Sicurezza informatica Thread di Informazione sui Virus e sul PC

[effezeta]

UN WORM PERSISTENTE
-------------------

Netsky.D e' un worm scoperto dai laboratori antivirus nella notte tra il 29 febbraio e il primo marzo, un worm che ora sta arrivando anche in Italia colpendo un certo numero di computer Windows.

La sua diffusione sta seguendo un percorso atipico e il worm si sta rivelando piu' fastidioso e persistente del temuto, tanto che i principali osservatori di settore hanno portato ad un livello molto elevato la soglia di attenzione. Netsky.D e' in grado di attaccare i sistemi Windows dalla versione 95 in poi.

COME FUNZIONA
-------------

Una volta attivato il worm, il computer rimane infettato e Netsky.D procede alla modifica del Registro di Windows per accertarsi di essere attivato ad ogni riavvio del computer. Inoltre, disabilita una serie di funzionalita' di Windows legate alla sicurezza e ai sistemi antivirus e ne inserisce una nuova serie per garantirsi di poter operare indisturbato sulla macchina infetta.

Da quel momento in poi, il worm scansiona tutti i dischi del computer a caccia di file che contengano indirizzi email, indirizzi ai quali tenta di inviare un messaggio con un una copia di se stesso in allegato.
Grazie all'uso di un proprio SMTP, Netsky.D puo' far partire queste spedizioni indipendentemente dalle azioni intraprese dall'utente, sempre che il computer sia conneso a Internet.

Una prticolarita' di Netsky.D e' che se la data del computer infetto e' quella di oggi, martedi' 2 marzo, tra le 6 e le 9 del mattino il PC emettera' una serie di bip per un certo periodo di tempo con frequenze casuali.

LE EMAIL INFETTE
----------------

Il mittente dell'email che contiene l'allegato infetto e' un mittente fasullo, preso a caso da Netsky.D tra gli indirizzi email individuati sul computer colpito. Il soggetto dell'email, il nome del file allegato e il corpo del messaggio sono tutti termini inglesi ma cambiano di volta in volta, scelti a caso da una lunga lista di possibilita' contenuta nel worm. L'unico elemento fisso e' l'estensione dell'allegato, .pif.

Di interesse notare che il worm e' programmato per non inviare email infette ad una lunga serie di indirizzi email che possano essere relativi ad entita' come le societa' antivirus, le societa' di sicurezza informatica, Microsoft e la polizia federale americana (FBI). Un sistema evidentemente pensato per rendere piu' difficile il tracciamento del worm e la stima della sua reale diffusione.

COME DIFENDERSI
---------------

Le definizioni dei software antivirus precedenti al primo marzo non sono efficaci contro Netsky.D. Vista la sua crescente diffusione in Italia e' urgente aggiornare i software stessi accertandosi che l'update sia quello che comprende anche il blocco contro Netsky.D. Vi sono utenti italiani colpiti da questo worm che hanno aggiornato l'antivirus nei giorni precedenti a questa infezione e che si ritenevano al sicuro.

Se il proprio sistema venisse colpito da Netsky.D e' urgente provvedere alla sua identificazione e rimozione. Vista la sua capacita' di disabilitare le funzionalita' antivirus e' necessario provvedere alla disinfezione manuale.

Per farlo, Sophos mette a disposizione una pagina generica per la rimozione dei worm:
http://www.sophos.com/support/disinfection/worms.html

E Symantec Security offre un tool gratuito:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

ULTERIORI INFORMAZIONI

 

[fo64]

UNA SCORPACCIATA DI VARIANTI
----------------------------

Continua la proliferazione di worm gia' noti ma che nelle ultime settimane hanno dato dimostrazione di poter dar vita a numerose varianti aggressive che e' bene conoscere: Netsky ha raggiunto la versione K, Beagle (Bagle) la F, Mydoom e' alla H, Sober e' redivivo con la variante D. A questi bisogna aggiungere nuovi worm che tentano di farsi largo come Keko o Hiton.

A diffondersi maggiormente nelle ultime ore sono pero' Sober.D e Netsky.K.
Aumenta il livello di attenzione per questi due worm che si diffondono via posta elettronica sfruttando un proprio sistema SMTP per la spedizione dei messaggi e che cercano gli indirizzi email da utilizzare sia come mittenti che come destinatari dei messaggi infetti nei file presenti sui computer colpiti.

Ad essere colpiti sono i sistemi Windows.
Netsky.K aggredisce tutte le versioni, dalle piu' vecchie (3.x) alle ultime (XP e 2003); Sober.D infetta i sistemi con Windows dalla versione 95 in poi.

NETSKY.K
--------

A destare maggiore preoccupazione e' la variante K di Netsky, scoperta solo ieri. Tra i suoi obiettivi anche la cancellazione di voci del registro di Windows, allo scopo di compromettere il funzionamento di alcuni dei piu' diffusi software, tra i quali anche quelli di sicurezza e antivirus.

Netsky.K e' difficile da riconoscere perche' utilizza una libreria di parole e frasi in inglese dalla quale sceglie a caso sia il soggetto che il testo del messaggio di posta elettronica che poi invia agli indirizzi recuperati nei dischi del computer infettato. L'allegato delle email spedite, che contiene il virus, ha pero' sempre estensione .pif e dimensione di 22.016 byte.

SOBER.D
-------

La sua principale occupazione e' quella di mandare messaggi di posta elettronica a quanti piu' utenti possibili. Quando si avvia, modifica il registro di Windows per assicurarsi di essere attivato ogni volta che il computer viene acceso dall'utente.

L'infezione di Sober.D e' piu' evidente di altri worm perche', una volta completate le operazioni sul registro, mostra una finestra con una delle seguenti diciture:
- This patch has been successfully installed.
- This patch does not need to be installed on this system.
- Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [nome del file].exe
Connection lost or blocked by Firewall

Il mittente delle email spedite da Sober.D e' facilmente riconoscibile perche' e' scelto a caso tra i seguenti nomi: Alert, Center, Help, Info, News, Patch, Studio, Security, UpDate. A cui aggiunge il dominio "@microsoft" in modo che sembri provenire dal produttore del sistema operativo (es: [email protected]).
Il dominio di primo livello dell'indirizzo del mittente delle email puo' essere indifferentemente .com, .de o .at.

Il soggetto dei messaggi puo' essere uno sei seguenti:
- Microsoft Alert: Please Read!
- Microsoft Alarm: Bitte Lesen!

Il testo del messaggio appare in inglese o in tedesco ed invita ad installare la patch allegata che, pero', e' il worm. SalvaPC ricorda che Microsoft non distribuisce mai le patch ai propri software via email ma solo attraverso il sistema su web noto come Windows Update.

Il nome del file allegato puo' essere uno dei seguenti, indifferentemente con estensione .exe o .zip: Patch, MS-Security, MS-UD, UpDate, sys-patch, MS-Q. La sua dimensione e' di 33.792 byte.

COME PROTEGGERSI
----------------

Per entrambi questi worm e' necessario aggiornare le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.

E' possibile identificare ed eliminare vari worm, tra cui Netsky e Sober, utilizzando un tool gratuito distribuito da Network Associates al seguente indirizzo: http://vil.nai.com/vil/stinger/

ULTERIORI INFORMAZIONI
----------------------

Maggiori informazioni su Netsky.D sono disponibili in inglese ai seguenti indirizzi:
http://www.sophos.com/virusinfo/analyses/w32netskyk.html
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

Per Sober.D si possono visitare i seguenti indirizzi, in inglese:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
http://it.mcafee.com/virusInfo/default.asp?id=description&virus_k=101081

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

email: [email protected]
Url: http://salvapc.com/

 

[fo64]

IN QUATTRO ALL'ASSALTO
----------------------

Nelle scorse ore sono state scoperte ben quattro nuove varianti di Beagle (secondo alcuni Bagle), che si stanno diffondendo su Internet via posta elettronica.

Tra le nuove versioni una e' particolarmente pericolosa perche' l'email con cui arriva puo' non presentare alcun allegato ma contenere comunque il worm. E' sufficiente infatti aprire l'email per correre il rischio che il proprio computer rimanga infettato.

Le nuove varianti sono la O, la R, la S e la T. La variante particolarmente pericolosa e' la R (secondo alcuni centri di ricerca si tratterebbe della variante Q, ma e' solo un problema di nome).

CHI VIENE COLPITO
-----------------

Come tutte le varianti di Beagle, ad essere colpiti sono i sistemi Windows dalla versione 95 in poi.

Beagle.R quando arriva senza allegato riesce ad infettare le macchine con installato Windows che non abbiano applicato tutte le patch messe a disposizione da Microsoft. In particolare, quella relativa alla "Microsoft Internet Explorer Object Tag Vulnerability", una vulnerabilita' descritta nel relativo bollettino di sicurezza disponibile dal 3 ottobre 2003 con relativa patch al seguente indirizzo:
http://www.microsoft.com/technet/security/bulletin/MS03-032.mspx

COME FUNZIONA
-------------

L'email che permette l'infezione di Beagle.R contiene al suo interno del codice HTML che viene eseguito non appena si apre il messaggio di posta elettronica. In sostanza, viene richiamato un particolare file presente su vari server che si occupa di saricare ed eseguire il worm.

Va anche considerato che il file che viene scaricato attraverso questo sistema e' attualmnete il worm Beagle.R, ma questo potrebbe essere sostituito con altri worm oppure altri file eseguibili per svolgere anche diversi tipi di attacchi.

COME RICONOSCERLO
-----------------

L'indirizzo del mittente con cui arriva il messaggio comincia con uno dei seguenti nomi, ma il dominio e' casuale: management@, administration@, staff@, antivirus@, antispam@, noreply@, support@.

Il soggetto delle email, sempre in inglese, puo' essere uno tra i seguenti:

Account notify
E-mail account disabling warning.
E-mail account security warning.
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Email account utilization warning.
Email report
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
RE: Protected message
RE: Text message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
Re: Thank you!
Re: Thanks
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account

Il testo del messaggio puo' cominciare con una delle seguenti parole, ma puo' contenerne molte altre, oltre al codice HTML per scaricare il worm:
Dear user of
Hello user of
Dear user
the management of .

Il file che si puo' trovare nella versione con allegato ha la dimensione di 25.600 KB.

QUALI DANNI PROVOCA
-------------------

Quando questo worm riesce ad infettare il sistema svolge una serie di funzioni tipiche: esegue alcune scritture sul registro di sistema, cancella alcune voci e rende impossibile l'avvio di numerosi programmi e tra questi i piu' popolari sistemi antivirus. Non contento cerca anche di disattivare eventuali software antivirus in funzione.

Come le altre varianti di Beagle anche la R apre una backdoor sul computer infettato. La porta 2556 viene resa utilizzabile dall'esterno per chi volesse entrare nel sistema.

Ancora, il worm tenta di diffondersi anche attraverso i software di file sharing (P2P: Kazaa, eMule, WinMX, ecc) copiando se stesso in tutte le cartelle il cui nome comincia per "shar", utilizzando nomi di programmi famosi per essere appetibile agli utenti che utilizzano questi sistemi di scambio file. Ecco i nomi che puo' prendere Beagle.R:

ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe

Infine, come tutti i worm, cerca nei dischi tutti gli indirizzi email a cui poi spedire se stesso utilizzando un proprio server SMTP, ovvero il protocollo per l'invio di messaggi di posta elettronica su Internet.

COME PROTEGGERSI
----------------

E' consigliabile alzare la guardia verso tutti i messagi in arrivo con soggetto in inglese. Se proprio si e' in dubbio sulla bonta' di un determinato messaggio e' consigliabile escludere la connessione alla rete prima di aprire l'email.

Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.

ULTERIORI INFORMAZIONI
----------------------

Maggiori informazioni su Beagle.R sono disponibili in inglese ai seguenti indirizzi:

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
http://www.sophos.com/virusinfo/analyses/w32bagler.html
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=PE_BAGLE.Q

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

email: [email protected]
Url: http://salvapc.com/
----------------------------------------------------------------------

 

[fo64]

SalvaPC News - sicurezza per tutti N. 89 di lunedi' 5 aprile 2004

Supplemento a Punto Informatico
----------------------------------------------------------------------
***************** SPOT ******************

HighScore, solo per i migliori
http://www.highscore.it

*****************************************

SOBER.F
-------

Una ulteriore insidiosa variante del gia' noto worm Sober, Sober.F, si sta imponendo all'attenzione degli osservatori antivirus dopo essere emersa per la prima volta nella giornata di sabato 3 aprile.
La soglia di attenzione sul worm nelle ultime ore e' stata alzata perche' se ne registra una diffusione crescente grazie alle capacita' di mascheramento e a quelle di collegare da se' il computer infetto ad Internet.
I sistemi colpiti sono tutte le varianti di Windows da Windows 95 in poi.

UN WORM INGANNATORE
-------------------

Tra le caratteristiche che rendono Sober.F particolarmente insidioso c'e' la sua capacita' di mascherarsi da messaggio di errore nell'invio o nella ricezione di una email.
Si tratta di un mascheramento sempre piu' diffuso nei worm di ultima generazione: il messaggio fasullo viene spesso sottovalutato dall'utente che puo' ritenerlo legittimo e puo' essere indotto a cliccare sul file allegato all'email, file che evidentemente attiva il worm.

La capacita' dei messaggi di errore di essere considerati legittimi dagli utenti e' tale che oltre ai worm sono anche molti gli spammer che utilizzano questo genere di falsificazione per spingere chi riceve la loro posta non richiesta ad aprire i messaggi inviati.

Oltre a tutto questo, Sober.F e' in grado di nascondersi nel sistema infetto rendendo meno agevoli le operazioni di ripulitura nel caso di infezione.

COME FUNZIONA
-------------

Una volta aperto l'allegato infetto, il worm si insidia nel sistema sfruttando nomi causali sia per i file che il worm scrive sul computer, sia per i relativi richiami nel Registro di Windows, rendendo complessa la loro successiva individuazione per la disinfestazione del sistema.

I file principali di Sober.F vengono inseriti nella cartella 'System' di Windows (o System32 a seconda della versione del sistema operativo).

Questo worm utilizza un proprio motore SMTP che gli consente di spedire un messaggio con allegato infetto a tutti gli indirizzi email che recupera sul computer che e' riuscito a colpire. Per ottenere questi indirizzi, il worm compie una scansione dei file contenuti nei dischi del sistema infettato.

Non contento, qualora il computer colpito da Sober.F non sia piu' connesso ad Internet, il worm cerca di individuare quali sono le connessioni disponibili sul PC in modo da attivarle e, una volta collegato, iniziare a spedire i messaggi infetti.

IL MESSAGGIO INFETTO
--------------------

Il soggetto e il corpo del messaggio sono casuali e sono scritti in inglese o in tedesco. Sia l'uno che l'altro possono avere i riferimenti al messaggio di errore a cui si e' accennato.

Stessa cosa dicasi per il mittente del messaggio. In apparenza l'indirizzo del mittente del messaggio puo' sembrare quello di un amministratore di rete, di un software di gestione della posta e altro ancora. In alternativa, puo' essere generato casualmente dal worm utilizzando come dominio di posta elettronica alcune note estensioni, come @yahoo.com o @gmx.net.

A cambiare secondo uno schema casuale e' anche il nome del file allegato che contiene il worm.

L'unico elemento che non sembra modificarsi e' la dimensione dell'allegato, pari sempre a 42.490 byte, un dato che puo' agevolare l'identificazione di una email infetta.

COME PROTEGGERSI
----------------

Tutti i principali produttori antivirus hanno aggiornato le proprie definizioni per intercettare e distruggere il worm ed e' quindi consigliabile accertarsi che il proprio software di sicurezza sia aggiornato.
Qualora il proprio computer sia stato colpito da Sober.C sono a disposizione tool di rimozione, come quello messo a disposizione su questa pagina da Symantec:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html?Open

ULTERIORI INFORMAZIONI
----------------------

Sophos ha pubblicato una pagina descrittiva del worm a questo indirizzo:
http://www.sophos.com/virusinfo/analyses/w32soberf.html

Sul mascheramento dello spam come messaggio di errore vedi anche quanto riportato da Punto Informatico:
http://punto-informatico.it/p.asp?i=47659

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

email: [email protected]
Url: http://salvapc.com/

 

[fo64]

SalvaPC News - sicurezza per tutti N. 90 di mercoledi' 21 aprile 2004

Supplemento a Punto Informatico
----------------------------------------------------------------------

ANCORA ALL'ASSALTO
------------------

Cominciano a destare preoccupazione le ultime due varianti di Netsky, la X e la Y. Si tratta di due worm distinti che possono colpire tutte le versioni di Windows non protette dalla 95 in poi. Sono emersi in tempi molto ravvicinati ed e' per questo che alcuni laboratori antivirus definiscono X la variante Y e viceversa.

Queste due versioni di Netsky, una volta insidiatesi nel computer, oltre ad inviare messaggi email in giro per il mondo, aprono una backdoor che consente agli autori di accedere dall'esterno alla macchina. Inoltre sono studiati per utilizzare il computer infetto e farlo partecipare ad un attacco informatico di tipo DOS (Denial of Service) che si scatenera' tra il 28 e il 30 aprile verso i seguenti siti:
www.nibis.de
www.medinfo.ufl.edu
www.educa.ch

La variante X di Netsky ha una particolarita' che puo' renderne piu' difficile l'individuazione: si propone con testi in italiano.

NETSKY.X
--------

Netsky.X si presenta nella casella di posta elettronica con un allegato con estensione .pif delle dimensioni di 26.112 byte.

Se viene eseguito, il worm si insedia nel computer compiendo una serie di operazioni. La prima di queste e' la scrittura sul registro di configurazione di Windows dei comandi necessari per assicurarsi di essere avviato ogni volta che si accende il computer. Esegue una copia di se stesso che scrive nella directory di Windows (il nome dei file e': FirewallSvr.exe e fuck_you_bagle.txt).

Subito dopo, esegue una scansione di tutti i dischi che non siano CD-ROM alla ricerca di file contenenti indirizzi email a cui autoinviarsi, utilizzando un proprio server SMTP.

Come accennato, questa variante e' capace di assegnare al soggetto, testo dell'email e nome dell'allegato un testo nella lingua che corrisponde al dominio Internet nazionale di primo livello dell'indirizzo email.

Ad esempio, se il destinatario e' [email protected], il dominio di primo livello e' .it e l'email si presenta in italiano cosi':
Soggetto: Re: documento
Messaggio: Legga prego il documento.
Allegato: documento.pif

Altrettanto avviene con i domini di altre numerose nazionalita'.

Un'altra caratteristica di Netsky.X e' quella di aprire una backdoor sulla porta TCP 82, porta alla quale il worm rimane in attesa di ricevere un file da eseguire sul computer infettato. Al momento ancora non si conosce il file che potrebbe essere inviato a questa porta ma e' palese il grosso problema di sicurezza che rappresenta e la potenziale minaccia all'integrita' dei dati e del computer.

NETSKY Y
--------

Si presenta con un allegato dal nome che assomiglia ad un indirizzo internet e che comincia con "www." e si conclude con ".com", la sua dimensione e' circa di 19KB.

Esclusi l'allegato e i testi del messaggio di posta ellettronica, Netsky.Y si comporta in modo del tutto simile a Netsky.X, sia per quanto riguarda l'infezione del computer, che per la ricerca e l'invio di messaggi infettati.

Il messaggio e' riconoscibile perche' e' composto nel seguente modo:
Soggetto: Delivery failure notice ID- (e qui viene aggiunto un numero casuale)
Il testo del messaggio contiene invece alcune righe scritte in inglese.

COME PROTEGGERSI
----------------

Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.

SSR ha messo a disposizione un tool per rimuovere le due varianti di Netsky:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

ULTERIORI INFORMAZIONI
----------------------

Maggiori informazioni su Netsky X e Y sono disponibili in inglese ai seguenti indirizzi:

Per la variante X:
http://www.sophos.com/virusinfo/analyses/w32netskyy.html
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

Per la variante Y
http://www.sophos.com/virusinfo/analyses/w32netskyx.html
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_NETSKY.Y

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

email: [email protected]
Url: http://salvapc.com/
----------------------------------------------------------------------

 

[fo64]

da punto-informatico.it:


Sasser, se un worm va all'attacco

Si sta sviluppando l'infezione del primo worm capace di sfruttare una delle recenti vulnerabilità di Windows. L'emulo di Blaster è claudicante ma i suoi figli potrebbero rivelarsi molto insidiosi. Oggi è giorno di massima allerta

03/05/04 - News - Roma - Il suo arrivo era stato previsto da settimane e ora gli esperti di sicurezza hanno davvero avvistato il primo worm in grado di sfruttare una delle recenti vulnerabilità di Windows, quella relativa al Local Security Authentication Server (LSASS), per rendere instabili sistemi con Windows 2000 o XP.

Il worm, battezzato Sasser, s'ispira al famigerato Blaster e, come quest'ultimo, scansiona a intervalli di tempo un certo numero di indirizzi IP alla ricerca di computer vulnerabili: dopo averne trovato uno, il worm crea una connessione remota al sistema, vi installa un server FTP e vi trasferisce una copia di se stesso.

Così com'è, questo worm non sembra destinato a fare molta strada. La società eEye Digital Security ha infatti spiegato che il codice del nuovo vermicello è scritto male e contiene un certo numero di bug che ne inficiano la funzionalità. Gli esperti avvertono tuttavia che la consapevolezza di utenti ed amministratori in materia di sicurezza non è ancora in grado di scongiurare un possibile acuirsi di questa epidemia, e ciò nonostante la patch capace di bloccare il worm sia disponibile ormai da tempo.

Secondo softwarehouse specializzate com F-Secure, in due giorni Sasser avrebbe già fatto molta strada in rete, grazie soprattutto alla sua capacità di diffondersi da computer vulnerabile a computer vulnerabile, senza bisogno di ricorrere alla replicazione via email, la più frequente metodologia di diffusione nei worm di questi anni.

Va detto, comunque, che Sasser può provocare solo poco più di qualche fastidio in quanto si limita a mandare in crash il sistema operativo e riavviarlo più volte. Al contrario di altri worm che in questo periodo hanno trovato modo di diffondersi, Sasser non mira a creare backdoor o vulnerabilità permanenti nei sistemi colpiti, una situazione che rende ancora più difficile secondo gli osservatori comprendere le motivazioni del virus writer che ha realizzato il codice claudicante di Sasser.

Anche per questo il SANS Institute afferma che, al momento, rappresenta una minaccia più grande la famiglia di bot Ago/Gao/Phatbot, capace di sfruttare le recenti falle nei componenti RPC/LSASS e RPC/DCOM di Windows. Questi programmi, seppure incapaci di riprodursi autonomamente, possono dare la possibilità ai cracker di prendere il pieno controllo di un sistema vulnerabile e utilizzarlo come testa di ponte per attacchi su vasta scala.

In ogni caso, gli esperti affermano di non voler sottovalutare il pericolo rappresentato da Sasser, soprattutto perché nei prossimi giorni potrebbero arrivarne nuove e più evolute versioni che, migliorando il codice del worm originale, potrebbero renderlo assai più insidioso.

Con la giornata di oggi, in cui dopo la pausa riprendono le attività moltissimi uffici, inoltre, alcuni esperti temono una ondata di Sasser che potrebbe a questo punto colpire anche in Italia.

Secondo le informazioni divulgate dalle case antivirus, Sasser genera traffico sulle porte TCP 445, 5554 e 9996 e si trasferisce da un sistema all'altro attraverso il file eseguibile avserve.exe. Per altre informazioni si rimanda all'advisory pubblicato dall'Internet Storm Center.

 

[ecasa]

Ieri su rai3 a neapolis parlavano di un virus di cui ho perso il nome che provoca frequenti spegnimenti al pc , ma salva pc non ne parla ancora, sapete nulla?
ciao

 

[fo64]

Ieri su rai3 a neapolis parlavano di un virus di cui ho perso il nome che provoca frequenti spegnimenti al pc , ma salva pc non ne parla ancora, sapete nulla?
ciao

è quello scritto nel post appena prima del tuo, si chiama Sasser

 

[effezeta]

Ieri su rai3 a neapolis parlavano di un virus di cui ho perso il nome che provoca frequenti spegnimenti al pc , ma salva pc non ne parla ancora, sapete nulla?
ciao

è quello scritto nel post appena prima del tuo, si chiama Sasser

Norton con l'aggionamento del 02/05 ha gia l'antivirus per tutti e tre gli worm sasser

 

[effezeta]

-------------------------------------------
Punto Informatico
http://punto-informatico.it
-------------------------------------------
quotidiano di informatica e comunicazione
-------------------------------------------
TENTOPWEEK
Le dieci notizie piu' lette della settimana
-------------------------------------------

SASSER, SE UN WORM VA ALL'ATTACCO
Si sta sviluppando l'infezione del primo worm capace di sfruttare una delle recenti vulnerabilita' di Windows. L'emulo di Blaster e' claudicante ma i suoi figli potrebbero rivelarsi molto insidiosi. Oggi e' giorno di massima allerta
URL: http://punto-informatico.it/pi.asp?i=48024

SETTE NO PER IL DL URBANI
avv. G. Navarrini (NewGlobal.it) - Alcune osservazioni critiche sul testo dell'art. 1, comma 1, del cosiddetto Decreto Urbani dopo l'approvazione della Camera
URL: http://punto-informatico.it/pi.asp?i=48027

SASSER NATO DAI WRITER DI NETSKY
La rivendicazione dei virus writer si trova nel codice dell'ultimo Netsky, che gira spacciandosi come cura per Sasser. Gli untori si divertono con giochini di parole davvero pesanti per gli utenti
URL: http://punto-informatico.it/pi.asp?i=48072

SUL DL URBANI, L'ASSALTO DELLA RETE
L'iniziativa del senatore dei Verdi Fiorello Cortiana suscita l'attenzione dei molti che attraverso un sito dedicato partecipano concretamente alle manovre ostruzionistiche per impedire che il DL diventi legge. PI ne parla con Cortiana
URL: http://punto-informatico.it/pi.asp?i=48047

DOWNLOAD/ CINQUINA CON... L'ACCENTO
Tra inutility, lucchetti e generatori di avatar anche un ottimo catalogatore e un correttore di accenti
URL: http://punto-informatico.it/pi.asp?i=48078

IL DL URBANI E L'OPPOSIZIONE CHE NON C'E'
di Gilberto Mondi - In Commissione, al Senato, votano contro solo i Verdi anche se e' evidente a tutti che il provvedimento e' sbagliato al punto che vogliono modificarlo dopo... l'approvazione. Complimenti a tutti
URL: http://punto-informatico.it/pi.asp?i=48081

LA BANDA CORRE SULLA RETE ELETTRICA
di A. Longo - Si accendono le speranze per connessioni veloci e sempre attive, capaci di superare i limiti del broad band tradizionale e di spingersi la' dove neppure l'Adsl osa arrivare. Ecco cosa corre sul rame che avviluppa l'Italia
URL: http://punto-informatico.it/pi.asp?i=48098

SASSER SI'. MA SENZA ESAGERARE
I guasti segnalati a macchia di leopardo in molti uffici pubblici e privati anche in Italia testimoniano la scarsa attenzione al problema sicurezza. Di Sasser, intanto, ne girano gia' diverse versioni
URL: http://punto-informatico.it/pi.asp?i=48053

PIRATERIA, LA VIA SPAGNOLA
Combattere contraffazioni e duplicazioni illegali mediante un drastico abbassamento dei prezzi grazie al taglio dell'IVA. Non cambiera' tutto ma, dice il Governo, la cultura non e' un prodotto
URL: http://punto-informatico.it/pi.asp?i=48026

DL URBANI, PASSA IN COMMISSIONE (SENATO)
Presto in aula
URL: http://punto-informatico.it/pi.asp?i=48077