Notizie sugli ultimi virus

Stato
Discussione chiusa ad ulteriori risposte.

tecnico24

Utente Èlite
10,706
1,072
Ciao a tutti amici miei.Ho aperto questo topic per aggiornarvi sugli ultimi virus usciti per mantenervi maggiormente aggiornati e diminuire la probabilità di essere infettati.
L'ultimo virus che è uscito in questi giorni è stato commwarrior.


La notizia è stata riportata questa mattina dai laboratori di ricerca F-Secure: sembrerebbe infatti che Commwarrior, il temibile virus che attacca i telefonini di ultima generazione e che si propaga attraverso messaggi MMS con addebiti stellari in bolletta, sia stato rilevato anche in Italia.

Ad essere colpiti, gli utenti di cellulari di ultima generazione basati su sistema operativo Symbian Serie 60. A contribuire alla propagazione, la curiosità.

Secondo alcune segnalazioni riportate sul weblog F-Secure, le vittime di questo attacco sono stati degli ignari utenti che, ricevuto sul proprio cellulare uno strano messaggio via MMS, non hanno saputo resistere alla curiosità e hanno scaricato il programma inviato in allegato. Una mossa che, se inizialmente è apparsa innocua, si è manifestata poi alla sera con l’invio di MMS a numeri casuali presenti in rubrica. Una raffica di messaggi che all’ignara vittima ha causato un danno economico non irrilevante consumando a sua insaputa anche il credito telefonico. Tra gli utenti colpiti, alcune testimonianze parlano infatti di 10 euro di credito esauriti nel giro di un paio di minuti!

La curiosità a quanto pare gioca un ruolo fondamentale ed è sicuramente la principale alleata dell’insidioso virus Commwarrior: come già aveva riportato F-Secure in una nota della scorsa settimana, infatti, la maggior parte degli utenti colpiti da CommWarrior, è perlopiù incuriosita dallo strano MMS ricevuto e nonostante gli step di installazione richiesti per la sua attivazione, il virus trova "via libera" grazie alla poca attenzione e all’inconsapevolezza del povero malcapitato: il gioco è fatto e il telefono si infetta.

Come liberare il proprio cellulare da CommWarrior?

Circolano, purtroppo, voci errate a riguardo, come ad esempio quella di riformattare completamente il sistema operativo del cellulare infettato: sbagliato! Questa procedura causa invece la perdita irreversibile di tutte le informazioni e dati in memoria.

Rimediare al problema è possibile attraverso il sito F-Secure: al link www.f-secure.com/estore/avmobile.shtml è infatti possibile scaricare F-Secure Mobile Anti-Virus e disinfettare il proprio dispositivo.
Naturalmente questo topic chiudera perfarsi che leggete solamente,ma se c'e qualcuno di buona volonta a mandarmi via msg pvt qualche nuovo virus uscito ultimamente,verificherò se è vero e lo mettero.Quindi questo topic verrà aggiornato subito dopo l'apparsa di qualche nuovo virus.

Buona lettura e niente viruz!!!:D;)
 

tecnico24

Utente Èlite
10,706
1,072
Il virus viaggia su hard disk esterno.

Spiacevole scoperta per Seagate: una partita di dischi fissi messa in commercio nei mesi scorsi portava con se un virus ruba-password.

Nei giorni scorsi si è avuta la notizia di una piccola partita di HD Maxtor - marchio acquisito da Seagate - messa in commercio con una infezione da malware già bell'è pronta a far danni. I 1.800 dischi, unità esterne da 300 e 500 GB facenti parte della linea Maxtor Basics Personal Storage 3200, sono stati prodotti in Cina a partire da agosto 2007.

A informare Seagate dell'accaduto è stata la società di sicurezza Kaspersky: gli analisti moscoviti hanno identificato il malware come Virus.Win32.AutoRun.ah, file virus autosufficiente che si diffonde attraverso l'infezione dei volumi collegati al PC sfruttando un file autorun.inf opportunamente modificato.

Il malware disabilita inoltre il Task Manager, cancella tutti i file con estensione .mp3 presenti sui volumi da C: ad H: e registra le password di accesso per videogame on-line cinesi, per spedirle poi a un server presente nello stesso paese asiatico.

Unica eccezione alla lista di MMOG espressamente pensati per il mercato asiatico è World of Warcraft, che in virtù del suo straordinario successo internazionale è divenuto facile bersaglio di ogni sorta di malware ruba-account.

Seagate ha già provveduto a bloccare la fornitura dei dischi incriminati, a verificare la situazione e a bonificare le unità infette. Sebbene AutoRun.ah possa rivelarsi pericoloso per i dati dell'utente, per essere al sicuro dalla potenziale minaccia basta adoperare un buon antivirus con le definizioni adeguatamente aggiornate. E magari rivolgere altrove l'attenzione per le proprie necessità di storage esterno.
 

tecnico24

Utente Èlite
10,706
1,072
javaprxy.dll e Internet explorer.

Nuove allarmanti segnalazioni arrivano dai Websense Security Labs relativamente al dilagare di una serie di siti maligni che sfruttano la vulnerabilità javaprxy.dll segnalata nel Microsoft Security Advisory #903144 http://www.microsoft.com/technet/security/advisory/903144.mspx.

Attraverso questa vulnerabilità, i pirati informatici hanno la possibilità di andare a creare codici maligni ed eseguirli sui computer.
Al momento, sono stati rilevati siti maligni che sfruttano questa vulnerabilità per scaricare trojan e aprire backdoor che potrebbero consentire un accesso, e conseguentemente un uso, non autorizzato dei sistemi degli utenti colpiti.

Al momento non è disponibile nessuna patch per fronteggiare questa vulnerabilità, sebbene Microsoft abbia pubblicato delle linee guida che però pare portino al blocco non solo dei codici maligni ma anche di alcuni contenuti legittimi.

Gli autori di codici maligni stanno sempre più spesso mettendo a punto dei codici exploit di prova per poter così testare il grado di successo: sebbene non tutti i siti rilevati scaricano e installano codici maligni, possiamo aspettarci lo sviluppo di nuovi siti maligni che nasceranno proprio per il fatto che non esiste alcuna patch disponibile, a causa della massiccia diffusione di Internet Explorer.

Per ulteriori informazioni su questo tipo di vulnerabilità, sulle modalità di propagazione e sulle contromisure da adottare per proteggersi visitate il link seguente: http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=236
 

tecnico24

Utente Èlite
10,706
1,072
Websense SecurityLabs e diffusione trojan con spam

I Websense Security Labs hanno rilevato diverse segnalazioni in merito a un attacco mirato a installare un Trojan sui PC degli ignari destinatari di un particolare messaggio spam.

Si tratta di un messaggio che apparentemente proviene da Microsoft e suggerisce di effettuare aggiornamenti del sistema operativo, mentre in realtà installa sul PC un programma trojan in grado di aprire una backdoor sul computer colpito.

Se clicca sul link contenuto nella mail, la vittima viene reindirizzata su un sito fraudolento ospitato in Australia, molto simile all’area per gli aggiornamenti del sito Microsoft reale, ma, quando l’utente cerca di scaricare l’aggiornamento, in realtà scarica un trojan (Wupdate-20050401.exe il nome del file) che si installa sul suo computer e apre una backdoor che permette all’hacker di entrare nel sistema e controllarlo da remoto.
 

tecnico24

Utente Èlite
10,706
1,072
system alert???niente paura.

System alert,il virus/spyware che si sta diffondendo in quasi tutti i pc.
Si tratta del solito fumetto in basso a destra all'orologio che dice di essere infettati da un virus e di scaricare un loro antivirus per rimuoverlo,ma in realtà questo antivirus non è altro che una frottola,cioe' l'antivirus consigliatoci non è altro che spyware.
Questo virus è molto fastidioso,la rimozione e' molto semplice,basta seguire i giusti passi.
RIMOZIONE SYSTEM ALERT.
-riavviate il pc in modalita provvisoria(F8 all'avvio e seleziona dal menu mod.provvisoria)
-scaricate questo strumento di rimozione malware:
http://siri.geekstogo.com/SmitfraudFix.phpCCleaner

Aprite la cartella con SmitfraudFix ed avvia Smitfraudfix.cmd.
Premete 2 e dai invio; riceverete questo messaggio: "Registry cleaning - Do you want to clean the registry?".
Conferma ("Y" e invio); conferma eventuali altre domande.

Riavviate
al ritorno in c:/ trovate il log dell'avvenuta pulizia.
Se questo ancora non dovrebbe essere servito,allora dobbiamo usare un'altro strumento:Hijackthis.
scaricatelo da qui
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis
cliccate su do a system scan and save logfile,vi uscira un log con delle scritte,postatelo sul forum allegandolo e vi dico cosa eliminare...
 

tecnico24

Utente Èlite
10,706
1,072
Virus Bagle:Allarme Rosso!

E’ allarme rosso per le nuove varianti del worm Bagle BC, BD, BE che sta aumentando il suo elevato ritmo di diffusione in tutto il mondo. Il Worm Bagle è un virus di tipo "mass-mailer" che si diffonde, come nelle versioni precedenti, via posta elettronica utilizzando un proprio motore SMTP. Il worm è in grado di disabilitare tutti i programmi di sicurezza(antivirus,antispyware,firewall),e' la modalita' provvisoria.
I sistemi attaccati diventano vulnerabili dall’esterno permettendo ad un cracker la realizzazione di attacchi in forma remota.
I messaggi con i quali si invia hanno le seguenti caratteristiche:
Oggetto:
Re:
Re: Hello
Re: Hi
Re: Thank you!
Re: Thanks;)

Corpo del testo: :) o :))
File allegato – uno dei seguenti:
Joke
Price
Price
Con estensione: com, cpl, exe o scr

Bagle falsifica il reale indirizzo del mittente del messaggio di posta elettronica che provoca l’infezione.

Risultano vulnerabili i computer dotati di sistema operativo Microsoft Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 e Windows XP.

Il worm può anche essere classificato con i seguenti alias: W32.Beagle.AW@mm, W32/Bagle.bd@MM, I-Worm.Bagle.au, W32/Bagle-AU, Win32.Bagle.AR, Win32:Beagle-AS, I-Worm/Bagle.AZ.

Rimozione Virus bagle:
disabilitare il ripristino configurazione di sistema.
poi scaricate questo strumento rimozione virus:
http://swandog46.geekstogo.com/avenger.zip
Avviate il file Avenger.exe

Selezionate l'opzione Input Script Manually e poi sulla lente di ingradimento indicato anche nell'allegato.
a questo punto esce un box vuoto.dovete fare copia|incolla di queste righe(o script) da inserire nel box:
Codice:
Files to delete: 
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\m_hook.sys 
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe 
%SystemDrive%:\WINDOWS\system32\wintems.exe 
%SystemDrive%:\WINDOWS\system32\hldrrr.exe 

folders to delete: 
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires 
%SystemDrive%:\WINDOWS\exefld 

registry keys to delete: 
HKLM\SYSTEM\CurrentControlSet\Services\m_hook 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK 

registry values to delete: 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
VARIANTE 1 BAGLE

NOTA: Dovete sostituire %SystemDriver% con l'unità d'installazione del sistema operativo, di regola è la C, e %UserProfile% con il nome del vostro account utente. Per scoprire questo nome basta che andate nella cartella C:\Documents and Settings\.Questo vale per tutti gli script.

dopo aver inserito le righe,cliccando su done e poi sul semaforo con luce verde e risponendo due volte si,lo strumento rimuovera il virus e al riavvio in c:/ trovate il log dell'avvenuta pulizia.
se invece ancora il problema persiste,significa che e' nata una nuova variante di bagle.le righe(lo script)da inserire nello spazio vuoto sara' questo
Codice:
Files to delete: 
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe 
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\rosa.sys 
%SystemDrive%:\WINDOWS\system32\wintems.exe 
%SystemDrive%:\WINDOWS\system32\hldrrr.exe 

folders to delete: 
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires 
%SystemDrive%:\WINDOWS\exefld 

registry keys to delete: 
HKLM\SYSTEM\CurrentControlSet\Services\rosa 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa 

registry values to delete: 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrr
VARIANTE 2 BAGLE
seguendo sempre i comandi done,semaforo,si e riavvio.
se ancora non avete risolto,significa che e' nata la 3 variante di bagle.
le righe da inserire sono queste:
Codice:
Files to delete: 
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe 
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys 
%SystemDrive%\WINDOWS\system32\wintems.exe 
%SystemDrive%\WINDOWS\system32\hldrrr.exe 
%SystemDrive%\WINDOWS\system32\trusted.exe 
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys 

folders to delete: 
%SystemDrive%\WINDOWS\exefnd 
%SystemDrive%\WINDOWS\exefld 

registry keys to delete: 
HKLM\SYSTEM\CurrentControlSet\Services\srosa 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA 
HKLM\SYSTEM\CurrentControlSet\Services\pci32 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
VARIANTE 3 BAGLE
se invece ancora dovete risolvere,e uscita ancora un altra variante,finalmente l'ultima:
quindi inserite questo nell'box
Codice:
Files to delete: 
C:\WINDOWS\system32\drivers\hidr.exe 
C:\WINDOWS\system32\drivers\srosa.sys 
C:\WINDOWS\system32\wintems.exe 
C:\WINDOWS\system32\hldrrr.exe 
C:\WINDOWS\system32\trusted.exe 
C:\WINDOWS\system32\drivers\pci32.sys 

folders to delete: 
C:\WINDOWS\exefnd 
C:\WINDOWS\exefld 

registry keys to delete: 
HKLM\SYSTEM\CurrentControlSet\Services\srosa 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA 
HKLM\SYSTEM\CurrentControlSet\Services\pci32 
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
Variante 4.
e seguendo i soliti comandi.
e fate anche una pulizia di file temporanei.

Cenni finali
Pulizia registro
Aprite il Registro di sistema (Start --> Esegui --> digitate REGEDIT --> Ok)

Espandete le voci fino ad arrivare a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Nella scheda a destra trovate ed eliminate questi valori (Tasto destro --> Elimina):
hldrrr
drvsyskit
german.exe

Nello stesso modo, eliminate anche le seguenti chiavi:
HKEY_CURRENT_USER\Software\DateTime4
HKEY_CURRENT_USER\Software\FirstRRRun.

Eliminazione dei file temporanei
A questo scopo, potete scaricare ed installare il CCleaner, ottimo strumento per la pulizia del registro e per l'eliminazione dei file inutili e potenzialmente dannosi.

Riattivazione dei Servizi terminati
Aprite la lista dei Servizi (Start --> Esegui --> digitate SERVICES.MSC --> Ok) ed abilitate, ove necessario, questi servizi disabilitati: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS). (Per avviare un servizio, dovete cliccare con il tasto destro su Proprietà --> Automatico --> Ok --> Avvia --> Ok).
Ripristino modalita provvisoria:
scaricate il file Safeboot.zip dall indirizzo WEB http://www.didierstevens.com/files/data/SafeBoot.zip

estrai/scompatta l'archivio in una cartella a tua scelta ed esegui safeboot.reg

poi date la conferma alla sua installazione nella schermata che apparira a video.e poi dovreste aver risolto tutto.
 

tecnico24

Utente Èlite
10,706
1,072
Fiorella e il malware a luci rosse.

Le caselle di posta elettronica di molti italiani sono state ultimamente invase da una mail molto particolare firmata da Gianni A. Perutti, il quale invita molto esplicitamente a scaricare un filmato al cui interno vengono rappresentate le gesta espressamente erotiche di una fantomatica ragazza chiamata Fiorella. Il link proposto non presenta però lo stuzzicante video, ma cerca invece di infettare i computer dei più curiosi con un malware.



Il testo integrale della mail è il seguente:

Oggetto: Ecco quel che ti ho promesso

«Ciao Ragazzi, non mi sono scordato della promessa di Sabato sera… Ecco il video de Fiorella! Non mi importa se lo scopre, visto che lei non ha avuto nessun problema a scoparsi 7 uomini assieme. Quindi se volete farlo girare no problem ok? [segue link] Ciao a presto! Gianni A. Perutti»

Come illustrato chiaramente all'interno di un post pubblicato su "PC al Sicuro”, il file coso.asx a cui punta il link provoca l'esecuzione di Windows Media Player, chiaro segnale per l'utente dell'imminente visualizzazione del filmato. Al posto delle immagini di Fiorella apparirà però un messaggio ad indicare la mancanza nel sistema del codec video necessario a visualizzare il filmato richiesto. Nel caso si decidesse nel proseguire con l'installazione di quest'ultimo, verrà scaricato nel sistema un file astutamente chiamato "codec_8-2.exe". Non si tratta però di un vero codec, ma di un malware camuffato, il quale provvederà ad installare nella directory di sistema di Windows un Browser Helper Object denominato wbspark.dll.

Sono ancora pochi i programmi in grado di identificare il Browser Helper Object; Prevx( www.prevx.com ) ad esempio lo riconosce come Adware.BHO.gen. Il dropper incaricato di installare il malware invece è più largamente riconosciuto dai principali antivirus in commercio.

Viene quindi caldamente sconsigliata la navigazione sul server freemoviepro.com (210.14.129.3), ricco di sottodomini ricollegabili allo stesso falso codec.
 

tecnico24

Utente Èlite
10,706
1,072
Trojan vundo???nessuna paura,c'e vundofix.

Salve ragazzi,il virus/trojan che si sta diffondendo sempre di piu' e' il vundo.
Esso provoca l'apertura dei popup e dei rallentamenti del sistema e anche sulla navigazione.A volte di questa infezione c'e ne accorgiamo su hijackthis,ma non sempre ci ha soddisfatto nella rimozione.


COME RIMUOVERE IL TRJ VUNDO?

Il tool che si e' dimostrato efficace e Vundofix.www.atribune.org/ccount/click.php?id=4

avviatelo,cliccate su scan for vundo e poi quando ha finito su remove vundo indicato anche nell'allegato.
riavviate il pc e dovreste liberarvene sicuramente,e su C:/ trovate il log della avvenuta pulizia.
Alternativo tool a vundofix c'e VirtuMondeBegone http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
avviatelo e seguite le istruzione per la rimozione.
 

tecnico24

Utente Èlite
10,706
1,072
pagina iniziale modificata???No grazie!

A volte tutti si lamentano della pagina iniziale modificata e cominciano ad arrabbiarsi seriamente dicendo:maledizione!uffa sto pc,sempre problemi!!
niente lamentele e rabbia.Il nostro strumento di rimozione malware,hijackthis ( http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip ),che è ritenuto uno dei migliori per aver tolto molte minaccie,tra le quali noi adesso abbiamo a che fare,lo spyware,i cosiddetti spioni.
scarichiamolo,e salviamo sul desktop.
avviamolo,clicchiamo su do a system scan and save logfile(vedere allegato) e aspettare che finisce la scansione.finito questa,uscira un logfile con delle scritte che riguarda tutto cio' che avete installato sul pc,tra cui i malware.postate questo log sul forum e vi dico cosa eliminare,ma non spaventatevi,e' un gioco da ragazzi!:ok:
 

tecnico24

Utente Èlite
10,706
1,072
Virus MSN(live messenger).

Molti utenti usano il programma di messaggistica windows live messenger,abbreviato da molti di loro Msn.Quest'ultimo e' un servizio molto usato,e molti hanno paura di prendere qualche virus in proposito.Ma il virus di msn come si propaga????tutti dicono di non accettare qualche contatto perfarsì di non ritrovarsi il computer formattato o infettato.E vero questa cosa???La risposta è NO.il contatto messenger non puo' fare nulla contro di voi improvvisamente,e non potete mai avere il pc formattato.Il virus si puo' trasmettere quando si accetta qualche file in formato .zip(myalbum.zip.myphoto.zip).Molti utenti hanno avuto questo virus.Accettando questi file il pc a questo punto si infetta(vedi allegato) e automaticamente senza che ve ne accorgerste,il vostro pc manda lo stesso file che avete ricevuto voi ad altri pc per farli infettare.Per riconoscere al meglio il virus dovete accorgevene della scrittura inglese,perche' poi i vostri amici non possono parlare perfetto,ma sapere solo qualche parola.


Come rimuovere il virus di msn se si e accettato il file???

C'e un apposito tool che permette questa rimozione di questo virus molto facile da usare.Si tratta di MsnFIX:
http://sosvirus.changelog.fr/MSNFix.zip
Avviatelo,poi lanciate il file msnfix.bat ,e premete R per cercare il virus e poi N per eliminarlo, il log che verrà fuori confermerà l'avvenuta pulizia, nel caso in cui aveste ancora il problema, potete postare sul forum, postando il log di MSNFix.
 

tecnico24

Utente Èlite
10,706
1,072
Trojan Exploit Java.Classloader

I file Classloader rientrano fra i Trojan di tipo hijacker, ovvero in grado di modificare la pagina iniziale di Internet Explorer. Tali Trojan infettano IE attraverso una pagina Web che contiene codice dannoso e sfrutta l'exploit Java.Classloader, noto anche come Java.Byteverify, o altre vulnerabilità di Internet Explorer.

Per proteggersi efficacemente da questa tipologia di malware, è fondamentale verificare che Internet Explorer sia aggiornato. Talvolta, ciò non impedirà comunque il download dei Trojan, che non saranno però in grado di attivarsi.

Di seguito, viene descritto il metodo più semplice per eliminare tali Trojan.

Rimozione trj Exploit Java.Classloader


Aggiornamento di Internet Explorer con Windows Update per prevenire ulteriori infezioni


1. Accedere al sito http://windowsupdate.microsoft.com.

2. Selezionare tutti gli aggiornamenti disponibili.

3. Windows Update installa gli aggiornamenti e riavvia il sistema.

4. Verificare che tutti gli aggiornamenti siano stati correttamente scaricati.

Svuotamento della cartella dei file temporanei Internet

1. Aprire Internet Explorer.

2. Selezionare "Opzioni Internet..." dal menu "Strumenti".

3. Attivare la scheda "Generale", se necessario.

4. Fare clic sul pulsante "Elimina file...", figurante nel riquadro "File temporanei Internet".

5. Selezionare la casella di controllo "Elimina tutto il contenuto non in linea".

6. Fare clic su "OK".

Scansione del sistema con F-Secure Anti-Virus per rimuovere qualsiasi altro componente scaricato


Per ulteriori informazioni in merito, consultare la pagina http://www.f-secure.com/v-descs/classloader.shtml
 

tecnico24

Utente Èlite
10,706
1,072
Worm sasser:Come rimuoverlo?

La presenza di questo Worm si manifesta con errori ricorrenti con il file lsass.exe; come avveniva con il Worm Blaster si presenta una finestra di errore(vedere allegato)
Questo virus utilizza una vulnerabilità dei sistemi operativi, Windows 2k, Xp e 2003 server, non opportunamente aggiornati; tale falla nella sicurezza permette di invadere zone di memoria e costringere la CPU a compiere svariate azioni come scaricare il worm ed eseguirlo. La diffusione non avviene tramite E-mail e non serve eseguire ingenuamente file ma l'infezione si propaga mediante scansione casuale di indirizzi IP interessando la porta TCP 445.

Non appena il worm trova un sistema non aggiornato e non protetto da firewall crea un ftp script sulla macchina presa di mira; questo verrà script utilizzato per attivare un server ftp che permetterà il download e l'esecuzione del worm. Il sistema infetto accetterà il traffico sulla porta TCP 5554.

Rimozione Manuale

Come si riconosce il Worm?

<1 Deve essere presente il file avserve.exe nella directory di Windows(system32)

<2 Deve essere presente la chiave nel registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "avserve.exe" = C:\WINDOWS\avserve.exe

Come disabilitare il Worm?


Con la combinazione dei tasti CTRL+ALT+CANC selezionare, nella scheda processi avserve.exe e terminarlo.

Una volta rimosso il file e la chiave nel registro è bene proteggersi utilizzando un firewall e successivamente installare la patch per la sicurezza.

Patch sicurezza download diretto:
http://download.microsoft.com/download/4/2/9/42988565-9dc5-4027-b4c4-fcbea69e2e5e/WindowsXP-KB835732-x86-ITA.EXE

Se avete difficolta' a rimuoverlo con la rimozione manuale,si puo' usare anche lo Strumento di rimozione malware disponibile qui:
http://www.microsoft.com/italy/security/malwareremove/default.mspx oppure sulla discussione in rilievo che parla dei tool di rimozione virus.Non dovete fare altro che fare la scansione completa ed aspettare che elimina tutte le minaccie.Dubbio o chiarimento,contattatemi.
 

tecnico24

Utente Èlite
10,706
1,072
Trojan small.Damm

F-Secure lancia l'allarme mettendo in allerta gli utenti per un nuovo Trojan/Worm, denominato dalla stessa azienda di sicurezza Small.DAMM, che in queste ore sta proliferando a velocità assurde.

Small.DAMM arriva attraverso una email presentando come oggetto uno di questi testi:

230 dead as storm batters Europe.
A killer at 11, he's free at 21 and...
British Muslims Genocide
Naked teens attack home director.
U.S. Secretary of State Condoleezza...

ed è accompagnata da un allegato che si spaccia per un video(vedi immagine).
In alte parole cerca di ingannare la vittima facendogli credere che l'email riguarda la notizia dell'uragano Kyrill che in queste ore sta devastando diverse zone del Nord Europa e che l'allegato mostra il video dei danni che ha causato.

Come si può ben vedere dallo screenshot l'allegato non è un file multimediale ma un file eseguibie .exe che nasconde al suo interno un trojan pronto a ricevere ordini per sferrare attacchi di massa.

F-Secure ha pubblicato un video (questo non è un trojan) che mostra le infezioni di Small.DAMM in tempo reale.
Il video è disponibile anche su YouTube:
http://www.youtube.com/watch?v=kH8cS1AkqiI


Come di solito accade in questi casi sono già state segnalate email con nuovo oggetto:

Russian missle shot down Chinese satellite
Russian missle shot down USA aircraft
Russian missle shot down USA satellite
Chinese missile shot down USA aircraft
Chinese missile shot down USA satellite
Sadam Hussein alive!
Sadam Hussein safe and sound!
Radical Muslim drinking enemies' blood.
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel

Anche l'allegato cambia nome:

Video.exe
Full Video.exe
Read More.exe
Full Text.exe
Full Clip.exe

L'eseguibile pesa circa 27000 byte, una volta eseguito riceve e comunica informazioni tramite pacchetti UDP alla porta 4000 (l'utilizzo delle porte alte è un'operazione tipica dei trojan).
 

tecnico24

Utente Èlite
10,706
1,072
Disk Knight:ospite indesiderato o no?

Questa notizia si sta diffondendo tramite studenti universitari e nelle copisterie dove gli stessi vanno a stampare dispense e simili, si sta diffondendo questo strano programma "disk knight".
Il programma in questione viene spacciato come utility per proteggere le chiavette USB dai virus, tuttavia agisce in modo molto strano.
A questo punto tutte le chiavette che verranno inserite in quel pc si ritroveranno con "disk knight" installato sopra, e qualunque chiavetta inserita in qualunque pc trasmetterà il contagio allo stesso!
Il programma arriva non sembra essere dannoso, infatti non si capisce bene quale sia il suo obiettivo, fatto sta che può arrivare ad impedire l'accesso ad una chiavetta USB o altre schede di memoria contagiate. Apparentemente comunque non danneggia i files.
La cosa strana è che gli antivirus almeno per ora non lo individuano assolutamente! Nemmeno tramite l'euristica.

Forse lo scopo del programma è quello di creare backdoor sui pc dei malcapitati, ma sono solo supposizioni, fatto sta che è meglio stare in guardia.
per liberarsene di questo intruso,seguite queste istruzioni:
http://surus.wordpress.com/2007/10/27/eliminare-definitivamente-disk-knight/ e dovreste essere a posto.



Questa notizia è stata annunciata da kiriranshelo,in cui ringraziamo moltissimo per la collaborazione.
 

tecnico24

Utente Èlite
10,706
1,072
Winfixer:come liberarsene.

Un'altro programma, all'apparenza gratis, distribuito in rete presenta qualche piccola sorpresina.
Si sta diffondendo tramite finestre popup(vedi allegato)il malware winfixer,che si spaccia per riparatore di errori nel registro,ma in realtà è un software dannoso per il nostro pc.Quindi e proprio consigliato di non accettare nessuna applicazione che fuoriesce tramite da una finestra popup.Chi fosse gia stato infettato da questo virus,niente paura,mostrerò una guida qui sotto come rimuoverlo.

Eliminazione winfixer:
disabilitiamo il ripristino configurazione di sistema:
pannello di controllo>sistema>ripristino configurazione di sistema>disattiva e su ok.
Scarichiamoci spybot S&D da qui:
www.spybot.info
installiamolo,avviamolo,facciamo una scansione e quando ha rilevato le minaccie,per eliminarle clicchiamo su "correggi problemi selezionati" e dovremmo essere puliti.
A volte,purtroppo,spybot non sempre fa centro,perche le versioni di winfixer si aggiornano man mano.
Per eliminare definitivamente e senza timore se spybot non e' servito,usiamo un altro strumento di rimozione malware,Rogueremover,scaricabile da qui:
www.malwarebytes.org/rogueremover.php
avviatelo,fate una scansione ed eliminate tutte le minaccie.
A questo punto,dovreste essere puliti al 100%,ma se dovrebbero sorgere problemi,postate sul forum,vi aspetto;)
 
Stato
Discussione chiusa ad ulteriori risposte.

Entra

oppure Accedi utilizzando