Sicurezza informatica Thread di Informazione sui Virus e sul PC

[J§J]

Scusa se approfitto della competenza ma ho un problemino da che qualche tempo mi perseguita : una serie di finestre "mIRC32" e WINSCK, questultimo ho appurato essere un trojan reso inoffensivo dal norton che lo ha messo in quarantena

mIRC e' il nome di un programma chat ma cercando in rete pare essere anche un trojan non molto pericoloso , il fatto e' che in norton non lo identifica e non lo rimuove al contrario si riproduce, in principio era uno ora sono almeno 6 finestre che si aprono in avvio e le chiudo tutte manualmente

Leggendo in rete sembrava che andando ad agire sul pannello di controllo si potesse rimuovere mIRC, invece se lo faccio questo si riproduce e mi blocca l'applicazione che consente la rimozione dei programmi

Premetto che ho installato win 2000 pro Norton SistemWorks 2003 completo di firewall e antivirus, pensavo di essere blindato ma probabilmente mi sono infettatto con KAZAA il quale mi obbliga a disabilitare il Firewall

Visto che sono un analfabeta informatico e non sono in grado di farlo , accetterei di buon grado qualche consiglio che mi consenta di risolvere, possibilmente con parole semplici, altrimenti andro' a farmelo sistemare

grazie anticipatamente

 

[fo64]

Scusa se approfitto della competenza ma ho un problemino da che qualche tempo mi perseguita : una serie di finestre "mIRC32" e WINSCK, questultimo ho appurato essere un trojan reso inoffensivo dal norton che lo ha messo in quarantena

mIRC e' il nome di un programma chat ma cercando in rete pare essere anche un trojan non molto pericoloso , il fatto e' che in norton non lo identifica e non lo rimuove al contrario si riproduce, in principio era uno ora sono almeno 6 finestre che si aprono in avvio e le chiudo tutte manualmente

Ciao,
ma il nome esatto di questo trojan è proprio mirc?
Ho provato a cercarlo ma non l'ho trovato, ne ho trovato diversi con nomi più complessi, che magari contengono nel nome la parola mirc, ma devi essere sicuro su quale sia esattamente il tuo per provare a rimuoverlo.
Hai provato la carta della scansione online dal sito:

http://it.trendmicro-europe.com/consumer/products/housecall_launch.php
Fo64

 

[J§J]

http://search.symantec.com/custom/u...c&ex=&rq=0&oq=&qm=0&ql=&st=11&nh=10&lk=1&rf=0
dovrebbe essere uno di questi ma il problema e' che io non so come si fa a mettere in pratica quello che dicono di fare
......analfabetismo informatico......

 

[fo64]

dovrebbe essere uno di questi ma il problema e' che io non so come si fa a mettere in pratica quello che dicono di fare
......analfabetismo informatico......

Ok, ma il problema è che se non becchi esattamente quale sia rischi di fare tutto un lavoro inutile (e magari aggiungi danni a quelli che già hai).
Tenta di fare una scansione online da quel sito che ti ho segnalato sopra, se sei fortunato ti risolvi il problema con pochi minuti

Fo64

 

[effezeta]

DALLA A ALLA G
------------------

Scoperto all'inizio della settimana Korgo sta facendo parlare di se' perche', in pochi giorni, sono gia' almeno sette le varianti conosciute di questo worm in circolazione, nominate dalla A alla G. La F e' senza dubbio quella che fino a questo momento e' riuscita a diffondersi di piu' al punto da aver fatto alzare la guardia alle aziende che si occupano di antivirus.

Korgo.F, come le altre varianti di questo worm, sfrutta la nota vulnerabilita' Local Security Authority Subsystem Service (LSASS) di Windows. Lo stesso sistema LSASS gia' oggetto di attacchi da parte di noti e peggiori virus, come Sasser per citarne uno.

A differenza della gran parte dei worm, Korgo non arriva via email, ma si intrufola nel computer senza che l'utente debba far altro che essere connesso a Internet.

Microsoft ha comunque da tempo rilasciato una patch per aggiustare questa vulnerabilita', come descritto nel bollettino di sicurezza Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Korgo colpisce solo i sistemi operativi Windows 2000 e Windows XP. Tuttavia alcuni laboratori di ricerca antivirus ritengono a rischio anche le altre versioni di Windows.

COSA FA
--------

Korgo e' sempre alla ricerca di computer da infettare effettuando una scansione casuale di indirizzi IP, ovvero l'indirizzo numerico a cui ogni computer collegato a Internet e' associato. Quando trova un sistema vulnerabile invia una copia di se stesso ad infettarlo.

Korgo apre diverse porte del computer dando cosi' accesso alla rete a se stesso e ad eventuali malintenzionati che potrebbero quindi penetrare nel computer infetto per compiere le piu' disparate operazioni.

Non solo, Korgo agisce anche sul registro di sistema cancellando una serie di voci e modificandone altre al fine di rendere instabile il computer e difficile la sua individuazione e la sua rimozione.

L'effetto di Korgo sulla rete e' l'occupazione di banda che il virus effettua nel tentativo di infettare altri sistemi, con il risultato di un degrado delle prestazioni di upload e download.

COME PROTEGGERSI
----------------

Se ancora non si ha installata la patch Microsoft contro la vulnerabilita' del sistema LSASS e' bene procedere immediatamente attraverso Windows Update.

Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.

Il SSR ha messo a disposizione un tool per rimuovere Korgo:
http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.removal.tool.html

ULTERIORI INFORMAZIONI
----------------------

Maggiori informazioni su Korgo.F sono disponibili in inglese ai seguenti indirizzi:

http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.html
http://it.mcafee.com/virusInfo/default.asp?id=description&virus_k=125994

 

[ecasa]

Diario di un week end infetto .....

Sabato scorso ho fatto un gesto inconsulto che mai credevo di fare, ma ad oggi credo sia stato cosi :

Nell'eliminare una email sospetta e infetta ho cliccato sull'allegato vedendolo vuoto e senza contenuto.

Dopo poco il norton antivirus che normalmente scandisce la posta ha iniziato una scansione che sembrava normale come al solito con l'icona in basso a destra quando invia una email, fin qui nulla di strano.

Col passare del tempo la stessa scansione si incrementava fino a scandire in modo anomalo 3, 5 , 8 e piu' email, con molte icone aperte che si chiudevano poco dopo, CHE NELLA POSTA IN USCITA NON C'ERANO ASSOLUTAMENTE !

Domenica ho aggiornato sul web l'AV e non essendoci aggiornamenti dalla symantec ho comunque scandito il pc e sembrava ok, ma stamane nel collegarmi si è ripetuto come ieri la scansione email anomala anche con outlook CHIUSO !

Ho subito staccato il collegamento , salvato su floppy ed eliminata la rubrica per evitare altre auto replicazioni del virus verso i miei corrispondenti.

Ho riaggiornato il norton che oggi invece mi ha dato le nuove definizioni dei virus , e ho ancora scandito il pc che ha trovato finalmente la bestia :
W32.ERKEZ.B@MM e nel pomeriggio , spero , che la storia sia finita per oggi.
Pensare che se norton mi avesse dato gli aggiornamenti domenica almeno guadagnavo un giorno !
Che palline eh ....
ciao e okkio agli allegati maledetti .

 

[ecasa]

Buonasera, da martedì circola un virus che non viene rilevato dagli antivirus e si prende semplicemente visitando siti internet.
Da quanto ho capito leggendo vari articoli su internet, questo virus una volta installato nel computer potrebbe leggere anche i tasti che vengono pigiati sulla tastiere e quindi anche le password.
Tutto questo forse centra poco con la borsa ma visto che i nostri soldi sono anche nelle banche online protetti da password...
Guardate qui: http://www.pc-facile.com/news.php?n=20224 e qui

Saluti.

 

[fo64]

SalvaPC News - sicurezza per tutti N. 93 di martedi' 6 luglio 2004

Supplemento a Punto Informatico
----------------------------------------------------------------------

NUOVE VARIANTI
--------------

Si stanno diffondendo con una certa audacia due nuove varianti di Beagle, il worm scoperto nei primi mesi del 2004, Y e Z, che alcuni laboratori considerano un'unica variante AD.
Anche questa nuova formulazione del worm ha l'obiettivo di infettare i computer per trasformarli in macchine capaci di sparare email in grandi quantita' su tutta la Rete.

I sistemi vulnerabili a Beagle Y e Z sono tutti i sistemi Windows non protetti, dalla versione 95 in poi. Non rischiano l'infezione i sistemi Linux, Dos, Unix, Macintosh e OS/2.

COSA FANNO
----------

Queste due versioni di Beagle si insinuano nel computer attraverso la posta elettronica ed una volta attivati mostrano una finestra di errore di Windows con scritto "Can't find a viewer associated with the file" (Impossibile trovare un visualizzatore associato al file). Questa finestra dovrebbe mettere in allarme immediatamente.
Dopo la sua apparizione, il worm da' inizio alle operazioni sul registro di configurazione di Windows, con due obiettivi primari: disabilitare eventuali software antivirus e assicurare che Beagle possa essere avviato automaticamente dal sistema operativo ad ogni riavvio.

Impostato il registro, Beagle comincia a copiare se stesso nei dischi del computer, a partire dalle directory di sistema per arrivare alle cartelle che contengono la sequenza di caratteri "shar".

Non contenti, Beagle Y e Z compiono l'operazione piu' pericolosa tra quelle previste nel loro codice: l'apertura di una backdoor sulla porta TCP 1234. Questa porta puo' essere sfruttata da Beagle per costringere il computer infetto a inviare migliaia di email in giro per Internet, ma puo' anche essere utilizzata da un cracker per insidiarsi all'interno del computer colpito.

Come tutti i worm e come le sue precedenti varianti, Beagle ricerca poi indirizzi email all'interno del computer, scovandoli nei file conservati nel computer. Sono questi gli indirizzi ai quali il worm spedisce le sue email virali usando un proprio server SMTP, ovvero un proprio software per l'invio dei messaggi che puo' girare senza che il proprietario del computer si accorga di alcunche'.

COME RICONOSCERLO
-----------------

Beagle puo' pervenire da un indirizzo email qualsiasi, anche quello di una persona conosciuta. Questo avviene perche' il worm trova nel computer da cui proviene quell'indirizzo e lo imposta come mittente. Solo un esperto puo' capire che il mittente e' fittizio analizzando tutti i dati relativi ad un messaggio di posta elettronica (gli "header").

L'email che contiene le varianti Y e Z di Beagle ha il soggetto e il testo del messaggio in inglese ed ha sempre un allegato. I testi, proprio come il nome del file allegato, vengono selezionati da Beagle tra quelli che sono stati predeterminati dall'autore del worm. Il file allegato ha pero' sempre la stessa dimensione (62 KB per la variante Y e 67 KB per la Z).

COME PROTEGGERSI
----------------

Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.

Evitare di aprire mail sospette.

ULTERIORI INFORMAZIONI
----------------------

Maggiori informazioni su Beagle.Y e Beagle.Z sono disponibili in inglese ai seguenti indirizzi:

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

http://www.sophos.com/virusinfo/analyses/w32baglead.html

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

email: [email protected]
Url: http://salvapc.com/

 

[fo64]

SalvaPC News - sicurezza per tutti N. 95 di martedi' 27 luglio 2004

Supplemento a Punto Informatico


VECCHIA CONOSCENZA
------------------

La versione M del celebre worm MyDoom ha messo in allarme rosso nelle scorse ore tutti i laboratori antivirus, questo mass mailing worm si sta infatti diffondendo ad una velocita' impressionante e sono gia' moltissimi i computer infettati.

MyDoom.M attacca tutti i sistemi Windows mentre risultano invulerabili al worm i sistemi operativi Linux, Dos, Unix, Novell Netware, Macintosh e OS/2.

Le ultime varianti di MyDoom che avevano destato una qualche preoccupazione risalgono allo scorso gennaio, quando uscirono la prima (A) e la seconda versione (B) di questo Worm.

COSA FA
--------

I danni al computer infettato sono limitati, tuttavia questa nuova variante di MyDoom promette di infestare le caselle di posta elettronica di milioni di utenti. Il problema piu' serio che puo' generare l'infezione e' l'apertura di una backdoor sulla porta TCP 1034 che in quanto tale potrebbe permettere l'accesso e l'esecuzione non autorizzate di applicazioni sul computer infettato.

Non appena MyDoom.M viene eseguito su un computer, questi tenta immediatamente di impostare nel registro di configurazione i codici necessari a potersi attivare automaticamente ad ogni avvio del sistema. Quindi comincia subito ad eseguire una scansione dei dischi fissi alla ricerca di indirizzi email a cui poi autospedirsi. Questo worm e' anche in grado di eseguire delle ricerca sui motori di Google, Lycos, Yahoo! e Altavista al fine di trovare nuovi indirizzi email al quale spedire una copia di se stesso.

* Per autospedirsi MyDoom.M utilizza un proprio server SMTP, un sistema che sfrutta una qualsiasi connessione a Internet per sparare quanti piu' messaggi di posta elettronica possibile.

COME RICONOSCERLO
-----------------

Non e' facile da identificare, essendo il mittente dell'email un indirizzo fittizio tra quelli che MyDoom.M ha trovato nel computer infetto oppure attraverso le query sui motori di ricerca. Il soggetto dell'email puo' essere uno dei seguenti:
- say helo to my litl friend
- click me baby, one more time
- hello
- error
- status
- test
- report
- delivery failed
- Message could not be delivered
- Mail System Error - Returned Mail
- Delivery reports about your e-mail
- Returned mail: see transcript for details
- Returned mail: Data format error

Il nome dell'allegato cosi' come il testo del messaggio vengono invece selezionati da MyDoom.M tra una lista di testi predefiniti che prevede un discreto numero di varianti, sufficienti a renderlo spesso diverso da un'altra copia del worm. Anche la dimensione dell'allegato e' variabile.

COME PROTEGGERSI
----------------

Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.

Evitare di aprire mail sospette, specialmente se hanno un soggetto in inglese.

ULTERIORI INFORMAZIONI
----------------------

Maggiori informazioni su MyDoom.M sono disponibili in inglese ai seguenti indirizzi:

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
http://www.sophos.com/virusinfo/analyses/w32mydoomo.html
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_MYDOOM.M

Un tool per la rimozione di MyDoom.M e' disponibile al seguente indirizzo:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

email: [email protected]
Url: http://salvapc.com/
----------------------------------------------------------------------

 

[ecasa]

Ecco una nuova e bella evoluzione dei virus, pare solo per XP :

Sul Web il virus parlante
Chiede come stai e cancella i dati

Si chiama Amos il nuovo virus segnalato da alcune case sviluppatrici di sistemi di sicurezza per computer, in grado, una volta lanciato, di parlare con gli utenti. Il codicillo, appartenente alla sempre più numerosa famiglia degli worm, sfrutta il Windows Speech Engine, il simulatore vocale interno a Windows XP per scambiare quattro chiacchiere prima di cancellare alcuni file contenuti sul disco rigido.......
segue . . .
http://www.giornaletecnologico.it/news/200409/15/414705b502008/

E anche quì ....

Da oggi i virus parlano anche. Amus, worm etichettato a bassa pericolosità, sfrutta infatti il simulatore vocale interno a Windows XP per lanciare un beffardo messaggio agli utenti colpiti prima di cancellare alcuni file e rendere instabile il sistema.
http://webnews.html.it/news/2310.htm

ciao a tutti.