logomcp.gif (1712 byte)    


Rosset.it

NEWS

Virgilio MAPPE

TRADUTTORE multilingue

Oggi in TV

  

 
   INFOVIRUS: INFORMAZIONI SU VIRUS, CAVALLI DI TROIA E AFFINI
            14/1 /2003 -
 Il Worm WORM_FRIENDGRT.A
 Il Worm V32.Lirva
 Il Worm SOBIG.A
 Il Worm ExploreZip.E nuova edizione
 Precauzioni

Il virus (Worm) WORM_FRIENDGRT.A
 
Questa variante del WORM_FRIENDGRT.A è una  applicazione del tipo "Cartolina da un amico" che spedisce dal nostro pc una mail d'invito a tutti gli indirizzi in elenco nella nostra rubrica di Microsoft Outlook.

I dettagli della mail che spedisce sono i seguenti:

Subject: <Recipient> you have an E-Card from <Sender>
Message Body: Greetings!
has sent you an E-Card -- a virtual postcard from FriendGreetings.com. You can pickup your E-Card at the FriendGreetings.com by clicking on the link below.
http://www.frie<BLOCKED>eeting.com/203746/pickup.html?
Message:
------------------------------------------------------------?
<Recipient>, I sent you a greeting card. Please pick it up.?
<Sender>?
------------------------------------------------------------?

Una volta che il ricevente clicca l'URL su questo messaggio, è invitato all'installazione di questo programma Worm. E come l'installazione si conclude, questo worm immediatamente spedisce a tutti il messaggio descritto.

Altre varianti di questo worm spediscono, invece, i seguenti link:

http://www.<BLOCKED>-greetings.com/pickup/pickup.aspx?code=<sender>&id=<id number>
http://www.<BLOCKED>-cards.net/pickup/pickup.html?code=<sender>&id=<id number>

Per maggiori informazioni sul WORM_FRIENDGRT.B visitate il sito Web di TrendMicro a:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_FRIENDGRT.B

 
Il Worm V32.Lirva
Colpisce gli utenti Windows
(ANSA) - BOLOGNA, 13 GEN - E' stato battezzato 'W32.Lirva', ma e' anche conosciuto come 'Naith'. E' il piu' recente virus che si sta diffondendo tra gli utenti Windows nel mondo. 'Tecnicamente, spiega l'ispettore di sicurezza informatica Andrea Faenza, di Bologna, si tratta di un 'worm' (un virus informatico che assorbe risorse al sistema senza necessariamente comprometterlo) e, novita' per questo tipo di 'infezioni informatiche', si diffonde non solo via posta elettronica, ma anche attraverso le chat Irc e Icq.
13-GEN-03 14:14
Lirva, un worm di tipo mass-mailing, è in grado di utilizzare diversi meccanismi per replicarsi. Oltre alla posta elettronica, infatti, è in grado di sfruttare ICQ, Kazaa, mIRC e di diffondersi attraverso le risorse condivise di Windows.Il worm Lirva, inoltre, e' in grado di disabilitare diversi software antivirus e altri software di sicurezza.
Il worm, una volta attivatosi, cerca di appropriarsi delle password e le invia ad un indirizzo di posta esterno.

Diffusione tramite e-mail

I file da cui il worm reperisce gli indirizzi di posta elettronica a cui spedirsi sono i seguenti:

.DBX .MBX .WAB .HTML .EML .HTM .TBB .SHTML .NCH .IDX

URL: http://www.symbolic.it/Rassegna/lirva.html
Date/Time: 01/14/2003
eNote:
Text:

Il subject, il corpo della mail ed il nome del allegato vengono generati in modo casuale utilizzando una lista predefinita.

Soggetto:


'Fw: Prohibited customers...'
'Re: Brigade Ocho Free membership'
'Re: According to Daos Summit'
'Fw: Avril Lavigne - the best'
'Re: Reply on account for IIS-Security'
'Re: ACTR/ACCELS Transcriptions'
'Re: The real estate plunger'
'Fwd: Re: Admission procedure'
'Re: Reply on account for IFRAME-Security breach'
'Fwd: Re: Reply on account for Incorrect MIME-header'

Messaggio:


'Restricted area response team (RART)


Attachment you sent to %s is intended to overwrite start address at 0000:HH4F%s
To prevent from the further buffer overflow attacks apply the MSO-patch %s'

oppure


'Avril fans subscription


FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony
Vote for I'm with you!


Admission form attached below'

oppure


'Microsoft has identified a security vulnerability in Microsoft(r); IIS 4.0
and 5.0 that is eliminated by a previously-released patch.


Customers who have applied that patch are already protected against the
vulnerability and do not need to take additional action.


Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not
already done so to apply the patch immediately.


Patch is also provided to subscribed list of Microsoft(r) Tech Support:'


I nomi degli attachment infetti sono i seguenti:


'Resume.exe'
'Download.exe'
'MSO-Patch-0071.exe'
'MSO-Patch-0035.exe'
'Two-Up-Secretly.exe'
'Transcripts.exe'
'Readme.exe'
'AvrilSmiles.exe'
'AvrilLavigne.exe'
'Complicated.exe'
'Singles.exe'
'Sophos.exe'
'Cogito_Ergo_Sum.exe'
'CERT-Vuln-Info.exe'
'Sk8erBoi.exe'
'IAmWiThYoU.exe'

 

Diffusione attraverso Reti locali

Lirva e' in grado di doffondersi attraverso le risorse condivise di una rete Windows. Il worm prova a copiare se stesso nella directory 'recycled' di un PC remoto utilizzando un nome casuale. Se l'operazione di copia fallisce, il worm prova a copiare se stesso nella directory radice delle condivisioni remote. Se una di queste due operazioni viene eseguita correttamente Lirva aggiunge la seguente stringa al file 'autoexec.bat' sul PC remoto infettato:


'@win \recycled\[random_name].exe'

oppure

'@win [random_name].exe'

Se il sistema remoto ha come sistema operativo Windows 95/98/Me il worm si esegue automaticamente all'avvio del computer. I sistemi operativi Windows NT, 2000 and XP non sono vulnerabili al worm.

Diffusione attraverso reti Peer-to-peer

Se il worm Lirva trova un client Kazaa sul PC infetto prova a copiare se stesso all'interno della directory condivisa utilizzata da Kazaa. Il nome del file utilizzato e' casuale e viene preso dallo stesso insieme di nomi utilizzati per gli attachment infetti. In questo modo il virus e' in grado di essere prelevato da qualunque utente della rete Kazaa ed eseguito riuscendo così ad infettare altre macchine.

Diffusione attraverso Internet Relay Chat

Se sul PC infetto è presente mIRC (uno dei più conosciuti client IRC in ambiente Windows), il worm Lirva ne modifica il file di configurazione. Dopo la modifica il file infetto del worm e' disponibile al download da parte di altri utenti che si connettono al canale della chat.

Altre modifiche fatte al file di configurazione connettono il client al canale '#avrillavigne'.

Diffusione attraverso reti ICQ

Quando eseguito, il worm Lirva cerca il file 'ICQMAPI.DLL' nella directory di installazione di ICQ. Se questo file e' disponibile lo copia nella directory di sistema di Windows ed esegue la DLL. . Questa DLL consente l'accesso al client ICQ. In questo modo il worm riesce a stabilire una connessione attraverso ICQ e prova ad inviarsi a tutti i contatti presenti nella lista.

Metodi di infezione

Il worm copia se stesso nella directory di Sistema di Windows e aggiunge una voce nel registro di configurazione di sistema per eseguirsi all'avvio:

'HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Avril Lavigne - Muse'

Anche le seguenti voci sono aggiunte al registro:

'HKLM\Software\OvG\Avril Lavigne'

Cattura delle password

Il Lirva ha funzionalità di "password stealing". Se il computer e' connesso ad Internet, il worm memorizza tutte le password digitate durante la connessione dall'utente e le invia ad un indirizzo di posta esterno. Lirva utilizza due indirizzi di posta e di volta in volta in maniera casuale sceglie a chi inviare le password.

Disattivazione dei software di sicurezza

Dopo aver infettato un PC, il worm Lirva tenta di disattivare i software antivirus e altri software di sicurezza. Il worm ricerca periodicamente la presenza dei seguenti processi e tenta di terminarli:


'AVP32.EXE'
'AVPMON.EXE'
'ZONEALARM.EXE'
'VSHWIN32.EXE'
'VET95.EXE'
'TBSCAN.EXE'
'SERV95.EXE'
'SCAN32.EXE'
'RAV7.EXE'
'NAVW.EXE'
'OUTPOST.EXE'
'NMAIN.EXE'
'NAVNT.EXE'
'MPFTRAY.EXE'
'LOCKDOWN2000.EXE'
'ICSSUPPNT.EXE'
'ICLOAD95.EXE'
'IAMAPP.EXE'
'FINDVIRU.EXE'
'F-AGNT95.EXE'
'DV95.EXE'
'DV95_O.EXE'
'CLAW95CT.EXE'
'CFIAUDIT.EXE'
'AVWUPD32.EXE'
'AVPTC32.EXE'
'_AVP32.EXE'
'AVGCTRL.EXE'
'APVXDWIN.EXE'
'_AVPCC.EXE'
'AVPCC.EXE'
'WFINDV32.EXE'
'VSECOMR.EXE'
'TDS2-NT.EXE'
'SWEEP95.EXE'
'SCRSCAN.EXE'
'SAFEWEB.EXE'
'PERSFW.EXE'
'NAVSCHED.EXE'
'NVC95.EXE'
'NISUM.EXE'
'NAVLU32.EXE'
'MOOLIVE.EXE'
'JED.EXE'
'ICSUPP95.EXE'
'IBMAVSP.EXE'
'FRW.EXE'
'F-STOPW.EXE'
'ESPWATCH.EXE'
'DVP95.EXE'
'CLAW95.EXE'
'CFIADMIN.EXE'
'AVWIN95.EXE'
'AVPM.EXE'
'AVP.EXE'
'AVE32.EXE'
'ANTI-TROJAN.EXE'
'WEBSCAN.EXE'
'WEBSCANX.EXE'
'VSSCAN40.EXE'
'TDS2-98.EXE'
'SPHINX.EXE'
'SCANPM.EXE'
'RESCUE.EXE'
'PCFWALLICON.EXE'
'PAVCL.EXE'
'NUPGRADE.EXE'
'NAVWNT.EXE'
'NAVAPW32.EXE'
'LUALL.EXE'
'IOMON98.EXE'
'ICMOON.EXE'
'IBMASN.EXE'
'FPROT.EXE'
'F-PROT95.EXE'
'ESAFE.EXE'
'CLEANER3.EXE'
'EFINET32.EXE'
'BLACKICE.EXE'
'AVSCHED32.EXE'
'AVPDOS32.EXE'
'AVPNT.EXE'
'AVCONSOL.EXE'
'ACKWIN32.EXE'
'VSSTAT.EXE'
'VETTRAY.EXE'
'TCA.EXE'
'SMC.EXE'
'SCAN95.EXE'
'RAV7WIN.EXE'
'PCCWIN98.EXE'
'PADMIN.EXE'
'NORMIST.EXE'
'NAVW32.EXE'
'N32SCAN.EXE'
'LOOKOUT.EXE'
'IFACE.EXE'
'ICLOADNT.EXE'
'IAMSERV.EXE'
'FP-WIN.EXE'
'F-PROT.EXE'
'ECENGINE.EXE'
'CLEANER.EXE'
'CFIND.EXE'
'BLACKD.EXE'
'AVPUPD.EXE'
'AVKSERV.EXE'
'AUTODOWN.EXE'
'_AVPM.EXE'
'AVPM.EXE'
'KPFW32.EXE'
'KPF.EXE'

Payload

Se il giorno del mese è 7, 11 oppure 24 il worm effettua una connessione al sito www.avril-lavigne.com.

VARIANTE: Lirva.B

Questa nuova variante del worm Lirva (ribattezzata Lirva.C da alcuni produttori di antivirus) presenta un ritmo di replicazione superiore alla versione precedente.

Il Lirva.B cerca di effettuare un collegamento verso un sito web per prelevare una backdoor: l'accesso al file e' stato pero' bloccato immediatamente dagli amministratori del sito.

Lirva.B si diffonde tramite email, ICQ, Kazaa, mIRC e directory di rete condivise in modo simile alla variante A.

IMPORTANTE: Lirva.B falsifica l'indirizzo del mittente della mail infetta, rimpiazzandolo con uno scelto in modo casuale. Il vero indirizzo e' spesso visibile nell'intestazione "Return-Path" della mail.


Segnalato dall'amico Roberto

 

Il Worm SOBIG.A
URL: http://www.symbolic.it/Rassegna/sobig.html
Date/Time: 01/14/2003 18:28:55
eNote:
 Text:
Sobig
     ALIAS:

 

Il worm Sobig è stato trovato in the wild il 9 Gennaio 2003. Il worm si diffonde via e-mail e le condivisioni di rete. Cerca inoltre di scaricare altri file da alcuni indirizzi su geocities.

Diffusione tramite e-mail

I file da cui il worm reperisce gli indirizzi di posta elettronica a cui spedirsi sono i seguenti:

.DBX .WAB .HTML .HML .EML .TXT

L'indirizzo del mittente è sempre 'big@boss.com'.



Il subject viene generato in modo casuale utilizzando una lista predefinita.


'Re: Here is that sample'
'Re: Document'
'Re: Sample'
'Re: Movies'

Messaggio:


'Attached file:'


Il messaggio contiene un eseguibile come attachment. Il nome del file allegato può essere uno dei seguenti:


'Sample.pif'
'Untitled1.pif'
'Document003.pif'
'Movie_0074.mpeg.pif'


Il messaggio infetto viene spedito da un'implementazione del protocollo SMTP contenuta nel codice del worm senza utilizzare i parametri e-mail dell'utente.

 

Diffusione attraverso Reti locali

Sobig controlla tutte le condivisioni accessibili al computer infetto e cerca di copiarsi in una delle seguenti directory:


'Windows\All Users\Start Menu\Programs\StartUp'

oppure

'Documents and Settings\All Users\Start Menu\Programs\Startup'

Queste sono le cartelle di startup di default sui sistemi operativi Windows 9x e NT/XP. Se il worm riesce a copiarsi in queste directory Windows lo lancerà al prossimo login dell'utente e il sistema viene infettato.

 

Infezione del sistema

Quando il worm viene eseguito per la prima volta sopra un sistema si copia nella Directory di Sistema di Windows usando il nome 'winmgm32.exe'. Dopodiché viene aggiunto al registry un nuovo valore che punta a questo file:


'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WindowsMGM'

In questo modo il worm verrà eseguito ad ogni avvio di Windows.

 

Backdoor

Sobig contiene una routine che scarica un file di testo da un sito web. All'interno del file si trova un URL per scaricare un altro programma e lanciarlo.

Al momento questa routine non è attiva e il file punta ad un indirizzo inesistente.

 ~
 

ExploreZip.E nuova edizione
URL: http://www.symbolic.it/Rassegna/explorezipE.html
Date/Time: 01/14/2003 19:23:15
eNote:
 Text:
ExploreZip.E
     ALIAS: ZippedFiles, I-Worm.ZippedFiles, Zipped_Files, ExploreZip_N, W32/ExploreZip.E, WORM_EXPLORZIP.M

 

 

Il giorno 8 gennaio 2003, e' stata scoperta una nuova variante di ExploreZip.

Explorezip.E ha funzionalita' simili alla variante che si era diffusa nel 1999. La principale differenza sembra risiedere nel fatto che il codice del virus e' stato compresso per rendere piu' difficile la rilevazione da parte
degli antivirus.

Per informazioni sulla prima versione di ExploreZip:
http://www.f-secure.com/v-descs/zipped.shtml

L'indirizzo del Global ExploreZip Worm Information Center:
http://www.f-secure.com/zipped/


Descrizione Tecnica

Il worm e' scritto in Delphi e compresso con UPX ed e' lungo 91048 bytes; una volta scompattato, le dimensioni del codice passano a oltre 230 kilobytes.

ExploreZip si diffonde mediante un allegato di mail chiamato zipped_files.exe, la cui icona sembra quella di un archivio compresso eseguibile. Quando il worm viene lanciato per la prima volta, viene visualizzato un finto messaggio di errore:

Error


Cannot open file: it does not appear to be a valid archive.
If this file is part of a ZIP format backup set, insert the
last disk of the backup set and try again. Please press F1 for help.

 


In seguito, il worm si copia con il nome di 'zipped_files.zip' nella directory-radice del disco C:, apre il proprio file con un visualizzatore predefinito di file ZIP e poi lo cancella. Se Winzip e' installato su un sistema infetto, esso viene avviato ma mostra solo un archivio vuoto. Questo induce l'utente a credere che il messaggio di errore mostrato in precedenza sia autentico e che il file che ha cercato di aprire sia in effetti corrotto.

Dopo l'esecuzione il worm si installa nel sistema, creando una propria copia nella directory di sistema di Windows con il nome di 'Explore.exe'; procede quindi a modificare il file WIN.INI piazzando una stringa con il
nome del proprio eseguibile dopo la variabile RUN= per poter essere lanciato ad ogni avvio del PC. Sui sistemi NT, il worm aggiunge la propria stringa di esecuzione al Registro; crea inoltre una copia di se stesso come
"_setup.exe" nella directory di Windows, ma questo file non viene mai utilizzato.

Per diffondersi via e-mail, il worm si connette al client di posta dell'utente infetto usando l'interfaccia MAPI; legge le mail che non hanno ancora avuto risposta e effettua un reply, spedendosi al mittente originale. Il messaggio infetto e' il seguente:

Soggetto:
RE: <soggetto del messaggio originale>

Messaggio:
Hi ! I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs. bye.

Allegato:
zipped_files.exe

Il worm puo' alterare il testo del messaggio, aggiungendo il nome del destinatario dopo la stringa "Hi". Puo' inoltre aggiungere la parola "Sincerely" seguita dal nome del mittente in chiusuta del messaggio. In
questo caso, viene omessa la parola "bye" dall'ultima riga della mail. Il worm non usa exploit (es. Iframe vulnerability) per eseguire automaticamente il proprio allegato sui sistemi e questo limita la sua
diffusione.

ExploreZip puo' infettare i computer su una rete locale; ricerca i PC che hanno volumi condivisi sulla LAN e quando ne trova uno, cerca di copiarsi nella sua cartella di Windows e di modificare il WIN.INI. Come risultato, il
computer remoto verra' infettato al successivo riavvio. Solo i sistemi Windows 9x sono vulnerabili a questo tipo di attacco, in quanto WIN.INI non viene usato per avviare programmi in ambienti NT.

ExploreZip e' distruttivo: ricerca e cancella costantemente i file con le estensioni sotto elencate, in tutti i drive disponibili:

.DOC - Documenti Microsoft Word
.XLS - Fogli di lavoro Microsoft Excel
.PPT - Presentazioni Microsoft PowerPoint
.ASM - File-sorgente Assembler
.CPP - File-sorgente C++
.C - File-sorgente C
.H - File-header C

Quando il worm trova un file con una di queste estensioni, lo sovrascrive e lo azzera rendendolo irrecuperabile.


Disinfezione manuale (se non si utilizza un antivirus)

Se ExploreZip si trova in un ambiente di rete, occorre disconnettere i PC prima di tentare la disinfezione. Tutte le workstation devono essere bonificate separatamente e le connessioni possono essere ripristinate solo
dopo che tutti i computer risultano non infetti. La ragione per una misura cosi' drastica e' che ExploreZip e' un infettore molto veloce e puo' propagarsi su reti di grandi dimensioni a partire da un singolo PC nel giro
di pochi minuti.

Il secondo passaggio consiste nell'eliminazione del processo del worm dalla memoria. Aprire il Task Manager e terminare i processi con i nomi seguenti:

zipped_files.exe
Explore.exe
_setup.exe

ATTENZIONE: il nome del task virale e' Explore.exe, da non confondersi con il componente principale di Windows, Explorer.exe!

Occorre poi cancellare i seguenti file:

%windir%\_setup.exe
%winsysdir%\Explore.exe

dove %windir% e' la directory di Windows directory e %winsysdir% e' la directory di sistema di Windows.

Infine, occorre rimuovere la stringa di esecuzione del worm da WIN.INI (sui sistemi Windows 9x) e dal Registro (sistemi NT).

Windows 9x: aprire WIN.INI dalla directory di Windows con un editore di testi e rimuovere il nome dell'eseguibile del worm dopo la variabile RUN= . Si consiglia di effettuare una copia di WIN.INI prima di procedere.

Windows NT: aprire l'Editor del Registro e localizzare la chiave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

Evidenziare la sotto-chiave Run e rimuovere i riferimenti all'eseguibile di ExploreZip. Attenzione: modificare il registro di configurazione non e' consigliato agli utenti inesperti, ricorrere al supporto tecnico se non si
e' mai effettuata quest'operazione.
 

Precauzioni

 
Di solito, gli ultimi virus scoperti sfruttano vulnerabilità note e per le quali sono da tempo disponibili patch che le correggono. La grande diffusione di alcuni virus si fonda sulla poca tempestività con cui gli utenti di pc eseguono gli aggiornamenti prescritti sia per il sistema operativo, sia per l'antivirus ed, eventualmente, il firewall. Per questo la migliore strategia di difesa passa proprio per alcune semplici regole di comportamento:
  • Aggiornate l'antivirus di frequente, meglio se in modo automatico nel caso di una connessione a Internet permanente (rete o ADSL). Il massimo lasso di tempo tra un aggiornamento e l'altro deve essere non superiore alla settimana.
  • Sempre settimanalmente eseguite Windows Update per vedere se vi sono aggiornamenti della sicurezza, o applicate immediatamente quelli che vi vengono segnalati.
  • Per coloro che hanno una connessione permanente (24 ore su 24) è opportuno impostare Windows Update per l'aggiornamento automatico.
  • Non scaricate da internet nessun software la cui provenienza non sia garantita.
  • Non aprite allegati di e-mail che contengono eseguibili
    • Programmi con estensione .EXE o .COM
    • Salvaschermo con estensione .SCR
    • Definizioni di programma con estensione .PIF
    • Script con estensione .VBS - .JS  -  .BAT
    • Animazioni con estensione .ASF  .SWF
    • File la cui estensione non vi è nota
  • Se un sito o una e-mail pubblicitaria vi propongono, ai fini della navigazione e consultazione, lo scaricamento e l'installazione di un programma eseguibile, evitate di accordare la vostra fiducia senza informazioni sulla affidabilità. Anche se non contengono virus, questi programmi, in buona parte, si comportano da spyware (programmi spia). Chi possiede un Firewall sarà avvisato dei vari tentativi che questi programmi faranno per comunicare con l'esterno. Non dategliene modo a meno che questo non infici del tutto la funzionalità primaria per cui adoperate quel programma.
 

 

 

Per leggere i documenti in formato PDF occorre Acrobat Reader. Scaricalo qui

   Per richiesta informazioni su questo sito utilizzare il modulo contatti
                  Hit Counter