Attenzione Virus Worm Sober

[effezeta]

Vi giro la mail che mi ha inviato sella, a me queste mail contenenti il virus sono arrivate da vodafone con indizzi vari @191.it


Gentile Cliente,

desideriamo informarLa che in questi giorni si sta diffondendo, sempre piu' velocemente, il Virus .

Questo Virus Worm invia un'email con un oggetto variabile tra quelli di seguito riportati:

Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Registration confirmation
registration confirmation

Per una maggiore comprensione dello stesso Le riportiamo di seguito la modalita' di diffusione: il virus, una volta contagiato un computer, estrae tutti gli indirizzi di posta presenti sul programma di posta stesso installato sul computer, dai documenti e dagli indirizzi presenti in rubrica.

Estratti gli indirizzi, li spezza in due parti (tutto quello che si trova prima della @ e tutto quello che si trova dopo) e li ricompone in maniera semicasuale, utilizzandoli poi come mittenti di nuovi messaggi. Il virus quindi comincia a creare dei messaggi di posta, generando anche gli oggetti in modo casuale, allegandosi agli stessi per diffondersi e moltiplicarsi in rete.

Questo tipo di funzionamento consente al virus di comporre messaggi molto diversi per contenuto, mittente e oggetto, in modo da renderne piu' difficile l'identificazione o il blocco da parte di sistemi antispam (di quei programmi cioe' creati apposta per filtrare la posta indesiderata).

Anche se il mittente ha un indirizzo simile a quelli utilizzati da Banca Sella, al fine di evitare il propagarsi del Virus, La invitiamo a non prendere in considerazione tali comunicazioni, indipendentemente dal mittente e dalla provenienza ed a non aprire il file allegato.

Desideriamo inoltre rassicurarLa che il sito Sella.it ha adottato tutte le misure necessarie per la protezione dei nostri Servizi on line e per le email ricevute ed inviate, in maniera tale da evitare la diffusione di Virus o di Worm informatici.

Al fine di prevenire la diffusione ed il contagio da questa tipologia di Virus Worm
La informiamo
che un qualsiasi prodotto di Antivirus, correttamente configurato ed aggiornato, puo' rilevare e mettere in sicurezza il Personal Computer utilizzato.

Cogliamo l'occasione per porgere cordiali saluti.

 

[percefal]

Ricevo dal supplemento di Punto Informatico, e giro.


UN WORM PERICOLOSO
------------------

E' stato scoperto nelle scorse ore ma ha gia' dimostrato grandissime
capacita' di diffusione un worm, MyDoom.A, capace di compromettere la
sicurezza dei sistemi che aggredisce e generare un attacco via Internet
contro il sito www.Sco.com.

Per queste caratteristiche gli osservatori antivirus hanno gia'
posizionato MyDoom.A tra i worm piu' pericolosi. MyDoom.A, noto anche come
Novarg.A o MiMail.R, attacca tutti i sistemi Windows.

COME SI DIFFONDE
----------------

MyDoom utilizza i computer infettati per distribuirsi ulteriormente in
rete, via email o attraverso i network del peer-to-peer.

In particolare, come molti altri worm, MyDoom scansiona i file del
computer colpito a caccia di indirizzi di posta elettronica ai quali
spedisce una email con un allegato che lo contiene. Aperto l'allegato, il
worm si infila nel computer della sua vittima.

Oltre a diffondersi via email, MyDoom piazza una copia di se stesso
anche nella cartellina condivisa di cui l'utente colpito potrebbe disporre
se utilizza sistemi peer-to-peer come Kazaa. In quel caso il file
infetto assume il nome di un software molto conosciuto, come Winamp
piuttosto che ICQ, cercando di indurre cosi' gli altri utenti del peer-to-peer
a scaricarlo ed attivarlo.

COME RICONOSCERLO
-----------------

Come molti altri worm, anche MyDoom inserisce un mittente casuale tra
quelli trovati nel computer infettato per dare l'idea a chi lo riceve
che il messaggio e' stato spedito da un apersona conosciuta.

Il soggetto del messaggio puo' essere uno tra i seguenti:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Mentre il testo dell'email puo' contenere una delle seguenti frasi:

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary
attachment.
The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.

Anche il nome dell'allegato, ovvero del worm, varia ma la sua
dimensione rimane sempre la stessa: 22.258 byte.

GLI EFFETTI DI MyDoom
---------------------

Una volta attivato, il worm apre le porte TCP dalla 3127 alla 3198, una
procedura che mette a rischio l'integrita' del computer colpito in
quanto potrebbe consentire ad un cracker o all'autore del worm di entrare
nel sistema infetto.

La backdoor cosi' creata consente non solo di arrivare dall'esterno ai
computer che sono connessi in rete con il computer infetto ma e' anche
di eseguire sulla macchina colpita altri file scaricati da Internet.

Inoltre, MyDoom e' studiato per trasformare i computer infettati in
macchine di attacco di rete: dal primo febbraio fino al 12 febbraio,
infatti, MyDoom tentera' di far partire una aggressione di tipo distributed
denial-of-service (dDoS) contro il sito www.sco.com. Si tratta di un
attacco al quale parteciperanno tutti i computer infetti che spediranno
ai server che gestiscono quel sito un alto numero di richieste nel
tentativo di comprometterne il funzionamento e ostacolarne l'accesso.

Il 12 febbraio MyDoom cessera' qualsiasi attivita'.

INTERVIENE SUL REGISTRO
-----------------------

Quando viene attivato, MyDoom infila il file shimgapi.dll nella
cartellina System di Windows. Nella stessa cartellina inserisce anche il file
Taskmon.exe: se tale file gia' esiste dentro System il worm lo
rimpiazza.

Shimgapi.dll altro non e' che una sorta di proxy server che apre le
porte TCP e consente all'autore del worm di accedere da remoto alla
macchina colpita o di farle scaricare ed eseguire file presi da Internet.

Dopo aver aperto le porte, Shimgapi si inserisce nel file di registro
di Windows dove compie alcune modifiche e aggiunge anche il valore
System\Taskmon.exe. Cosi' facendo prepara il computer colpito a partecipare
all'attacco denial-of-service contro www.sco.com.

COME DIFENDERSI
---------------

Vista la natura sfuggente del worm, che presenta messaggi email sempre
diversi o si maschera in file in apparenza innocui, e' necessario
esercitare la massima prudenza, in particolare ricordando che le dimensione
del file infetto che arriva allegato all'email sono, come detto, sempre
le stesse.

Tutti i principali produttori antivirus hanno appena aggiornato le
proprie definizioni contro MyDoom ed e' quindi bene procedere subito
all'aggiornamento del software di protezione sul proprio computer.

ULTERIORI INFORMAZIONI
----------------------

Per approfondire la conoscenza di questo virus si puo' fare riferimento
alle pagine del Security Response:
http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm. html

Anche il centro antivirus di Sophos ha messo a punto una pagina
informativa su MyDoom:
http://www.sophos.com/virusinfo/analyses/w32mydooma.html

 

[effezeta]

Incredibile ho la casella di posta piena zeppa di messaggi infettati, per fortuna bloccati da Norton oggi ne avro cancellati almeno 30

 

[effezeta]

Continua la tempesta, questa mattina come ho aperto la posta mi gha scaricato 42 mail che Norton ha ritenuto di mettere in quarantena

 

[effezeta]

Non ne posso più passo il tempo a cliccare sulla finestra di norton per eliminare i file infetti, la maggior parte delle mail mi arriva dal 190.it poi anche da libero.it da tin.it.

 

[Patatone]

è una epidemia, qui al lavoro siamo in una rete molto vasta e ben protetta, ugualmente oggi ce ne saranno arrivati un centinaio .....

 

[effezeta]

è una epidemia, qui al lavoro siamo in una rete molto vasta e ben protetta, ugualmente oggi ce ne saranno arrivati un centinaio .....

Accidenti ma è una cosa veramente odiosa, certo sarebbe peggio se il virus non venisse fermato

 

[effezeta]

A me relativamente pochi, anche perchè sono senza antivirus in un computer, e con uno scaduto nell'altro. Che sia un caso?
Non apro nessun allegato però

Nenche io li apro perche lòi ferma tutti norton ma devo continuamente clickare su elimina, possibile che non ci sia una maniera per farli eliminare da soli dall'antivirus

 

[effezeta]

UN FRATELLO DISPETTOSO
----------------------

Nelle scorse ore si e' cominciata a diffondere su Internet una prima variante di MyDoom, il worm oggetto dell'ultimo lancio di SalvaPC News e che nel giro di poche ore ha raggiunto una diffusione tale da mettere in allarme provider, utenti e certamente le aziende che producono software antivirus.

Forse proprio per le capacita' di diffusione di MyDoom, qualcuno, con ogni probabilita' gli stessi autori del codicillo diabolico, ha pensato di mettere in circolazione questa nuova versione, identificata come MyDoom.B, che ha molto in comune con l'originale ma aggrava i tempi dell'infezione.

E' quindi possibile che nelle prossime ore appaiano anche altre varianti di questo worm, con l'obiettivo di colpire il maggior numero possibile di computer dotati di sistemi Windows, sfruttando quello spazio di tempo che trascorre tra l'inizio della diffusione di un worm e le reazioni dei produttori antivirus, delle grandi societa' e degli utenti.

COSA FA
-------

Come la prima versione, anche MyDoom.B fara' scattare un attacco di tipo Denial of Service (DoS) verso il sito www.sco.com a partire dal prossimo primo febbraio. Ma di piu': la nuova versione attacchera' nello stesso modo anche il sito www.microsoft.com dal 3 febbraio.

La distribuzione del virus dovrebbe cessare il primo marzo 2004, anche se i danni che potrebbe creare nell'arco di un mese resterebbero a lungo.

CHE DANNI PROVOCA
-----------------

Oltre ad inviare email all'impazzata contenenti il worm, un sistema colpito da MyDoom.B e' un sistema a rischio a causa di una backdoor, ovvero una porta che viene aperta dal worm che consente di scaricare ed eseguire sul computer infetto dall'esterno pressoche' qualsiasi genere di file o programma. Questa backdoor rimarra' aperta anche dopo il primo marzo 2004.

Inoltre, la nuova variante blocca l'accesso da parte del computer vittima a tutti i principali indirizzi Internet dei maggiori produttori di software antivirus, un sistema per rendere piu' complesse le operazioni di rimozione di MyDoom.B.

COME RICONOSCERLO
-----------------

Come il suo fratello maggiore, anche MyDoom.B inserisce un mittente casuale nelle email che autoinvia tra quelli trovati nel computer infettato.

Il soggetto del messaggio puo' essere uno tra i seguenti:

Mail Transaction Failed
Unable to deliver the message
Status
Delivery Error
Mail Delivery System
hello
hi
Error
Server Report
Returned mail

Oppure essere composto da una semplice sequenza di caratteri.


Mentre il testo dell'email puo' contenere una delle seguenti frasi:

Sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

COME DIFENDERSI
---------------

Oltre alla raccomandazione di non aprire gli allegati delle email sospette, bisogna anche considerare che questi possono apparire come dei normali file di testo (.txt), innocui documenti (.doc) o semplici pagine Web (.htm). In realta' sono estensioni che mascherano la vera natura del file allegato: il worm possiede infatti quella che viene chiamata "doppia estensione" e che molti programmi di posta elettronica non sono in grado di visualizzare. Quindi dietro un file che appare come un testo (.txt) si puo' tranquillamente celare, ad esempio, un esecutibile (.exe).

Tutti i principali produttori antivirus stanno preparando le proprie definizioni contro MyDoom.B ed e' quindi bene procedere quanto prima all'aggiornamento del software di protezione sul proprio computer.

 

[ecasa]

Nenche io li apro perche lòi ferma tutti norton ma devo continuamente clickare su elimina, possibile che non ci sia una maniera per farli eliminare da soli dall'antivirus

Scusa prova a modificare le opzioni come in figura "ripara e se impossibile elimina automaticamente" , in modo che norton lavori da solo, non so se sia valido, ciao enzo.