Aggiornamenti sugli ultimi virus sul sito ufficiale della McAfee

W32/Palyh@MM
(maggio 2003)

Non aprite quell'allegato. Si tratta di un virus simile al W32/Sobig@MM, infetta il vostro pc e costruisce messaggi inviandoli attraverso il proprio motore SMTP. Come dicevo non bisogna aprire l'allegato che di solito ha le seguenti estensioni: WAB , DBX, HTM, HTML, EML e TXT, e camuffa il suo indirizzo con support@microsoft.com. Lo si può riconoscere dai possibili soggetti dell'email:

Mentre nel corpo del messagio si riporta "All information is in the attached file."

 Per chi pensa di essere stato colpito e usa win2000, NT o XP, consiglio di controllare le seguenti cartelle

\Documents and Settings\All Users\Start Menu\Programs\Startup\

\Windows\All Users\Start Menu\Programs\Startup\

Come scoprire se si è infettati:
 verificare la presenza dei seguenti file:

Inoltre controllate il registro alle seguenti chiavi:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = %WinDir%\msccn32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = %WinDir%\msccn32.exe

W32/Bugbear@MM
(ottobre 2002)

W32/Bugbear@MM, virus di medio rischio, come tutti i worm, una volta infettato il sistema, oltre a spedire e-mail prendendo gli indirizzi dalla rubrica, cerca di disabilitare i software di sicurezza installati sulla macchina, come ad esempio gli anti-virus e i firewall personali. Tenterà anche di installare un trojan che può catturare tutto ciò che l'utente digita, incluso informazioni come password. Inoltre invia file in stampa su tutte le stampanti presenti in rete intasandole.

Si diffonde via e-mail e condivisioni di rete e fa sfrutta la vulnerabilità di Microsoft Internet Explorer 5.01 e 5.5 senza Service Pack 2 che consigliamo di scaricare qui. Attenzione quindi perché il file va in esecuzione anche con la semplice anteprima del messaggio.

Possibili oggetti delle e-mail possono essere:

Come scoprire se si è infettati:

Il virus fa una copia di se stesso nella cartella %WinDir%\System   ****.EXE (dove * rappresentano caratteri casuali, la sua grandezza è di 50,688 o 50,684 bytes). Ad esempio:

con Win98: C:\WINDOWS\SYSTEM\FYFA.EXE
con Windows 2000 Professional: C:\WINNT\SYSTEM32\FVFA.EXE
Modifica la seguente chiave del Registry (Registro di Windows) in modo da essere eseguito all'avvio di windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce "%lettere casuali%" = %nome del file casuale%.EXE (Win9x)

Inoltre copia se stesso nella cartella di AVVIO col nome ***.EXE (dove, ripetiamo,  * rappresentano caratteri casuali), ad esempio:
con Win98 : C:\WINDOWS\Start Menu\Programs\Startup\PIP.EXE
Con Windows 2000 Professional : C:\Documents and Settings\(username)\Start Menu\Programs\Startup\PIC.EXE

Controllare la presenza dei seguenti file:
%WinDir%\System\****.EXE (50,688 or 50,684 bytes)
%WinDir%\******.DAT
%WinDir%\******.DAT
%WinDir%\System\******.DLL
%WinDir%\System\*******.DLL
%WinDir%\System\*******.DLL
 

W32/Frethem.l@MM
(luglio 2002)

Frethem.K è l'ultima variante di un virus già conosciuto (W32/Frethem.l@MM) che, fortunatamente non aveva procurato danni. Anche questa variante non risulta essere distruttiva, ciononostante la diffusione delle prime ore sembra essere molto elevata. Per questo motivo molte delle società produttrici di antivirus segnalano una pericolosità elevata del virus raccomandando la massima attenzione sui messaggi di posta ricevuti.
Il virus arriva come innocua e-mail con un allegato infetto. Una volta eseguito, il programma rimane residente in memoria e tenta di collegarsi a una lunga lista di siti internet contenuta nel corpo del messaggio, oltre che, naturalmente, inviare copie di se stesso a tutti gli indirizzi contenuti nella rubrica di Microsoft Outlook Express e nei suoi files (.WAB - .DBX), .MBX, .EML, e .MDB . Gli autori del virus hanno anche lasciato il seguente messaggio ironico all'interno del messaggio di posta:

Beffa jdbgmgr.exe
(aprile 2002)

Nel mese di Aprile è apparso un messaggio a moltissimi utenti via e-mail a proposito di un sospetto file/virus, il nome di tale file è JDBGMGR.EXE: si consiglia di cancellarlo...

NOOOOOOOOOOOOO!!!
Non dategli retta...

Il file in questione è un componente standard di windows presente in ogni installazione in particolare è il Microsoft Debugger Registrar for Java, lo si può trovare in C:\WINDOWS\SYSTEM. Invitiamo tutti gli utenti che ricevono questa email ad ignorarla o cancellarla, anzi di rispondere al mittente rassicurandolo della bufala. Certamente essendo un file .EXE è suscettibile ad infezioni, ma come d'altronde ogni file con questa estenzione.

CORPO DELL'E-MAIL

Corpo E-mail in Inglese  I found the little bear in my machine because of that I am sending this message in order for you to find it in your machine. The procedure is very simple:  The objective of this e-mail is to warn all Hotmail users about a new virus that is spreading by MSN Messenger. The name of this virus is jdbgmgr.exe and it is sent automatically by the Messenger and by the address book too. The virus is not detected by McAfee or Norton and it stays quiet for 14 days before damaging the system.  The virus can be cleaned before it deletes the files from your system. In order to eliminate it, it is just necessary to do the following steps:  1. Go to Start, click "Search" 2.- In the "Files or Folders option" write the name jdbgmgr.exe  3.- Be sure that you are searching in the drive "C"  4.- Click "find now"  5.- If the virus is there (it has a little bear-like icon with the name of jdbgmgr.exe DO NOT OPEN IT FOR ANY REASON 6.- Right click and delete it (it will go to the Recycle bin)  7.- Go to the recycle bin and delete it or empty the recycle bin.  IF YOU FIND THE VIRUS IN ALL OF YOUR SYSTEMS SEND THIS MESSAGE TO ALL OF YOUR CONTACTS LOCATED IN YOUR ADDRESS BOOK BEFORE IT CAN CAUSE ANY DAMAGE.

Corpo E-mail  in Spagnolo Encontré el osito en mi máquina por lo que cumplo con remitir el mensaje para que lo busquen en su máquina. el procedimiento es sencillo:  El motivo de este e-mail es advertir a todos los usuarios de hotmail sobre un nuevo virus que circula por medio del MSN Messenger. El virus se llama jdbgmgr.exe y se transmite automáticamente por medio del Messenger y tambien por la libreta de direcciones. . El virus no es detectado por McAfee o Norton y permanence en letargo durante 14 días antes de dañar el sistema entero. Puede ser borrado antes de que elimine los archivos de tu computadora.  Para eliminarlo, solo hay que hacer los pasos siguientes:  1. Ir a Inicio, pulsar "buscar"  2.- En búsqueda "archivos o carpetas" escribir el nombre jdbgmgr.exe  3.- Asegurarse de que este buscando en disco "C"  4.- Pulsar en "buscar ahora"  5.- Si aparece el virus (el icono es un osito que tendrá el nombre de jdbgmgr.exe NO ABRIR POR NINGUN MOTIVO  6.- Pulsar en el botón derecho del ratón y eliminarlo (ira a la papelera de reciclaje).  7.- Ir a la papelera de reciclaje y borrarlo definitivamente o bien vaciar la papelera entera.  SI ENCUENTRAN EN VIRUS EN SUS EQUIPOS MANDAR ESTE MENSAJE A LAS PERSONAS QUE TENGAN EN SU LIBRETA DE DIRECCIONES ANTES DE QUE CAUSE ALGUN DAÑO

Corpo E-mail  in Tedesco Hallo,  gerade habe ich den Virus detectiert und vernichtet, schaut lieber nach, ob ihr nicht auch betroffen seit!  Der Virus ist mit ueblichen Programmen nicht abzuwehren und wird durch Outlook Express verbreitet:  - Die infizierte Datei namens: jdbgmgr.exe, befindet sich im Laufwerk C:, besser ueberall nachschauen. - Wenn gefunden, nicht oeffnen sondern gleich loeschen - Auch aus dem Muelleimer loeschen. - Solltet Ihr auch infiziert sein, sendet doch bitte diese Nachricht an Euer komplettes Adressbuch!  Vielen Dank

 



W32/Klez.h@MM
(aprile 2002)

Il virus Klez è un worm con un medio livello di allarme, non si corrono rischi se si tiene aggiornato il proprio antivirus. Il worm tende a propagarsi via email o via rete intranet tramite condivisione di cartelle. Nel primo caso prende gli indirizzi dalla rubrica e si invia con uno dei seguenti oggetti:

Oggetto: A very funny website  Oggetto: 1996 Microsoft Corporation  Oggetto: Hello,honey  Oggetto: Initing esdi  Oggetto: Editor of PC Magazine.  Oggetto: Some questions  Oggetto: Telephone number

avendo in allegato un file con un nome generato casualmente, ma con una delle seguenti estensioni: .exe, .scr, .pif o .bat. Attenzione perché spesso, per essere più credibile, invia in allegato anche un vostro documento trovato sul disco fisso. Un documento del tipo:

.txt .htm .html .wab .asp .doc

.rtf .xls .jpg .cpp .c .pas

.mpg .mpeg .bak .mp3 .pdf

Se la propagazione avviene via rete intranet, il virus copia se stesso nelle cartelle condivise (logicamente se in tali cartelle esiste il permesso di accesso e scrittura) creando file con singola o doppia estensione come ad esempio:   350.bak.scr      bootlog.jpg        user.xls.exe

Fare attenzione perché a volte tende a copiarsi creando file compressi come gli archivi RAR. Ad esempio:
  HREF.mpeg.rar       HREF.txt.rar        lmbtt.pas.rar

Per sapere se si è infetti controllare la presenza di file sospetti all'interno del proprio o dei propri dischi fissi e controllare nel registro di windows se alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
compare un file WINKxxx.EXE file  con "xxx" creato casualmente.



W32/Myparty.a@MM
(gennaio 2002)

E' un virus worm che crea una backdoor trojan sui sistemi con i seguenti sistemi operativi Windows 9x/ME/NT/2000/XP. Il worm non porta nessun payloads distruttivo quindi il livello di allarme è medio. L'Email che arriva contiene le seguenti informazioni: 

Oggetto: new photos from my party!  Corpo della Mail: Hello!  My party... It was absolutely amazing!  I have attached my web page with new photos!  If you can please make color prints of my photos. Thanks!  Allegato:  www.myparty.yahoo.com

Il nome dell'allegato può trarre in inganno alcuni utenti in quanto pensano che derivi dal sito ufficiale di yahoo. Il .COM finale non indica un indirizzo telematico, bensì identifica un file eseguibile che se mandato in esecuzione infetta la macchina.


Come identificarlo:

Su Windows 9x/ME
Se la data è compresa tra il 25 e il 29 gennaio 2002, il virus viene copiato in C:\Recycled\regctrl.exe e si esegue. 


Su Windows NT/2000/XP
Se la data non è compresa tra il 25 e il 29 gennaio 2002, il virus viene copiato in C:\Recycled come F-[numero_casuale]-[numero_casuale]-[numero_casuale] con nessuna estensione. 
Se la data invece è compresa tra il 25 e il 29 gennaio 2002, il virus viene copiato in C:\regctrl.exe ed inserisce il file MSSTASK.EXE nella cartella Esecuzione Automatica (Start Up). MSSTASK.EXE è un BackDoor trojan. 
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001 
Ricordare che la reale presenza del virus in C:\RECYCLED\REGCTRL.EXE è visibile solo con un Prompt Dos e non sfogliando attraverso le cartelle di Windows 
Presenza di C:\REGCTRL.EXE 
Presenza di %userprofile%\Start Menu\Programs\Startup\msstask.exe 



EXTRA.DAT Il file EXTRA.DAT è la seconda release, include l'individuazione della variante .B e taglia la backdoor.  EXTRA.DAT - deve essere estratto nella cartella contenente il  CLEAN.DAT, NAMES.DAT e SCAN.DAT. Di solito sono in C:\Programmi\Common Files\Network Associates\VirusScan Engine\4.0.xx)

Super EXTRA.DAT SUPER EXTRA.DAT - Auto installazione  In aggiunta al virus scan.

Informazioni addizionale per gli utenti con Windows ME:
Attenzione: Windows ME utilizza un'utility di backup che seleziona i files automaticamente nella cartella C:\_Restore folder. Questo significa che il file infetto può essere immagazzinato come un file di backup e l'antivirus è autorizzato a cancellare tutti questi files. Vediamo le istruzioni che mostrano come rimuovere questi file dalla cartella C:\_Restore folder. 

Per disattivare questa utility:

1. Fare click col tasto destro su Risorse del Computer presente sul Desktop e scegliere Proprietà. 2. Fare click sulla scheda Prestazioni. 3. Fare click sul pulsante File System. 4. Fare click sulla scheda Risoluzione dei Problemi (Troubleshooting). 5. Inserire il segno di spunta su "Disattiva System Restore". 6. Quindi premere su Applica e Chiudi. 7. Ancora sul pulsante chiudi. 8. Verrà chiesto di riavviare la macchina, scegliere SI. 9. Eseguire il Virus Scan e cancellare tutti i file infetti oppure sfogliare la cartella C:\_Restore e rimuovere tutti i file. 10. Dopo aver rimosso i files desiderati riavviare il computer normalmente.

Se si vuole riattivare il sistema di Restore (consigliato) ripetere i passi precedenti solo che questa volta togliere il segno di spunta da "Disattiva System Restore".



W32/Goner@MM
(dicembre 2001)

Virus ad Alto Rischio che si sparge in rete tramite Microsoft Outlook o ICQ. Fa parte della famiglia dei Mass Mailing Worm ovvero dei virus che si inviano a tutti gli indirizzi compresi nella rubrica di posta. Il virus arriva con un allegato e rispetta la seguente forma:

Oggetto: Hi Corpo della Mail: How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it! Allegato: GONE.SCR



Eseguendo il file in allegato si infetterà tutto il sistema e apparirà un messaggio in una finestrina intitolata "About".

Poco dopo un altro messaggio sostituirà il primo, visualizzando un errore.

 Eseguendo l'allegato, il virus creerà nella cartella SYSTEM, un ulteriore cartella denominata %WinDir% e si aggiungerà nel Registro di Windows alla seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\C:\%WINDIR%\SYSTEM\gone.scr=C:\%WINDIR%\SYSTEM\gone.scr

Inoltre tenterà di cancellare i seguenti files:

APLICA32.EXE ZONEALARM.EXE ESAFE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET32.EXE

PCFWallICON.EXE FRW.EXE VSHWIN32.EXE NAVW32.EXE _AVP32.EXE _AVPCC.EXE

_AVPM.EXE AVP32.EXE AVPCC.EXE AVPM.EXE AVP.EXE LOCKDOWN2000.EXE ICLOAD95.EXE

ICMON.EXE ICSUPP95.EXE ICLOADNT.EXE ICSUPPNT.EXE TDS2-98.EXE TDS2-NT.EXE SAFEWEB.EXE



W32/Badtrans@ MM - Badtrans.b
(novembre 2001)

Per eliminare il virus è possibile utilizzare il fix rilasciato dalla Symantec, prelevabile gratuitamente all'indirizzo http://securityresponse.symantec.com/avcenter/FixBadtr.exe oppure direttamente da qui. Si tratta di un piccolo programma che permette di correggere le modifiche apportate al registro di sistema da parte di Badtrans e cancellare i suoi file virali. Prima di eseguire il programma assicurarsi di essere scollegati dalla Rete e, nel caso in cui si utilizzi Windows ME, disattivare l'Utilità di ripristino della configurazione di sistema.

In questo periodo è stata scoperta una nuova variante di Badtrans circolante col nome di Badtrans.b. Il W32/ Badtrans@ MM è un virus Trojan che si diffonde via email e agisce, a differenza di alcuni, senza la necessità di aprire l'allegato, infatti si esegue automaticamente. Spesso ha come testo "Take a look to the attachment" nel corpo della mail e con un allegato di 13.312 byte. Il nome dell'allegato è creato da tre parti come illustrato di seguito:

fun Humor docs info Sorry_about_yesterday Me_nude Card SETUP stuff YOU_are_FAT! HAMSTER news_doc New_Napster_Site README images Pics

.DOC. .MP3. .ZIP.

pif scr

Se si clicca sull'allegato, il virus visualizza un messaggio del tipo "Install error" e quindi "File data corrupt: probably due to a bad data transmission or bad disk access.." Una copia viene salvata nella cartella di Windows come INETD.EXE e una nuova riga viene aggiunta nel file WIN.INI alla voce Run=INETD.EXE. Due file KERN32.EXE (è la backdoor Trojan) e HKSDLL.DLL vengono creati nella cartella Windows\System e modificato il Registro di Windows alla chiave:
HKey_Local_Machine\ SOFTWARE\ Microsoft\ Finestre\ CurrentVersion\RunOnce\ kernel32= kern32.exe 

Ogni volta che il virus è in esecuzione,  e ottenute queste informazioni, l'autore del virus può connettersi al sistema continuando ad infettare e a rubare informazioni personali come Usernames e Password. Inoltre, il Trojan contiene anche un programma capace di catturare altra informazioni come il numero della Carta di Credito, Numero di Conto Corrente, altre Username e Password.

Il virus è costituito da due porti fondamentali: il Worm e il Cavallo di Troia. La parte "worm" ha il compito di inviare delle e-mail infette quindi continuare il suo spargimento, mentre il Trojan tenta di ottenere l'indirizzo IP del PC infetto e spedisce, ad uno specifico indirizzo e-mail, informazioni riservate presenti sul computer infettato (informazioni sull'utente, dati RSA, usernames, cached password, log dei tasti premuti), inoltre permette all'autore del virus di connettersi al sistema continuando a rubare informazioni. Tra l'altro, il cavallo di Troia contiene anche un programma utile all'intercettazione dei tasti premuti, che viene installato sul sistema infetto. Badtrans rappresenta quindi anche un serio pericolo per la sicurezza del proprio personal computer e per i dati in esso memorizzati.

Con Windows 95/98/2000/NT Cambiare le opzioni di Visualizzazione File Doppio click su My Computer o Risorse del Computer Doppio click sul drive C:  Click su Visualizza (View) quindi click su Opzioni (o Folder Options). Apparirà una finestra  Apparirà una finestra e fare click sulla scheda Viasualizza (View).  Selezionare 'Mostra tutti i files' ( 'Show all files').  Deselezionare 'Nascondi estensione per i file più conosciuti ('Hide file extensions for known file types').  Quindi click sul bottone OK e chiudere tutte le finestre. Backup the Registry  Fare click su Start, quindi Esegui (Run). Digitare REGEDIT e premere OK. Apparirà l'editor di Registro.  Fare click su Registry e scendere nel menu fino a 'Esporta file di registro' (Export Registry File).  Inserire il nome del file e salvarlo sul desktop chiamandolo ad esempio Backup. Accertarsi che nella parte sotto stante dove appare scritto Intervallo di Esportazione (Export Range) sia selezionato Tutto (All).  Chiudere l'editor del Registro cliccando sulla X in alto a destra. NOTE: Per ripristinare il backup, fare doppio click sul file salvato.Appena fatto cancellare il file creato. Edit the Registry  Fare click su Start, quindi Esegui (Run). Digitare REGEDIT e premere OK. Apparirà l'editor di Registro.  Nella colonna a sinistra dello schermo fare doppio click su HKEY_LOCAL_MACHINE quindi su Software, su Microsoft, ancora su Windows e per ultimo su CurrentVersion.  Singolo click sulla cartella RunOnce. Nella colonna di destra accertarsi che appaia la parola "Kernel32" sotto la colonna Name (solamente se il pc è infetto).  Fare clic col tasto destro e selezionare Elimina (Delete).  Chiudere l'editor del Registro cliccando sulla X in alto a destra. Editare WIN.INI (Gli utenti Windows NT non troveranno l'istruzione)  Fare click su Start, quindi Esegui (Run). Digitare WIN.INI e premere OK. Apparirà il file Win.ini in una finestra di Notepad. Tra le prime righe compare l'istruzione RUN= controllare se è presente il seguente percorso c:\windows\inetd.exe in tal caso rimuoverlo lasciando solamente RUN=. Se non è presente chiudere la pagina. CONTROLLARE BENE IL DOCUMENTO.  Chiudere il file cliccando sulla X in alto a destra, se si chiederà di salvarlo, rispondere SI (Yes). Cancellare il file Virus  Fare click su Start, quindi Trova (Find) File o Cartelle (Files or Folders). Apparirà un finestra sullo schermo. Accertarsi che sia selezionato il drive C: nel'opzione Cerca In (Look In).  Nel campo nome inserire INETD.EXE e cliccare su Cerca ora (Find now).  Il computer cercherà questo file e appena trovato lo visualizzerà nello spazio apposito. Fare click col tasto destro e dal menu che ne uscirà scegliere Elimina (Delete): il file verrà cancellato dal vostro computer. Effettuare nuove ricerche per questi file e cancellarli tutti: KERN32.EXE HKSDLL.DLL HKK32.EXE CP_23421.NLS A questo punto chiudere la finestra cliccando sulla X in alto a destra. Svuotare il Cestino immediatamente (Empty recycle bin) facendo click col tasto destro.  Riavviare il computer. Il virus Trojan è stato rimosso.

Con Windows ME Cambiare le opzioni di Visualizzazione File Doppio click su My Computer o Risorse del Computer Doppio click sul drive C:  Click su Visualizza ( View) quindi click su Opzioni (o Folder Options). Apparirà una finestra  Apparirà una finestra e fare click sulla scheda Viasualizza ( View).  Selezionare 'Mostra tutti i files' ( 'Show hidden files and folders').  Deselezionare 'Nascondi estensione per i file più conosciuti ( 'Hide file extensions for known file types').  Quindi click sul bottone OK e chiudere tutte le finestre. Backup the Registry  Fare click su Start, quindi Esegui (Run). Digitare REGEDIT e premere OK. Apparirà l'editor di Registro.  Fare click su Registry e scendere nel menu fino a 'Esporta file di registro' ( Export Registry File).  Inserire il nome del file e salvarlo sul desktop chiamandolo ad esempio Backup. Accertarsi che nella parte sotto stante dove appare scritto Intervallo di Esportazione ( Export Range) sia selezionato Tutto (All).  Chiudere l'editor del Registro cliccando sulla X in alto a destra. NOTE: Per ripristinare il backup, fare doppio click sul file salvato.Appena fatto cancellare il file creato. Edit the Registry  Fare click su Start, quindi Esegui (Run). Digitare REGEDIT e premere OK. Apparirà l'editor di Registro.  Nella colonna a sinistra dello schermo fare doppio click su HKEY_LOCAL_MACHINE quindi su Software, su Microsoft, ancora su Windows e per ultimo su CurrentVersion.  Singolo click sulla cartella RunOnce. Nella colonna di destra accertarsi che appaia la parola "Kernel32" sotto la colonna Name (solamente se il pc è infetto).  Fare clic col tasto destro e selezionare Elimina ( Delete).  Chiudere l'editor del Registro cliccando sulla X in alto a destra. Editare WIN.INI Fare click su Start, quindi Esegui (Run). Digitare WIN.INI e premere OK. Apparirà il file Win.ini in una finestra di Notepad. Tra le prime righe compare l'istruzione RUN= controllare se è presente il seguente percorso c:\windows\inetd.exe in tal caso rimuoverlo lasciando solamente RUN=. Se non è presente chiudere la pagina. CONTROLLARE BENE IL DOCUMENTO. Chiudere il file cliccando sulla X in alto a destra, se si chiederà di salvarlo, rispondere SI (Yes). Cancellare il file Virus  Fare click su Start, quindi Trova (Find) File o Cartelle ( Files or Folders). Apparirà un finestra sullo schermo. Accertarsi che sia selezionato il drive C: nel'opzione Cerca In ( Look In).  Nel campo nome inserire INETD.EXE e cliccare su Cerca ora (Search Now).  Il computer cercherà questo file e appena trovato lo visualizzerà nello spazio apposito. Fare click col tasto destro e dal menu che ne uscirà scegliere Elimina ( Delete): il file verrà cancellato dal vostro computer. Effettuare nuove ricerche per questi file e cancellarli tutti: KERN32.EXE HKSDLL.DLL HKK32.EXE CP_23421.NLS A questo punto chiudere la finestra cliccando sulla X in alto a destra. Svuotare il Cestino immediatamente (Empty recycle bin) facendo click col tasto destro.  Riavviare il computer. Il virus Trojan è stato rimosso.



Bufala Sulfnbk.exe
(maggio 2001)

In questi giorni ha messo fuori la testa un'altra bufala diffusa via email che ha generato molto allarme su newsgroup e certe mailing list in Italia ma anche in Spagna e in Gran Bretagna. Si tratta della bufala che prende di mira il file "sulfnbk.exe" che si trova in Windows, un file che l'email descrive come "spyware", perché in grado di monitorare tutto quello che fa l'utente con il proprio computer. Come nota Symantec, l'origine della bufala risale a qualche settimana fa in Brasile. E secondo la società di sicurezza la prima versione di questo ennesimo falso inviato via e-mail era scritta in portoghese, la lingua nazionale brasiliana. Il file che viene preso di mira, sulfnbk.exe, è un file che effettivamente si trova sotto Windows ma che non ha i contenuti e lo scopo che la misteriosa email gli attribuisce. Come tutti gli eseguibili, naturalmente, anche sulfnbk.exe può essere colpito da un virus informatico, ma è tutt'altra storia. L'email bufala parla in effetti proprio di un virus, sostenendo che è contenuto in quel file e che il 24 maggio, cioè questo giovedì, sarebbe pronto a "scatenarsi" e distruggere porzioni dell'hard disk. Una sciocchezza, in quanto sulfnbk.exe è un file di sistema di Windows, una piccola utility che ha il compito di gestire i nomi di file più lunghi di otto caratteri in determinate versioni di Windows. Cercando il file sul proprio computer, si scoprirà che risale al 1999 o al 2000, a seconda delle versioni, che si trova nella directory "C:\WINDOWS\COMMAND" e che, per la sua data di origine e per la sua posizione, se fosse stato un virus da molto tempo avrebbe dovuto essere stato "rintracciato" dai software di sicurezza antivirus. Per difendersi dalle bufale e per evitare di contribuire all'intasamento generale è sempre opportuno, quando si ricevono email così allarmanti, fare qualche ricerca online, su motori di ricerca, sui newsgroup, per verificare l'effettiva presenza di un "rischio" o di un "pericolo".


Navidad.d - W32.Navidad
(dicembre 2000)

Si sta diffondendo in questo periodo il virus NAVIDAD.D o W32.NAVIDAD. Questo virus è un WORM ossia una tipologia di virus il cui scopo principale è solitamente quello di diffondersi il più possibile. Come tanti altri worm ha bisogno dell’intervento inconsapevole dell’utente per diffondersi, ma vediamo nel dettaglio come funziona. Una volta installato nel sistema modifica alcune chiavi del registro e fa in modo che quando si lancia un eseguibile qualsiasi, il comando viene intercettato e viene segnalato un errore. Inoltre legge la posta inviata e rinvia gli stessi messaggi ma con il file NAVIDAD.EXE come allegato. Se si segue la buona norma di "non eseguire MAI un file inviato per posta", non si corrono pericoli perché anche se il messaggio con il virus arriva basta cancellarlo e il problema è risolto.

Come Rimuovere il Virus dal proprio PC

ATTENZIONE mettendo mano ai registri del sistema se si compiono operazioni sbagliate si può compromettere la stabilità del sistema; ogni operazione deve essere compiuta con la massima prudenza e a proprio rischio e pericolo. Se possibile rivolgersi a qualcuno con esperienza al riguardo.

Ci sono diversi casi da tenere in considerazione:

· Se l’antivirus è installato e aggiornato e si utilizza outlook express il virus non si può installare sul PC bisogna solo eliminare il messaggio di posta con cui è arrivato il file NAVIDAD.exe,

· Se si utilizza Eudora eseguire una scansione chiedendo di eliminare il file infetto.

· Se non c’e’ l’antivirus installato o non è aggiornato e si è sicuri di essere stati infettati (non funziona più nessun eseguibile o compare sulla barra delle applicazioni l’icona di un occhio), seguire i seguenti passi.

Con Windows 95/98 Cliccare su START/AVVIO ->Programmi ->prompt di MS-Dos Si apre una finestra dos: C:\WINDOWS Scrivere: "ren REGEDIT.EXE REGEDIT.COM" e premere invio Scrivere: "REGEDIT" e premere Invio Come se si stesse navigando con il file manager espandere i seguenti rami: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command Modificare la chiave: "c:\Windows\System\Winsvrc.vxd "%1" %* Con la seguente: "%1" %* per chiarezza: Virgolette percento uno virgolette spazio percento asterisco. Cancellare la seguente chiave: HKEY_USER\.DEFAULT\Software\Navidad Cercare HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run Selezionare la chiave Win32BaseServiceMOD=WINDOWS\SYSTEM\WINSVRC.EXE e cancellarla. Riaprire il prompt del dos ed eseguire ren regedit.com regedit.exe Riavviare il Computer. Con l’explorer cercare ed eliminare il file \windows\system\winsvrc.vxd Lanciare poi l’antivirus e eliminare i file che risultano infetti.

Con Windows NT 4.0/2000  Bisogna essere AMMINISTRATORI del sistema. Cliccare su START/AVVIO ->TROVA ->File o Cartelle Cercare Regedit Clik sul file con tasto destro e selezionare Rinomina Rinominare REGEDIT.EXE in REGEDIT.COM Doppio click per eseguire Come se si stesse navigando con il file manager espandere i seguenti rami: HKEY_CLASSES_ROOT\exefile\shell\open\command Modificare la chiave: "c:\Winnt\System32\Winsvrc.vxd "%1" %* Con la seguente: "%1" %* per chiarezza: Virgolette percento uno virgolette spazio percento asterisco. Cancellare la seguente chiave: HKEY_CURRENT_USER\Software\Navidad Cercare HKEY_LOCAL_MACHINE\software\microsoft\windows\CurrentVersion\Run Selezionare la chiave Win32BaseServiceMOD=WinNT\system32\WINSVRC.EXE e cancellarla. Riaprire il prompt del dos ed eseguire ren regedit.com regedit.exe Riavviare il Computer. Con l’explorer cercare ed eliminare il file \winnt\system32\winsvrc.vxd Lanciare poi l’antivirus e eliminare i file che risultano infetti.



I Love You

Da tempo ormai è presente nella rete questo virus, ma nonostante gli attacchi degli antivirus continua a diffondersi. Si tratta di un altro virus da e-mail che si presenta agli utenti come un messaggio dal soggetto "I LOVE YOU", contenente un allegato che poi è il virus vero e proprio. Tale allegato contiene due file, uno con estensione .TXT e l'altro .VBS. Quest'ultimi sono file Visual Basic, da considerarsi quindi eseguibili solo se sulla propria macchina è installato il compilatore oppure le librerie necessarie (spesso distribuite tramite il file VbrunXX, dove XX rappresenta la versione); il client di posta visualizza però solo il file .TXT e quindi non pericoloso, il che evita qualunque sospetto da parte del destinatario del messaggio. Il payload (ovvero l'azione distruttiva del virus) cancella dal disco numerosi files tra cui i .JPG (immagini), .MP3 (musicali) e i programmi visual basic.



Il Pornovirus

Network Associates ha lanciato subito l'allarme, e' in arriva un altro virus che colpisce via email. Dopo il temibile virus Melissa ecco in arrivo un nuovo virus molto particolare, il pornovirus. Perche' pornovirus? Il virus arriva sui PC con una email che ha un attachment indicante gli indirizzi,i link, a siti Internet pornografici. Una volta aperto l'attachment, la curiosita' si sa uccide, inizia il contagio. 

Ma come contagia esattamente questo virus e quali sono le conseguenze?
Il virus arriva come detto con una email che ha un attachment pieno di link a siti pornografici. Se si cede alla curiosità e si finisce per guardare l'attachment allora il rischio di trovarsi il virus nel sistema diventa molto alto. Il virus, proprio come Melissa, entra senza pietà nella rubrica degli indirizzi del client di posta e si autoinvia automaticamente a tutti quelli presenti nell'indirizzario. Ed il contagio si allarga in maniera esponenziale. La Network Associates comunica comunque, per la tranquillità dei tanti possessori di PC, che il codice non si e' ancora molto diffuso sul Web. Alcuni esperti sospettano che "l'untore" si nasconda proprio tra coloro che gestiscono siti pornografici.



I-Worm.ExploreZip.pack o ZippedFiles

I-Worm.ExploreZip.pack e' diffuso attraverso i sistemi di posta elettronica e cancella files e documenti di Word, Excel e Power Point con estensione h, c, cpp e asm. Il virus e' gia' stato rilevato su Internet e nelle reti di diverse grandi aziende in diversi paesi, il che significa che il rischio di infezione e' estremamente alto. Utenti finali e aziende sono vivamente raccomandati a prendere ogni misura protettiva a loro disposizione. I-Worm.ExploreZip.pack anche conosciuto come ZippedFiles, e' un worm altamente distruttivo. Si spedisce automaticamente attraverso i comandi MAPI dei lettori di posta elettronica MS Outlook, MS Outlook Express e MS Exchange ed inoltre si diffonde producendo ampi danni nell'ambiente LAN. Questa variante dell'originale I-Worm.ExploreZip e' esattamente identica al suo predecessore, ma questa volta e' compresso per rendere la rilevazione molto più difficile. Il worm e' spedito nella forma di un attachment in un messaggio di posta elettronica come il seguente:

Hi (recipient name)!
I received your email and i shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
Bye
(zipped_files.exe)

Dietro questo messaggio c'e' un file in attached chiamato ZIPPED_FILES.EXE che si presenta come un file Win Zip, usando la stessa icona familiare. Se l'utente lo esegue, certo trattarsi di un legittimo file compresso, il seguente errore di messaggio appare sullo schermo:

'Cannot open file:it does not appear to be a valid archive .If this file is part of a ZIP format Backup set, insert the last disk of the back up set and try again. Please press F1 for help.'

Dopo aver presentato questo messaggio, il worm si copia nel C:\windows\system directory sotto il nome di Explore.exe e modifica il file WIN.INI. Ogni volta che Windows e' avviato I-Worm. ExploreZip si spedisce agli indirizzi e-mail trovati nella casella Inbox, e personalizza ogni messaggio in modo che il nome della nuova vittima compaia nella prima linea del messaggio stesso. I-Worm. ExploreZip e' particolarmente distruttivo. Una volta attivato, seleziona files e documenti sulla macchina infettata e li riduce a 0 bytes (come se fosse svuotato o cancellato). Ripete questa operazione ogni 30 minuti. Questa azione puo' produrre l'irrimediabile perdita di dati o rendere l'intero sistema inutilizzabile.
In ambiente di rete, il worm cerca accessi alla directory di Windows di altri utenti e, se li trova procede copiando se stesso e modificando il file WIN.INI su queste nuove macchine. Quindi si attiva come nell'esempio precedente.

Si raccomanda tutti gli utenti di non eseguire alcun file in attachment che provenga da fonti sconosciute, o comunque anche se provengono da fonti familiari ma non siano stati richiesti. 


MiniZip

MiniZip agisce esattamente come ExploreZip, spazzando via tutti i file di un hard drive e diffondendosi via e-mail. Lo chiamano MiniZip. I ricercatori di Network Associates (Nasdaq: NETA), Symantec (Nasdaq: SYMC) e Trend Micro hanno lanciato l'allarme per una nuova versione del virus ExploreZip, che cancella tutti i dati di un hard drive; ha già colpito una dozzina di società, sei delle quali operano nel settore high-tech. Si teme che siano stati infettati migliaia di PC. Questa variante di ExploreZip, anche noto come ExploreZip.worm.pak, e' di 120 KB, circa la metà delle dimensioni del suo predecessore. Ma, a parte le dimensioni ridotte, MiniZip agisce esattamente come ExploreZip, spazzando via tutti i file di un hard drive e diffondendosi via e-mail. MiniZip e' così piccolo perché l'autore del virus ha compresso il codice originale di ExploreZip. La compressione cambia la quantità dei bit, quindi i software anti-virus non riescono a identificarlo. MiniZip ha fatto la sua prima comparsa la settimana scorsa e molti produttori di anti-virus hanno gia' aggiornato il proprio software per rilevare il codice. Sembra che molte società, nonostante gli avvertimenti, non si siano curate dell'update consigliato, permettendo così l'esplosione dell'epidemia. ExploreZip, il "padre" di MiniZip, e' stato segnalato per la prima volta l'11 giugno. Il virus worm si serve di programmi e-mail con supporto MAPI, quali Outlook, Outlook Express ed Exchange di Microsoft. Invia automaticamente una copia di se stesso per e-mail come allegato, con il nome "zipped_files.exe." Il corpo del messaggio ha l'aspetto di un normalissimo e-mail: 

"Ho ricevuto il tuo e-mail e ti invierò una risposta al piu' presto. Intanto, dai un' occhiata a questo file zip"


Una volta lanciato, MiniZip avvia l'originale routine Worm.ExploreZip: scandaglia i drive del computer e li infetta. Cerca poi eventuali messaggi e-mail non ancora letti e risponde automaticamente per attaccare nuove vittime. "Ecco perche' si diffonde tanto rapidamente, ma non subito" spiega Vincent Weafer, direttore del Symantec Antivirus Research Center. "E' esattamente il modo in cui si e' propagato anche ExploreZip". MiniZip potrebbe anche visualizzare un messaggio di errore, segnalando all' utente che il file non e' un file d'archivio valido, secondo alcune societa' anti-virus. Il programma worm si copia automaticamente nella directory c:windowssystem con il nome "Explore.exe" e poi modifica il file WIN.INI, cosi' che il virus viene lanciato ogni volta che si avvia Windows.


CMOS e Flash memories: obiettivi primari di WIN32.KRIZ

Attenzione... Attenzione... Nuovo virus in circolazione: si tratta di Win32.Kriz. Panda Antivirus sta emanando in questi giorni degli avvisi a proposito di questo nuovo virus, vediamo di che si tratta. 

Win32.Kriz.è un  virus   residente  polimorfico  che  agisce  sulle piattaforme  Win32 (Windows  95,Windows 98  e Windows  NT) e infetta i files eseguibili  (estensioni EXE), i files  salva schermo (estensioni SCR)  e  il  file  di  sistema  Kernel32.DLL.  Sebbene  la sua routine polimorfica sia  abbastanza semplice, il virus  si nasconde in diversi programmi complicando la disinfestazione. Panda rileva  ed elimina questo virus,  ed è l unico  sviluppatore in grado di disinfettare il file di libreria Kernel32.DLL

Le  istruzioni  distruttive  di  Win32Kriz  entrano  in  azione  il 25 Dicembre. Se per  quella data, più di 256 files  EXE o SCR sono stati violati, il virus cancella la memoria  CMOS (che contiene fra le altre informazioni, quelle relative alla data, all'ora, al tipo di hard-disk etc.) danneggiando la memoria FLASH  e sovrascrivendo su tutti i files contenuti in ogni drive della rete. La prima volta  che un file infettato da Win32.Kriz  e' eseguito in un sistema  pulito,  la  routine   polimorfica  raccoglie  e decripta  i rimanenti  codici virali  controllando  in  ordine sequenziale  l'area residente di Kernel32 per definire gli indirizzi dei seguenti API: 


CopyFileA,    CreateFileA,    CreateProcessA,    DeleteFileA,    GetFileAttributesA,    MoveFileA,    MoveFileExA,   SetFileAttributesA,    CopyFileW,       CreateFileW,       CreateProcessW,       DeleteFileW,    GetFileAttributesW,   MoveFileW,    MoveFileExW,   SetFileAttributesW,    CloseHandle,     CreateFileMappingA,     FindClose,    FindFirstFileA,    FindNextFileA,   FreeLibrary,    GetCurrentDirectory,   GetDriveTypeA,    GetFileSize,  GetLocalTime,  GetLogicalDriveStringsA,  GetProcAddress,    GetSystemDirectoryA,  GetTickCount,  GetWindowsDirectory, GlobalAlloc,    GlobalFree,    LoadLibraryA,    MapViewOfFile,    SetCurrentDirectory,    SetFileTime, UnmapViewOfFile, WriteFile, WritePrivateProfile.



Il virus calcola  il CRC 16 del nome delle  API che KERNEL32 esporta e le paragona  con la lista di  quelli che gli servono  per infettare in ordine sequenziale  il file KERNEL32.DLL. A  quel punto sovrascrive la posizione di  questi API con i  corrispondenti indirizzi della routine virale. Win32.Kriz copia il file KERNEL32.DLL (dalla   directory c:\windows\system)  e  lo  rinomina  come  KRIZED.TT6  e  lo  infetta, calcolando il  checksum corretto in  modo da non  generare problemi di esecuzione in Windows NT. Una volta  che KRIZED.TT6 temp file è stato infettato,   il  virus   crea  un   file  WININIT.INI   che  rimpiazza automaticamente l'originale  KERNEL.32DLL . In questo modo dopo , con il  riavvio  del  sistema,  Win32.Kriz  resta  residente  per l'intera sessione, anche se non vengono eseguiti altri file infetti. In questa prima  sessione, il  virus non  è  residente  in memoria  e non  può infettare altri file. Quando il sistema è riavviato con una copia di KERNEL32.DLL   infettato,   Win32.Kriz può attaccare ogni file accessibile dopo che l'API intercettato viene utilizzato.

Win32.Kriz contiene il seguente testo:
(c) T2 & Immortal Riot
YOU CALL IT RELIGION, YOU'RE FULL OF SHIT
YOU NEVER KNEW, YOU NEVER DID, YOU NEVER WILL
YOU'RE SO FULL OF SHIT, I DON'T WANT TO HEAR IT
ALL YOU DO IS TALK ABOUT YOURSELF
I DON'T WANNA HEAR IT, COZ I KNOW NONE OF IT'S TRUE
I'M SICK AND TIRED OF ALL YOUR GODDAMN LIES
LIES IN THE NAME OF GOD
WHEN ARE YOU GOING TO REALIZE THAT I DON'T WANT TO HEAR IT?!
I KNOW YOU'RE SO FULL OF SHIT, SO SHUT YOUR FUCKING MOUTH
YOU KEEP ON TALKING, TALKING EVERYDAY
FIRST YOU'RE TELLING STORIES, THEN YOU'RE TELLING LIES
WHEN THE FUCK ARE YOU GOING TO REALIZE THAT I DON'T WANT TO HEAR IT!!
AH, SHUT THE FUCK UP...

Panda  rileva ed  elimina Win32.Kriz ed e'  l'unico  sviluppatore di antivirus  in grado  di disinfettare  il file  Kernel32.DLL. Per  fare questo, il  computer deve essere avviato  in MS-DOS in quanto  il file infetto viene usato da modalità Windows allo start-up.

http://www.pandasoftware.com.


Attenzione a Melissa
(da PcPratico n.7/8 del 1999)

Il nuovo mezzo di propagazione preferito dai virus è diventato la posta elettronica: fornisce rapido accesso non solo ai singoli PC, ma a intere reti aziendali, quasi del tutto indifese dal contagio e quando ci si accorge di avere a che fare con un virus, spesso è troppo tardi. Per questo chiunque trovasse nella propria casella elettronica un messaggio con oggetto: "Important message from....", deve guardarsi bene dall'aprirlo. Contiene infatti, il pericolosissimo virus Melissa. Panda ha reso disponibile una versione del suo antiviris in grado di identificarlo e rimuoverlo al sito: www.pandasoftware.com/inet5651.htm.