NUOVI VIRUS: segnalateli qui!

In questa cartella potete segnalare notizie e aggiornamenti di nuovi virus, worms e simili.

Se possibile, nel Titolo del post indicate:
1.data dell'articolo
2.nome del virus

Così potremo mantenere più ordinata questa cartella!

[Modificato da megasite3000 05/11/2003 9.48]

Una pericolosa variante di NIMAIL è entrata in circolazione nelle ultime ore. Come le precedenti versioni anche questa aprofitta di un difetto di funzionamenro (bug) dei sistemi Microsoft Windows.

Secondo gli esperti l'e-mail si diffonde rapidamente perché utilizza gli indirizzi memorizzati sui pc, apparendo come una mail inviata da un amico o da un collega, ha detto Raimund Genes, presidente europeo di Trend Micro.
Trend e Network Associates hanno classificato come "medio" il livello di pericolosità del virus, dopo che numerosi utenti sono stati contagiati in poco tempo.

primo worm per l’editor vim


di Guido Sintoni
23/6/2003

Vi (acronimo di Visual Editor) è un editor di testo molto spartano, che gode peraltro di grande popolarità in quanto presente sulla quasi totalità dei sistemi Unix (e derivati) in circolazione da un ventennio a questa parte.

Il consulente per la sicurezza George Guninski ha scoperto una vulnerabilità in vim (una versione migliorata di Vi nota anche come Vi Improved) che può portare all’esecuzione di codice arbitrario in caso di apertura di un file di testo.

Questa vulnerabilità può essere estesa fino a creare un worm che – sfruttando un bug delle modeline di vi – permetta l’esecuzione di comandi di shell (tra cui la propagazione del worm stesso). L’ipotesi, anche se realizzabile, sembra accademica: vi e vim sono strumenti utilizzati da figure esperte (spesso programmatori e amministratori di sistema), che verosimilmente non li utilizzeranno per la visualizzazione e la modifica di messaggi di posta elettronica (condizione necessaria per l’esecuzione del worm). Come fa notare Guninski, è possibile disabilitare le modeline di vim per rimuovere la vulnerabilità.

Fizzer, un worm fastidioso


di Alberto Ancarani e Guido Sintoni
5/9/2003

Comparso a metà maggio Fizzer, è un worm che attacca i sistemi Windows. Si tratta di un classico mass-mailer che si autoinvia agli indirizzi di posta presenti nella rubrica di Windows; per propagarsi sfrutta anche la rete Kazaa di file sharing.

Il worm contiene una backdoor che utilizza vari server di Internet Relay Chat (Irc) per comunicare con l’attaccante remoto; inoltre è in grado di terminare i processi di vari antivirus, riuscendo così a superarne le difese.

L’e-mail che trasporta l’allegato infetto può presentarsi con vari tipi di oggetto e di contenuto, in lingua inglese o – spesso – in lingua tedesca. L’allegato può avere differenti dimensioni ed estensioni.

Una volta penetrato nel sistema, Fizzer copia e/o crea vari file nella directory Windows, poi aggiunge o modifica due chiavi del Registro di Configurazione. Infine, si connette a una chat room di Aol Instant Messenger per attendere istruzioni da parte dell’hacker.

Oltre che con un buon antivirus aggiornato, Fizzer è rimuovibile anche a mano (o utilizzando seguendo ad esempio le ottime istruzioni fornite da Trend Micro e da Symantec sui propri siti Web.

I worm Sobig.B e Sobig.C


di Alberto Ancarani e Guido Sintoni
5/9/2003

Sobig.B e Sobig.C sono due worm di tipo mass-mailer che hanno fatto la propria comparsa nello scorso maggio. Entrambi recano come mittente Microsoft: Sobig.B si presenta come un messaggio proveniente da support@microsoft.com, e Sobig.C da bill@microsoft.com. Tutti e due tentano di replicarsi ricercando indirizzi nei file con estensione .wab, .dbx, .htm, .html, .eml e .txt. L’oggetto non è fisso; il corpo del messaggio è All information is in the attached file per Sobig.B e Please see the attached file per Sobig.C.

L’allegato è un file con estensione .pif da 52898 byte per Sobig.B, e uno con estensione .pif o .scr da 59 KByte per Sobig.C. Pur avendo raggiunto una notevole diffusione, sono due worm attualmente inoffensivi: il loro payload termina rispettivamente il 31/5/2003 e l’8/6/2003.

Sobig.B, una volta lanciato, si copia nella root di Windows come msccn32.exe e crea due file, hnks.ini e msdbrr.ini. Poi modifica una chiave del Registro per essere avviato al boot di Windows. A questo punto ricerca le risorse di rete condivise e si copia nelle cartelle di avvio (di Windows e di Documents and Settings) di tutti gli utenti.

Sobig.C ha un comportamento simile: si copia nella root di Windows come mscvb32.exe e crea i file msddr.dll e msddr.dat. Inserisce anch’esso una (o due) chiavi di registro e ricerca le risorse di rete condivise, attraverso le quali tenta poi di replicarsi.

La shell di Windows è l’ambiente di base in cui lavora l’interfaccia utente del sistema operativo (il cosiddetto desktop). Tramite la shell vengono eseguite le sessioni di lavoro, la gestione di file e cartelle. In una delle funzioni utilizzate dalla shell del solo Windows Xp per estrarre informazioni e attributi di alcune cartelle, è presente una vulnerabilità (importante, secondo Microsoft) legata ad un buffer non verificato. È possibile creare un file Desktop.ini contenente un attributo volutamente non valido, e successivamente porlo su una cartella condivisa in rete.

È sufficiente che l’utente esegua il browsing della cartella condivisa perché il file di configurazione provochi malfunzionamenti della shell o l’esecuzione di codice arbitrario sulla macchina remota con i privilegi dell’utente collegato. Microsoft ha trattato l’argomento nell’articolo 821557 della propria Knowledge Base e preparato la patch descritta nel bollettino MS03-027. Quest’ultima si applica a sistemi Windows Xp Sp1, non richiede il riavvio della macchina e sarà compresa nel prossimo Xp Service Pack 2.

Rpc (Remote Procedure Call) è un protocollo utilizzato da Windows per fornire un meccanismo di comunicazione interprocesso che consenta ad un’applicazione residente su un sistema di essere eseguita da un sistema remoto. Il protocollo deriva dal protocollo Rpc di Open Software Foundation, con l’aggiunta di alcune estensioni proprietarie Microsoft.

Tutti i sistemi Windows (compreso il nuovo Server 2003), ad eccezione di Windows Millennium Edition, soffrono di una vulnerabilità che riguarda il modo in cui Rpc si interfaccia con messaggi su protocollo Tcp/Ip, ed è imputabile all’errata gestione di messaggi malformati. Questa particolare vulnerabilità colpisce un’interfaccia Dcom legata a Rpc, che serve per ascoltare le porte su cui sono abilitati servizi Rpc, e che gestisce le richieste di attivazione di oggetti Dcom inviate dalle macchine client.

Con un attacco basato su buffer overflow, è possibile eseguire codice arbitrario con pieni, installare applicazioni, manipolare dati o creare utenti. Anche se è possibile limitare con politiche di firewalling l’accesso alle macchine vulnerabili (sulle porte 135, 139 e 445), Microsoft definisce la vulnerabilità critica e consiglia l’immediata applicazione della patch descritta nel bollettino MS03-026.

---

Scritto da: King Fesen 12/11/2003 15.51
Rpc (Remote Procedure Call) è un protocollo utilizzato da Windows per fornire un meccanismo di comunicazione interprocesso che consenta ad un’applicazione residente su un sistema di essere eseguita da un sistema remoto. Il protocollo deriva dal protocollo Rpc di Open Software Foundation, con l’aggiunta di alcune estensioni proprietarie Microsoft.

Tutti i sistemi Windows (compreso il nuovo Server 2003), ad eccezione di Windows Millennium Edition, soffrono di una vulnerabilità che riguarda il modo in cui Rpc si interfaccia con messaggi su protocollo Tcp/Ip, ed è imputabile all’errata gestione di messaggi malformati. Questa particolare vulnerabilità colpisce un’interfaccia Dcom legata a Rpc, che serve per ascoltare le porte su cui sono abilitati servizi Rpc, e che gestisce le richieste di attivazione di oggetti Dcom inviate dalle macchine client.

Con un attacco basato su buffer overflow, è possibile eseguire codice arbitrario con pieni, installare applicazioni, manipolare dati o creare utenti. Anche se è possibile limitare con politiche di firewalling l’accesso alle macchine vulnerabili (sulle porte 135, 139 e 445), Microsoft definisce la vulnerabilità critica e consiglia l’immediata applicazione della patch descritta nel bollettino MS03-026.

---

è sempre la solita, già risolta tempo fa con la patch

---

Scritto da: ReMichael 12/11/2003 16.41


è sempre la solita, già risolta tempo fa con la patch

---

Smb (Server Message Block) è il protocollo utilizzato per la condivisione di file e risorse tra sistemi Microsoft Windows. In un ambiente di rete, i client Smb eseguono richieste di risorse verso i server, e questi ultimi forniscono una risposta sull’eventuale disponibilità ai client che lo richiedono.

Jeremy Allison e Andrew Tridgell del Samba Team hanno scoperto una vulnerabilità nel modo in cui il server convalida i parametri di un pacchetto Smb. Quando un client invia un pacchetto Smb a un server, include parametri specifici necessari a fornire al server un set di istruzioni. Il server Smb, in questo caso, non controlla correttamente la lunghezza del buffer relativa al pacchetto; pertanto è soggetto ad attacchi basati su buffer overflow. Un attaccante può inviare pacchetti di richieste Smb creati ad arte per provocare la sovrascrittura del buffer; quando ciò accade, la conseguenza è la perdita di dati, il crash di sistema o l’esecuzione arbitraria di codice.

Microsoft ha definito la vulnerabilità (che riguarda tutte le versioni di Windows, tranne Server 2003) importante, e ha preparato la patch MS03-024. Un importante fattore mitigante è rappresentato dal fatto che l’attaccante debba avere un account valido e debba essere autenticato dal server per sfruttarne la vulnerabilità.

LONDRA (Reuters) - Un nuovo virus informatico in grado di raccogliere milioni di indirizzi email da pc contagiati si sta diffondendo rapidamente in tutto il mondo, segnalano gli esperti del settore.

Il virus, noto come "Bagle" o "Beagle", sembra opera di spammer (cioè produttori di spam, messaggi email pubblicitari non sollecitati) allo scopo di raccogliere indirizzi di posta elettronica che possono poi rivendere ad altri operatori di marketing "selvaggio" o conservare per i loro stessi scopi.

Ma "Bagle" contiene anche un codice che che può tramutare il computer colpito in un una vera e propria "spamming machine".

Gli esperti di sicurezza informatica dicono che il virus è modellato sui recenti "Sobig" e "Mimail", che hanno trasformato i pc contagiati in "zombie machine" che gli spammer possono controllare a distanza per inviare ad altri computer quantità di messaggi su come diventare ricco rapidamente o su come allungare il proprio pene.

L'email infettiva contiene di solito un "Hi" (ciao) nello spazio dedidcato al titolo e un file attachment in ".exe". Il testo contiene di solito parole o lettere a caso.

Il virus scatta una volta che l'utente clicca sull'allegato, mettendo in moto un programma che colleziona le email monitorando tutti i documenti presenti sul pc.

Facendo seguito a un numero di infezioni segnalate a livello mondiale, tra cui USA, Germania, Australia e Giappone, Trend Micro ha dichiarato un allerta virus con un grado di rischio stimato ''medio''. Questo worm risiede in memoria e si diffonde tramite posta elettronica, spedendo un messaggio agli indirizzi raccolti da file di varie estensioni e allegando se stesso come file con estensione .exe. Per essere protetti i clienti devono controllare con urgenza di aver aggiornato il pattern file al numero 729 che li difende da questa minaccia. Inoltre, per gli utenti che stanno utilizzando la Trend Micro Control Manager sara' offerto ulteriore aiuto con la Trend Micro Outbreak Prevention Policy numero 68 (le regole per la prevenzione dell'infezione) e il relativo Damage Clean-up Template (il profilo di pulizia). Per gli utenti che sono gia' stati colpiti da questo codice maligno, Trend Micro ha emesso una ''Hot Fix'' pubblicata all'indirizzo internet: http://kb.trendmicro.com/solutions/solutionDetail.asp? solutionId=18230. Usando un motore Simple Mail Transfer Protocol (Smtp) questo codice maligno invia messaggi che arrivano nel seguente formato: Soggetto: Hi - Corpo del messaggio: Test =).

Mcafee Avert (Anti-Virus Emergency Response Team), la divisione di ricerca anti-virus di Network Associates, ha assegnato una valutazione di rischio media al worm W32BAGLE@MM recentemente scoperto, e conosciuto anche come Bagle. Bagle e' un worm che include un componente per l'accesso remoto. E' stato individuato per la prima volta ieri dai ricercatori Avert che, finora, hanno ricevuto dozzine di esempi di questo worm da aziende in tutto il mondo. Bagle e' un worm Internet mass mailer che raccoglie gli indirizzi dai file locali .wab, .txt, .htm e .html e quindi li utilizza inserendoli sia nel campo From che nel campo To per auto inviarsi, utilizzando il motore Smtp proprietario. Il ricevente non e' quindi in grado di visualizzare il reale mittente. Il worm passa poi nel componente di accesso remoto del virus, che ricerca la possibilita' di connessioni remoti sulla porta Tcp 6777. Il worm cerca di avvisare l'autore del virus di essere pronto a ricevere comandi contattando vari siti web e richiamando uno script presente sul sito remoto. Gli utenti devono cancellare tutti i messaggi che contengono quanto segue: Da: (l'indirizzo puo' essere falsificato) Oggetto: Hi Testo: Test =) (caratteri a caso) Test, yep. Allegato: (nome del file a caso) 15,872 byte esempio: frjujs.exe Una volta eseguito, Bagle@mm si invia agli indirizzi rilevati sul Pc host utilizzando un nome di file scelto a caso. Il worm smette di propagarsi sui computer con data di sistema 28 gennaio 2004 o successive. Informazioni sul virus e le cure per questo worm sono disponibili all'indirizzo http://vil.nai.com/vil/content/v_100965.htm. Inoltre, gli utenti di prodotti antivirus Mcafee Security devono aggiornare i propri sistemi e utilizzare il motore 4.2.40 o successivi per bloccare potenziali danni.

Un nuovo identity file (Ide) e' disponibile sul sito di Sophos e sara' incluso nella versione di marzo 2004 (3.79) di Sophos Anti-Virus. Sophos ha ricevuto diverse segnalazioni su W32/Bagle-A, un worm costituito da un file a 32 bit. Questo worm e' anche noto come W32.Beagle.A@mm e Win32.Bbgle.A@mm. Maggiori informazioni su W32/Bagle-A sono disponibili all'indirizzo www.sophos.com/virusinfo/analyses/w32baglea.html. E' possibile scaricare il file Ide da www.sophos.com/downloads/ide/bagle-a.ide. Per informazioni su come usare i file Ide: www.sophos.com/downloads/ide/using.html

Un nuovo identity file (Ide) e' disponibile sul sito di Sophos e sara' incluso nella versione di marzo 2004 (3.79) di Sophos Anti-Virus. Finora Sophos ha ricevuto solo una segnalazione su Troj/Divix-A, un trojan noto anche come Worm.Win32.Randon.o, Backdoor.Trojan e IRC/Flood.bat. Maggiori informazioni su Troj/Divix-A sono disponibili all'indirizzo www.sophos.com/virusinfo/analyses/trojdivixa.html. Questo file Ide permette anche di rilevare Troj/Saye-A (www.sophos.com/virusinfo/analyses/trojsayea.html) e Troj/Flood-CR (www.sophos.com/virusinfo/analyses/trojfloodcr.html). E' possibile scaricare il file Ide da www.sophos.com/downloads/ide/divix-a.ide. Per informazioni su come usare i file Ide: www.sophos.com/downloads/ide/using.html

28/01/04 - Roma - Allarme rosso. Codice rosso. Massima allerta. Nella notte e nella mattinata di ieri si sono susseguiti anche in Italia gli allarmi che in un crescendo sono stati diramati dai principali laboratori antivirus e centri di sicurezza. Una cosa sola era certa fin dalle prime ore dell'alba italiana: il nuovo worm MyDoom stava rapidamente scalando le vette della classifica dei worm che più rapidamente si diffondono

MyDoom è il worm che in poche ore ha saputo diffondersi in mezzo mondo, moltiplicando i danni alle comunicazioni già provate dallo spam e da Sober.C. Gli avvistamenti si susseguono, i provider sono all'erta. C'è chi teme il Big One

---

Scritto da: megasite3000 28/01/2004 10.17
28/01/04 - Roma - Allarme rosso. Codice rosso. Massima allerta. Nella notte e nella mattinata di ieri si sono susseguiti anche in Italia gli allarmi che in un crescendo sono stati diramati dai principali laboratori antivirus e centri di sicurezza. Una cosa sola era certa fin dalle prime ore dell'alba italiana: il nuovo worm MyDoom stava rapidamente scalando le vette della classifica dei worm che più rapidamente si diffondono

MyDoom è il worm che in poche ore ha saputo diffondersi in mezzo mondo, moltiplicando i danni alle comunicazioni già provate dallo spam e da Sober.C. Gli avvistamenti si susseguono, i provider sono all'erta. C'è chi teme il Big One

---

ma in linux se lo prende nel

---

Scritto da: King Fesen 28/01/2004 14.38


ma in linux se lo prende nel

---

IL VIRUS PIU' PERICOLOSO CHE SI SIA MAI VISTO!!!!!!!!! Attenzione!!!!

E' stato scoperto un nuovo virus, classificato da Microsoft come il più distruttivo mai conosciuto: è stato scoperto ieri pomeriggio da McAfee e non esiste alcun antivirus efficace.

Esso distrugge l'hard disk, dove sono archiviate tutte le informazioni essenziali. Questo virus agisce così: si invia automaticamente a tutti i nomi della vostra lista, con il titolo "Una cartolina per voi". Appena aperta , spegne il computer e, quando lo si fa ripartire, distrugge in modo permanente l'hard disk. Ieri, in poche ore, ha provocato il panico a New York, e ne ha parlato anche la TV. Non aprite quindi le mail con la dicitura "Una cartolina virtuale per voi", distruggetele immediatamente!

> > Inoltrate questo avviso ai vostri amici e conoscenti.

> >

---

Scritto da: King Fesen 29/01/2004 17.11
IL VIRUS PIU' PERICOLOSO CHE SI SIA MAI VISTO!!!!!!!!! Attenzione!!!!

E' stato scoperto un nuovo virus, classificato da Microsoft come il più distruttivo mai conosciuto: è stato scoperto ieri pomeriggio da McAfee e non esiste alcun antivirus efficace.

Esso distrugge l'hard disk, dove sono archiviate tutte le informazioni essenziali. Questo virus agisce così: si invia automaticamente a tutti i nomi della vostra lista, con il titolo "Una cartolina per voi". Appena aperta , spegne il computer e, quando lo si fa ripartire, distrugge in modo permanente l'hard disk. Ieri, in poche ore, ha provocato il panico a New York, e ne ha parlato anche la TV. Non aprite quindi le mail con la dicitura "Una cartolina virtuale per voi", distruggetele immediatamente!

> > Inoltrate questo avviso ai vostri amici e conoscenti.

> >

---

peggio per loro... gli avevo detto di passare a linux...