Issue ha scritto:
Questo file: "Fattura n1.xls.zl9" è stato infettato con il virus: "W32.Bugbear@mm".
Il file è stato eliminato da Norton AntiVirus. Friday, October 04, 2002 10:27
BugBear... è uno dei "malefici" che si sta diffondendo alla grande in questi giorni... vi riporto alcune informazioni da questa mail di SalvaPc.
Un saluto a tutti
Fo64
****************
SalvaPC News - sicurezza per tutti N. 22 di mercoledi' 2 ottobre 2002
Supplemento a Punto Informatico in collaborazione con Symantec Italia
----------------------------------------------------------------------
DUE WORM IN AGGUATO
-------------------
W32.Bugbear e W32.Opaserv: questi i nomi di due worm scoperti nei giorni scorsi e che stanno in queste ore aumentando rapidamente la propria diffusione nei sistemi Windows a causa di alcune proprie singolari caratteristiche. Il Symantec Security Response ha elevato a livello 3 la soglia di attenzione per entrambi.
W32.BUGBEAR
-----------
Dei due worm, Bugbear e' senz'altro il piu' aggressivo e puo' colpire qualsiasi sistema Windows. Si diffonde via posta elettronica ma anche attraverso la condivisione di file in rete, su sistemi di file-sharing o all'interno di reti domestiche e aziendali. E' un software malevolo capace di registrare i pulsanti della tastiera premuti dall'utente (per rilevare password, ad esempio) e di inserire nel sistema colpito una backdoor, ovvero lasciare aperto un accesso al sistema privilegiato e nascosto per l'autore del worm. In alcuni frangenti e' anche in grado di disabilitare i software antivirus e i firewall di sicurezza.
Il messaggio email con cui si diffonde Bugbear ha soggetto e nome di file allegato variabili e dunque di difficile identificazione, ma la dimensione dell'allegato infetto e' sempre uguale: 50.688 byte. Un dato da tenere presente per identificare il file aggressivo.
All'interno del sistema, Bugbear copia se' stesso nella cartelline di sistema di Windows, nei file di apertura di Windows, modifica i file di registro e inserisce una serie di librerie cifrate all'interno del computer. Dopodiche' inserisce il software malevolo PWS.Hooker.Trojan capace di registrare i pulsanti premuti dall'utente sulla tastiera.
Il worm tenta a questo punto di impedire il funzionamento dei software di sicurezza e utilizza una propria funzionalita' per auto-inviarsi come allegato infetto di una email a tutti gli indirizzi che ha individuato nelle rubriche residenti sul computer colpito.
Non contento, Bugbear continua la propria opera aprendo la porta 36794, una pericolosa backdoor di accesso attraverso la quale un aggressore esterno puo' operare sul computer con ampia liberta' di movimento, per cancellare file, copiarli e via dicendo. Il lavoro di Bugbear si conclude attraverso l'analisi dell'eventuale rete a cui e' connesso il computer infetto e il tentativo di auto-copiarsi in tutti i computer collegati ad essa.
Per proteggersi e' importante aggiornare le definizioni anti-virus. Qualora si sia stati colpiti dal worm e' possibile ricorrere al tool di rimozione online del Symantec Security Response, disponibile gratuitamente qui:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
W32.OPASERV
-----------
Capace di infettare tutti i sistemi Windows con la sola eccezione di Windows 3.x, Opaserv e' un worm che si diffonde sui network di condivisione dei file, quindi all'interno di sistemi di file-sharing ma anche in reti locali aziendali o private laddove tutte le operazioni non siano protette da password.
Opaserve e' caratterizzato dal file Scrsvr.exe che viene inserito nel computer infetto e che contiene il worm. Una volta dentro il sistema, il worm tenta di scaricare aggiornamenti dal sito
www.opasoft.com anche se il sito non e' piu' operativo. Fortunatamente Opaserve non danneggia il sistema colpito in modo significativo.
Il worm opera una serie di modifiche al file di registro di Windows che gli consentono di auto-avviarsi ad ogni avvio del sistema. Infine se ci sono cartelline condivise in rete sul disco C:, Openserv copia se' stesso al loro interno con il nome di file Crsvr.exe.
Per difendersi da Opaserv e' necessario aggiornare il proprio antivirus.
E' anche possibile scansionare il proprio sistema da Web per rimuovere manualmente il worm qualora si sia colpiti. Un tool ad hoc e' stato realizzato dal Symantec Security Response qui:
http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.worm.removal.tool.html
ULTERIORI INFORMAZIONI
----------------------
Altri dati su Bugbear sono invece pubblicati su questa pagina:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Informazioni addizionali su Opaserv sono a disposizione qui:
http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.worm.html
Gli utenti di Norton Antivirus posso effettuare l'aggiornamento delle definizioni dei virus sfruttando il sistema automatico LiveUpdate, che si occupa di scaricare e installare le informazioni necessarie a proteggere il computer.
----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (
http://punto-informatico.it)
in collaborazione con Symantec Italia (
http://www.symantec.it)
email:
[email protected]
Url:
http://salvapc.com/