 7 APR - Si chiama Flashback il primo virus serio a colpire i personal computer della Apple, in quella che gli esperti stimano come la piu' vasta infezione subita dai Mac in quest'ultimo decennio. L'allarme e' stato lanciato a inizio settimana dalla societa' specializzata in antivirus Dr. Web e confermato oggi dalla connazionale Kapersky: entrambe parlano di almeno 600 mila Mac colpiti. Apple ha rilasciato finora due aggiornamenti software per eliminare la minaccia.