W32.Klez.E@mm

Virus che si propaga molto velocemente attraverso la posta elettronica (Outlook e Outlook Express). Una volta eseguito il virus copia 2 files.EXE nella directory System di Windows: WINK*.EXE e WQK.EXE. Il virus è dannosissimo, è capace di inibire i più diffusi software antivirus e cancella casualmente (rectius: sostituisce con una sequenza di zeri), nel sesto giorno di tutti i mesi tranne Gennaio e Luglio, i files con le seguenti estensioni: TXT HTM HTML WAB DOC XLS CPP C PAS MPEG MPG BAK MP3 JPG. Scheda tecnica su SymantecPreleva la Cura by Trend Micro

W32.SQLExp.Worm

W32.SQLExp.Worm è un virus ad alta propagazione scoperto in data 24-01-2003. Colpisce i server su cui gira Microsoft SQL. Il virus non registra alcun file su disco rigido ma si installa in memoria e crea una notevole mole di traffico verso diversi IP sulla porta 1434 UDP, creando a tutti gli effetti un “Denial Of Service”. La Microsoft raccomanda agli amministratori di sistema di installare subito la security patch (di seguito trovate indicato il link). Symantec raccomanda, inoltre, di bloccare via firewall il traffico sconosciuto sulla porta 1434 UDP, perché al momento non esiste alcun fix, in considerazione della peculiarità del virus che risiede in RAM e non lascia file infetti sul disco rigido. Il virus infetta solo i sistemi operativi Windows NT, Windows 2000 e Windows XP. Scheda tecnica su SymantecScheda tecnica su Central CommandPreleva la Cura by SymantecScheda su Microsoft TechnetPatch per SQL Server 2000 e MSDE 2000 (Inglese)

IIS Worm, “CodeRed” I e II

Virus pericoloso che affligge IIS nei sistemi operativi Windows NT, 2000 e XP. Sotto i links alle security patches rilasciate da Microsoft. In data 4 Agosto 2001 è stato scoperto Code Red II e prontamente Symantec ha fornito la cura (valida anche per la versione I). Patch Windows NT4 EnglishPatch Windows 2000 EnglishPatch Windows 2000 ItalianoScheda tecnica Symantec Code Red IICura predisposta da SYMANTECCura predisposta da CENTRAL COMMAND

W32.Klez.H@mm

Nuovissima variante del terribile Klez! Ora il virus è capace di: replicarsi via e-mail tramite un autonomo engine SMTP, propagarsi attraverso le condivisioni di rete (come Nimda), infettare eseguibili di sistema con crittografia (come Magistr). Klez si esegue allo startup di Windows (il file infetto si chiama Wink*.exe) ed è in grado di paralizzare il sistema operativo. Ciò che colpisce di questo Virus è che è in grado di replicarsi a nome e per conto di mittenti ignari, sfruttando il proprio engine SMTP, senza che questi abbiano il pc infetto, semplicemente sfruttando i nominativi contenuti nella rubrica di Outlook o Outlook Express dello sfortunato possessore del pc contagiato. Il consiglio che possiamo dare è di riavviare in modalità provvisoria e lanciare il fix di Symantec e per gli utenti di MS Outlook di aggiornare il prodotto attraverso il Sito di Microsoft Office Update. Scheda tecnica su SymantecPreleva la Cura by Symantec

W32.Yaha.L@mm

Symantec ha rilasciato un nuovo fix le varianti J, K, L del Worm Yaha! Le nuove varianti di Yaha sono particolarmente insidiose perché in grado di terminare effettivamente i processi locali relativi ad antivirus e firewall. Il virus arriva come attachment dal nome random, principalmente con estensione .scr (ma può essere anche .exe o .com o altro programma eseguibile). Se la data del sistema è il 22 o il 25 marzo, il virus, una volta eseguito, fa apparire il popup “Happy Birthday Dear”. Nel giorno di Giovedì viene modificata la home page predefinita del browser (viene inserito un sito di hacking), la cartella predefinita dei “Documenti” (insieme alle dipendenze) viene modificata negli attributi come “hidden” e viene creato sul desktop un file “aYeHS.txt”. Una volta eseguito il virus si annida nella directory %System% con i nomi “WinServices.exe”, “Nav32_loader.exe”, “Tcpsvs32.exe” e si inserisce nei registri di sistema in autorun, nonché nella shell di esecuzione dei file .exe (HKEY_LOCAL_MACHINE Software Classes exefile shell open command). Come le precedenti versioni, il virus è dotato di autonomo engine SMTP e si autoreplica a tutti gli indirizzi di posta elettronica presenti nella rubrica di Windows, nonché ai contatti di Microsoft Messenger, di Yahoo Messenger, di ICQ, e a tutti gli indirizzi e-mail contenuti in pagine .ht*! Scheda tecnica su SymantecPreleva la Cura by Symantec

Win32.Invalid.A@mm

Virus pericoloso (visto il presunto mittente) che si propaga attraverso un’e-mail avente le seguenti caratteristiche. Mitt.: “Microsoft Support” support@microsoft.com. Subject: Invalid SSL Certificate. Attachment: sslpatch.exe. Quando l’attachment è eseguito il virus cerca una connessione Internet attiva e se la trova si autoreplica a tutti gli indirizzi di posta elettronica reperiti in pagine html contenute nella cartella “documenti”. Ma l’aspetto più dannoso è che il virus riesce a criptare tutti i files .exe contenuti nella stessa directory o in sottocartelle, rendendoli inutilizzabili. Scheda tecnica su CENTRAL COMMAND

eAnthology, Virus Scanner o Spyware?

eAnthology, prodotto da eAcceleration, si propone come software di sicurezza per la prevenzione e per la rimozione di virus, trojans, popups, spyware e keylogger. Tuttavia, circolano sui forum notizie circa eventuali componenti spyware presenti nel programma eAnthology, rilevati da software blasonati e autorevoli come Ad-aware di Lavasoft. Non volendo noi entrare nel merito della valutazione di questo software, ci preme sottolineare, dopo alcune richieste di chiarimenti da parte dei nostri lettori, come nel settore della sicurezza esistano programmi di affidabilità indiscussa anche di tipo freeware, che ci sentiamo di consigliare come valida alternativa al suddetto! Di seguito forniamo inoltre le istruzioni per rimuovere eAnthology, visto che il programma di uninstall fornito a corredo dello stesso non rimuove tutti i componenti (fra i quali quelli annoverati nei newsgroups come spyware)! 1) Aprire eAnthology Manager e disattivare tutte le funzionalità (dopo aver cliccato sull’icona Stop Sign). Chiudere quindi eAnthology Manager. 2) Premere CTRL-ALT-DEL una volta per visualizzare il Task Manager: – Su Windows 95/98/ME, cercare il processo “defscangui.exe” e cliccare “Termina Processo”. Su Windows XP/NT/2000, cliccare sulla linguetta dei processi, cercare “defscangui.exe” and cliccare su “Termina Processo”. ***Nota*** Se defscangui.exe non esiste fra i processi, saltare al passo 3. 3) Avviare l’Uninstall di eAnthology da Installazione Applicazioni su Pannello di Controllo. 4) Ripetere l’operazione per il Download Receiver di eAnthology. 5) Riavviare il PC. 6) Cancellare manualmente le voci di eAnthology dal menu Avvio (Programmi). 7) Lanciare Ad-aware con controllo approfondito del pc per rilevare l’eventuale presenza di componenti residui spyware sulla macchina. 8 ) Riavviare il PC dopo la pulizia effettuata con Ad-aware. Home Page eAnthologyDownload Lavasoft Ad-aware 5.83Download Ad-aware Signature 24-09-2002Download Antivir PE (freeware)

W32.Klez.gen@mm

Ultima variante del virus a propagazione di massa Klez. Gli effetti adesso sono arrivati al massimo grado di devastazione. Nelle date del 13 Marzo e del 13 Settembre il virus elimina ogni dato presente sul disco rigido. L’infezione parte con la semplice anteprima del messaggio in Outlook ed Outlook Express (a meno di aver installato la security patch per IE sotto indicata). Il virus autoreplica via e-mail, mediante autonomo engine SMTP, il virus collegato Elkern. Gli allegati sono agevolmente riconoscibili dall’estensione: .bat, .exe, .pif o .scr. Symantec ha deciso di elevare il coefficiente di rischio da 3 a 4, stesso grado cui fu elevato Nimda, virus in grado di paralizzare mezzo mondo! Scheda tecnica su Symantec – Preleva l’ultima Cura predisposta da Symantec per tutte le versioni di KlezTechnet Security Bulletin for IE 5