I-Worm.QAZ

Si tratta, stavolta, di un worm che apre una backdoor (il virus ha un doppio effetto: infezione e cavallo di troia). Ricorda di rinominare il file NOTE.COM in notepad.exe per ottenere nuovamente il notepad (dopo aver effettuato la pulizia del disco rigido con l’opportuno programma antivirus!). Preleva la Cura

Hoax Life is beautiful (La vita è bella)

Se ricevete una e-mail con il sottostante contenuto cestinatela ed ignoratela, è un falso allarme, un hoax, la notizia di un finto virus (la scoperta risale a Gennaio 2002, ma questo hoax ha ripreso a circolare insistentemente nel mese di Settembre 2002). Contenuto della e-mail: “ATTENZIONE!!! C’è UN NUOVO VIRUS nella rete. L’info viene da Microsoft e Norton. Per favore trasmettetela a tutti i vostri contatti. Potete ricevere una mail con na presentazione Power Point, intitolata “La vita è bella, pps” o “Life is beautiful, pps”. Se la ricevete NON APRITELA!!!! CANCELLATELA AL PIU’ PRESTO!!! Se l’aprite, apparirà sul vostro monitor un messaggio: “Adesso è tardi, la vostra vita non è più bella” SUBITO PERDERETE TUTTO QUELLO CHE AVETE NEL VOSTRO PC la persona che ve l’ha inviata avrà accesso al vostro nome, e-mail e pasword. Si tratta di un nuovo virus che ha incominciato circolare sabato pomeriggio…”. L’e-mail circola in rete in varie versioni linguistiche: portoghese, inglese, francese, italiano e tedesco. Scheda tecnica su Symantec

W32.Opaserv.Worm

Virus assai insidioso per le reti, scoperto in data 30 settembre 2002. Il worm si autoreplica attraverso le condivisioni di rete e si insedia sul pc remoto col nome di Scrsvr.exe (in startup all’interno del file Win.ini oppure della chiave di registro HKLM Software Microsoft Windows CurrentVersion Run). Una volta eseguito W32.Opaserv.Worm riesce ad accedere a tutte le condivisioni di rete protette da una password di un singolo carattere (o sprovviste di password) e tenta di scaricare aggiornamenti da www.opasoft.com, sito peraltro giù chiuso. Indici della presenza del virus: a) la presenza dei files Scrsin.dat e Scrsout.dat nella root di C: (infezione locale); b) la presenza del file Tmp.ini nella root di C: (infezione da host remoto). Per rimuovere il virus Opaserv consigliamo di adoperare il fix di Symantec dopo aver seguito alcuni piccoli accorgimenti: a) scollegare il cavo di rete; b) disabilitare il System Restore in Windows ME/XP (lo si potrà riattivare a pc disinfettato); c) lanciare il fix anche in modalità provvisoria e anche al riavvio della macchina successivo alla pulizia, per esser sicuri che ogni traccia virale venga rimossa. Scheda tecnica su SymantecScheda tecnica su Central CommandPreleva la Cura by Symantec

W32.Badtrans.B@mm

Nuovo virus pericoloso diffuso automaticamente via e-mail in maniera polimorfica, tramite attachment a doppia estensione (la seconda è PIF o SCR). Il nome dell’attach può essere composto dalle seguenti parole: HUMOR – DOCS – S3MSONG – ME_NUDE – CARD – SEARCHURL – YOU_ARE_FAT! – NEWS_DOC – IMAGES – PICS. Il virus (una volta eseguito) si annida nella directory System (Kdll.dll e Kernel32.exe), si esegue ad ogni avvio del SO e funge anche da trojan e keylogger. Il virus parte in Outlook ed Outlook Express con la semplice anteprima del messaggio e diffonde i dati personali sensibili presenti nella cache (le passwords in primo luogo). Scheda tecnica su SymantecScheda tecnica su Central CommandPreleva la Cura by SymantecKbase Security Patch MicrosoftPatch per IE6Patch per IE 5.5 SP2

Hoax Jdbgmgr.exe

Virus Hoax: Microsoft Debugger Registrar for Java (Jdbgmgr.exe). Si tratta di un falso allarme virale contenuto in e-mail del tipo: “Abbiamo ricevuto un virus che si trasmette automaticamente a tutti gli indirizzi di posta elettronica. Se si eseguono le seguenti istruzioni si cancella senza causare danni. FARE LA VERIFICA DESCRITTA PER ELIMINARE IL VIRUS. Il virus si chiama jdbgmgr.exe e si trasmette automaticamente tramite Messenger ed anche attraverso la rubrica degli indirizzi. Il virus NON E’RILEVATO da McAfee o Norton e rimane in letargo 14 giorni prima di recare dei danni al sistema…”. JDBGMGR.EXE è un Java Debugger Manager ed è un file creato dall’installazione di Windows, per cui è un legittimo file di sistema (come il famoso SULFNBK.EXE). La recente esplosione del worm Bugbear ha ingenerato confusione circa il presunto virus jdbgmgr.exe, vista l’icona a forma di orso di tale file. Ma i file infetti dal virus Bugbear non assumono l’icona di un orso! C’e’ poi un altro worm, il c.d. W32.Efortune.31384@mm, che colpisce in particolare il file di sistema jdbgmgr.exe, ma si tratta di un evento accidentale, perché – è bene ribadirlo – jdbgmgr.exe nasce come file di sistema e non come virus! Scheda tecnica su SymantecMicrosoft Knowledge Base – Q322993