Sicurezza informatica Thread di Informazione sui Virus e sul PC

Novità odierna :)


SalvaPC News - sicurezza per tutti N. 84 di giovedi' 26 febbraio 2004

Supplemento a Punto Informatico
----------------------------------------------------------------------

UN TERNO DI WORM
----------------

In questi giorni sono diversi i worm che stanno allertando utenti ed esperti del settore della sicurezza informatica. Tra questi ci sono gli aggressivi fratelli dei gia' noti Mydoom, Netsky e Welchia.

Si tratta di worm pensati per colpire i sistemi basati su Windows, dalla versione 95 in poi, con l'eccezione di Welchia, che si occupa solo di Windows 2000 e XP. Si diffondono via email utilizzando ognuno un proprio sistema SMTP, ovvero incorporano quanto serve per inviare da se' messaggi di posta elettronica.

NUOVE VERSIONI VECCHI PROBLEMI
------------------------------

Come spesso accade, le varianti dei worm sono simili al loro capostipite ma non del tutto identiche: i sistemi antivirus talvolta non sono automaticamente in grado di individuarle e bisogna percio' aggiornare le definizioni che permettono al software di bloccare l'attivazione di questi codici dannosi.

Netsky ha raggiunto la versione C, destando preoccupazione perche' questo worm riesce a diffondersi piu' rapidamente del previsto, avendo implementato un efficiente sistema di ricerca di indirizzi email all'interno dei computer infettati.

Mydoom, ora alla versione F, e' particolarmente insidioso perche', oltre a spedirsi a piu' indirizzi email possibile, apre delle porte di accesso al computer che potenzialmente consentono all'autore del worm di accedere al sistema o di spingerlo a partecipare ad attacchi informatici del tipo DoS (Denial of Service).

Welchia e' invece arrivato alla variante D. I computer vittima di questo worm sono perlopiu' quelli che non hanno installato alcuni aggiornamenti critici di Windows, da tempo resi disponibili da Microsoft attraverso il servizio di WindowsUpdate.

UNA GUERRA TRA WORM?
--------------------

E' interessante notare come ad esempio Welchia contenga nel suo codice le istruzioni per rimuovere Mydoom (versioni A e B) e altri worm meno fortunati in termini di diffusione.

Questo modo di agire non e' la norma ma gia' in passato sono stati diffusi worm con l'idea di creare una nuova infezione e nel contempo fermarne una precedente. Un risultato peraltro mai ottenuto e che ha invece prodotto non pochi problemi ai computer colpiti e alle reti informatiche.

COME PROTEGGERSI
----------------

Visto il numero di Worm ad alta diffusione in circolazione in queste ore e' quanto mai necessario evitare di aprire gli allegati di messaggi di posta elettronica di cui non si e' certi dell'origine.

In particolare, questi messaggi hanno spesso e volentieri un soggetto scritto in inglese, elemento che dovrebbe ulteriormente alzare l'attenzione sul loro contenuto.

Ma il sistema piu' sicuro per la protezione del proprio computer rimane sempre l'utilizzo di un software antivirus, che va aggiornato almeno una volta a settimana o piu', a seconda del numero di allarmi che vengono lanciati.

ULTERIORI INFORMAZIONI
----------------------

Un articolo su MyDoom.F e' disponibile presso Punto Informatico:
http://punto-informatico.it/p.asp?i=47078

Per conoscere i dettagli sui worm in circolazione si puo' fare riferimento ai siti dei produttori di software antivirus, eccone alcuni:
http://it.trendmicro-europe.com/
http://www.sophos.com
http://securityresponse.symantec.com/

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

email: [email protected]
Url: http://salvapc.com/
----------------------------------------------------------------------
 
Quando si inviano delle circolari (come questa per esempio) è bene non diffondere gli indirizzi presenti nella rubrica; oltre che violare la privacy, si può incrementare la diffusione dei virus ! Usare sempre il campo 'CCN' (o 'BCC') così i destinatari non visualizzeranno l'elenco delle email a cui si è spedito

Per ginus, questo non è esatto perche SOLO usando il CCN (copia carbone nascosta) si coprono gli indirizzi , ma nel rigo A e CC di outlook sono tutti leggibili basta provare dal proprio pc scrivendo da uno dei propri indirizzi versi gli altri indirizzi posseduti (ognuno di noi ne ha almeno 4 o 5 ) .
Scusa da chi lo hai ricevuto, per caso da cheapweb?


E' da circa un mese che puntualmente, una volta al giorno, a volte anche due, mi appare un pop-up a piena pagina di un sito di giochi. Quando lo chiudo si toglie la connessione e dopo qualche secondo si connette lui ( invece di connessione remota mi appare ND è connesso - penso sia un dialler). Aggiungo che ho Norton Antivirus ed anche Check-Bo.

Per liviped, sei sicuro che non vai su connessioni a valore aggiunto che ti portano la bolletta alle stelle ? Non mi pare normale che un pop-up ti chiuda la connessione in modo "innocente" !!!

Controlla negli accessi remoti che ci siano solo i tuoi e non altri abusivamente autoconfiguratisi a tua insaputa.

Prova a installare anche uno stop dialer piccolo e efficace come questo che gestisce solo le numerazioni tue legittime:

http://www.akapulce.net/socket2000/stopdialer.asp

Ciao enzo.
 
percefal ed effezzeta vi ringrazio per il consiglio del firewall

ciao

percefal ha scritto:
effezeta ha scritto:
ragiul ha scritto:
Ciao effezeta, mi daresti delle informazioni per quanto riguarda un firewall per la connessione adsl?
Ho visto che c'è ne sono parecchi in giro alcuni anche gratis.
So che chiedo troppo ma ne vorrei installere uno che funzioni bene e che costi poco.

ciao e grazie
Ho girato la domanda all'esperto, rimani in attesa :)


Effezeta, preferisci una fattura per ogni prestazione, o una fattura cumulativa a fine mese? :-D




Per Ragiul: Agnitum Outpost free ;)
 
Chiedo aiuto agli esperti : di recente il mio norton antivirus 2003 ha iniziato a eliminare tutti gli allegati email dichiarandoli non sicuri, questo lo fa su tutti anche quelli di sicura provenienza , nelle opzioni non ho notato nulla che potesse aiutarmi a sistemare la faccenda , c'è qualcuno che puo' aiutarmi ?

Graazie e ciao enzo.
 
ecasa ha scritto:
Chiedo aiuto agli esperti : di recente il mio norton antivirus 2003 ha iniziato a eliminare tutti gli allegati email dichiarandoli non sicuri, questo lo fa su tutti anche quelli di sicura provenienza , nelle opzioni non ho notato nulla che potesse aiutarmi a sistemare la faccenda , c'è qualcuno che puo' aiutarmi ?

Graazie e ciao enzo.


Si: rimuovi in toto il Norton ed installati un antivirus serio.
 
ecasa ha scritto:
Chiedo aiuto agli esperti : di recente il mio norton antivirus 2003 ha iniziato a eliminare tutti gli allegati email dichiarandoli non sicuri, questo lo fa su tutti anche quelli di sicura provenienza , nelle opzioni non ho notato nulla che potesse aiutarmi a sistemare la faccenda , c'è qualcuno che puo' aiutarmi ?

Graazie e ciao enzo.

In opzioni / mail / selezuiona ripara automaticamente il file infetto (consigliata)

Consiglio scaricati l'aggiornamento del 20004
 
SalvaPC News - sicurezza per tutti N. 85 di lunedi' 1 marzo 2004

Supplemento a Punto Informatico
----------------------------------------------------------------------

TUTTI INSIEME
-------------

Sono ben quattro le versioni di Beagle (detto anche Bagle) che si stanno velocemente diffondendo su Internet. Questo worm attacca i sistemi Windows dalla versione 95 in poi sebbene alcuni dettagli cambino a seconda della versione aggredita.

Le nuove varianti (C, E, F e G) hanno in comune l'apertura della porta 2745 nei sistemi infettati, porta che puo' essere usata dagli autori dei worm per accedere ai computer colpiti, per farli partecipare ad attacchi DoS (Denial of Service), per scaricare programmi o per ricevere semplicemente informazioni sul computer infetto.

Attualmente sono riconosciute come varianti piu' pericolose dai vari centri di ricerca la C e la E, un minor numero di infezioni viene invece attribuito alle varianti F e G. Ulteriori varianti, coma la versione D, non destano al momento preoccupazione.

Tutte le versioni utilizzano un proprio sistema SMTP per l'invio di email dai computer infetti, email che contengono il worm e che vengono spedite a tutti gli indirizzi trovati da Beagle sui PC colpiti. Le versioni C, E e F hanno anche la capacita' di bloccare alcuni dei piu' diffusi software per la sicurezza dei computer.

COME RICONOSCERLO
-----------------

Beagle arriva via email utilizzando come mittente un indirizzo a caso tra quelli recuperati nel sistema infettato. Il soggetto del messaggio e' composto da una frase scelta a caso tra alcune decine di soggetti predeterminati memorizzati all'interno del worm stesso, comunque sempre in inglese.

A seconda della versione del worm il corpo del messaggio puo' essere vuoto o riportare frasi in inglese lunghe fino a tre quattro righe.

L'allegato al messaggio e' diverso per alcune varianti:

- Beagle.C: arriva con un file .zip il cui nome e' composto da caratteri casuali e al cui interno si trova un file .exe. L'icona utilizzata per il file .exe e' quella di un foglio di lavoro di Microsoft Excel. La dimensione dell'allegato e' tra 17 e 18 KB.

- Beagle.E: si presentacome la versione C con la sola differenza che l'icona utilizzata per il file .exe e' quella di un documento di testo. La dimensione dell'allegato e' tra 21 e 23 KB.

- Beagle.F e Beagle.G: il nome dell'allegato e' in inglese ed e' scelto casualmente da un elenco che il worm porta con se'. Il file infetto puo' avere tre diverse estensioni (exe, zip, scr) e l'icona utilizzata e' quella di una cartella di Windows.

COSA FA
-------
La versione C di Beagle si installa solo se la data del computer e' precedente al 14 marzo, altrimenti termina la sua esecuzione.

Le versioni E, F e G controllano la data del sistema prima di installarsi nel computer. Se questa e' successiva al 25 marzo il worm si disinstalla automaticamente e termina la sua esecuzione.

Una volta effettuato il controllo della data, Beagle copia se stesso in varie cartelle del computer e scrive alcune linee nel registro di Windows per assicurarsi di essere avviato ogni volta che il computer sara' fatto ripartire.

ULTERIORI INFORMAZIONI
----------------------

Queste nuove varianti di Beagle si comportano molto similmente alla versione originale di cui SalvaPC ha trattato nel numero 78 dello scorso 20 gennaio.

Symantec ha reso disponibile un tool per la rimozione delle varianti A, B, C ed E. Il tool e' disponibile al seguente indirizzo:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
(l'URL deve stare su una sola riga)

Per ulteriori dettagli su Beagle sono disponibili le pagine Web dedicate dai maggiori produttori di software antivirus:

Sophos: http://www.sophos.com/
McAfee: http://it.mcafee.com/
SSR: http://securityresponse.symantec.com/

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

email: [email protected]
Url: http://salvapc.com/
 

Users who are viewing this thread

Back
Alto