Lo spam del ‘capitano Prisco Mazzi’

Segnaliamo una massiccia ondata di spam attuata tramite un messaggio di posta elettronica la cui provenienza è fantomaticamente attribuita ad un presunto “capitano Prisco Mazzi” (primazzi@poliziadistato.it). Il messaggio è assolutamente inattendibile (e pieno di errori ortografici) e va cestinato immediatamente, poiché contiene in allegato un componente malware (all’interno di un archivio compresso denominato “avviso_98361420.zip”). Il corpo del messaggio è il seguente:
“Avviso
Sono capitano della polizia Prisco Mazzi. I rusultati dell’ultima verifica hanno rivelato che dal Suo computer sono stati visitati i siti che trasgrediscono i diritti d’autore e sono stati scaricati i file pirati nel formato mp3. Quindi Lei e un complice del reato e puo avere la responsabilita amministrativa.
Il suo numero nel nostro registro e 00098361420.
Non si puo essere errore, abbiamo confrontato l’ora dell’entrata al sito nel registro del server e l’ora del Suo collegamento al Suo provider. Come e l’unico fatto, puo sottrarsi alla punizione se si impegna a non visitare piu i siti illegali e non trasgredire i diritti d’autore.
Per questo per favore conservate l’archivio (avviso_98361420.zip parola d’accesso: 1605) allegato alla lettera al Suo computer, desarchiviatelo in una cartella e leggete l’accordo che si trova dentro.
La vostra parola d’accesso personale per l’archivio: 1605
E obbligatorio.
Grazie per la collaborazione”.
In caso di apertura dell’eseguibile contenuto nell’archivio compresso è consigliabile una scansione con un antivirus aggiornato.

Ewido Anti-Spyware 4.0

La protezione da malware e spyware rappresenta oggi un “must” per i personal computer collegati ad Internet, a causa dei limiti dei tradizionali pacchetti antivirus. Fra gli ultimi prodotti disponibili in versione freeware merita menzione Ewido Anti-Spyware, software di Ewido Networks giunto alla versione 4.0. Il programma, disponibile anche in versione professionale, offre nella sua rinnovata interfaccia una protezione di livello elevato contro Trojans, Worms, Dialers, Hijackers, Spyware e Keyloggers. Interessanti le aggiunte dei moduli XP Antispy e BHO Viewer. E’ possibile utilizzare il prodotto con tutte le sue funzionalità attive per un periodo di valutazione di 30 giorni, al termine dei quali sarà possibile acquistare la licenza del prodotto professionale oppure continuare ad utilizzare il prodotto in versione “light”.
Home Page Ewido NetworksDownload Ewido Anty-Spyware 4.0

W32.Zotob.E@mm

W32.Zotob.E è un worm a propagazione di massa scoperto in data 16 agosto 2005. Il worm apre una backdoor sulla porta TCP 445 (l’elenco completo delle porte sfruttabili dal virus ?: TCP 8594, 8080, e 445; UDP 69), sfruttando la vulnerabilità Microsoft “Windows Plug and Play Buffer Overflow”, descritta nel bollettino di sicurezza MS05-039. Il worm Zotob, nella variante E, è capace di rendere instabile il sistema operativo (Microsoft Windows 2000, XP e Server 2003), al punto di causare la terminazione del processo services.exe e causare, di conseguenza, lo shutdown del pc. Il worm non è difficile da riconoscere perché si annida in Startup col nome “wintbp.exe”. Parallelamente alla rimozione del worm è fortemente raccomandabile l’aggiornamento del sistema operativo per rimuovere la vulnerabilità.
Bollettino di Sicurezza Microsoft MS05-039Scheda tecnica su SymantecPreleva la Cura by Symantec

McAfee Avert Stinger v. 2.5.4

Abbiamo già parlato in queste pagine di Stinger, eseguibile gratuito di McAfee in grado di rimuovere le più comuni infezioni virali. Adesso il software è giunto alla versione 2.5.4 ed è in grado di debellare le infezioni di ben 47 ceppi di virus informatici ad alta propagazione! I virus riconosciuti da Stinger sono: BackDoor-AQJ, BackDoor-ALI, BackDoor-CEB, BackDoor-JZ Bat/Mumu.worm, Exploit-DcomRpc, Exploit-LSASS, IPCScan, IRC/Flood.ap, IRC/Flood.bi, IRC/Flood.cd, NTServiceLoader, PWS-Narod, PWS-Sincom.dll, W32/Anig.worm, W32/Bagle@MM, W32/Blaster.worm (Lovsan), W32/Bropia.worm, W32/Bugbear@MM, W32/Deborm.worm.gen, W32/Doomjuice.worm, W32/Dumaru, W32/Elkern.cav, W32/Fizzer.gen@MM, W32/FunLove, W32/Klez, 32/Korgo.worm, W32/Lirva, W32/Lovgate, W32/Mimail, W32/MoFei.worm, W32/Mumu.b.worm, W32/MyDoom, W32/Nachi.worm, W32/Netsky, W32/Nimda, W32/Pate, W32/Polybot, W32/Sasser.worm, W32/SirCam@MM, W32/Sober, W32/Sobig, W32/SQLSlammer.worm, W32/Swen@MM, W32/Yaha@MM, W32/Zafi e W32/Zindos.worm!
Home Page McAfee Avert StingerDownload Stinger v. 2.5.4

Virus W32.Serflog.C

Serflog variante C è un virus che si propaga attraverso le condivisioni di rete ed il client di messaggistica Microsoft MSN Messenger. Una volta eseguito, il virus si autoesegue in un’unica istanza annidandosi nelle cartelle di sistema di Windows con i nomi “csnss.exe”, “mcsv.com” e “svhost.exe”, termina l’esecuzione dei programmi antivirus e antispyware più diffusi ed effettua numerose modifiche al Registry di Windows (fra le quali l’autoesecuzione in Startup nella chiave di Run). Il virus si autoreplicherà inserendosi con denominazione variabile (Death of crazy frog!.pif, Hot babe!.pif, Really Cute.pif, My piccy.pif, Bungee-Fuck.pif, I_love_you.123greetings.com.com, Paris Hilton Sex Tape.pif, Shoot Bill Gates!.exe, Best_Friend.scr, lol Busted Are Gay!.pif, Saddam Song!.pif, Me at the Beach!.pif, l0ser.HTML) nelle cartelle condivise (risorse di file-sharing) e inviandosi ai contatti di MSN Messenger, anche qui sotto forma di file dal nome variabile e dall’estensione .pif o .scr. Il virus W32.Serflog.C, una volta in payload, rende assai problematico l’utilizzo del pc, a causa della chiusura immediata delle finestre di numerose applicazioni, nonché la terminazione di numerosi processi di servizio. Un’ultima curiosità: se la data di sistema è 2, 10, 12, 19, 26, 29, oppure 31, il worm visualizza il file di testo “LARISSA you muppet.txt”, creato dallo stesso nella directory Windows. Scheda tecnica su SymantecPreleva la Cura by Symantec

Virus W32.Sasser.B

Sasser.B è una variante del virus Sasser ad alta propagazione. Il worm sfrutta per la propagazione un exploit dei sistemi operativi Windows NT, 2000, XP e Server 2003, descritto nel Security Bullettin MS04-011, pagina del sito Microsoft Technet che rende disponibili le patch di sicurezza per i sistemi operativi affetti dall’exploit. Oltre all’aggiornamento di Windows, un buon rimedio è costituito dal blocco via firewall delle porte TCP 5554, 9996 e 445. Il baco non è presente nei sistemi operativi Windows 9x e ME, tuttavia il worm Sasser è capace di veicolarsi anche attraverso tali sistemi operativi verso gli OS vulnerabili che entrino in comunicazione con gli stessi. Il worm si annida nella directory Windows col nome “Avserve2.exe” e si esegue in un’unica istanza all’avvio di Windows, annidandosi nella chiave di RUN in startup del registro. Una volta eseguito il worm Sasser.B: tenta di sfruttare la API di Windows di Restart o Shutdown del Sistema; fa partire un server FTP sulla porta TCP 5554 per autopropagarsi verso altri host; genera un IP (attraverso un algoritmo che parte dall’IP del pc infetto, con esclusione degli IP privati) col quale tenta subito di collegarsi per verificare se il pc remoto corrispondente a quell’IP è on line; se il pc destinatario è raggiungibile ed è vulnerabile all’exploit, il server FTP spedisce verso il nuovo host (sulla porta TCP 9996) il file malevolo con nome terminante per “_up.exe”. Una volta infettato, nel nuovo host va in crash il processo Lsass.exe, causando lo shutdown in un minuto. Sulla root C: viene creato il file win2.log che contiene gli IP dei pc contagiati. Proprio in virtù del meccanismo di sfruttamento dell’exploit, il worm si propaga in maniera velocissima ed è in grado di bloccare interi network. Scheda tecnica su SymantecPreleva la Cura by Symantec

Virus W32.Netsky.D@mm

Netsky variante D è un virus scoperto in data 1 marzo 2004, assai pericoloso per l’alta capacità di replicazione. Il virus, infatti, una volta infettato il pc, cerca tutti gli indirizzi e-mail contenuti in pagine web, indirizzari, script e documenti di testo memorizzati sulle unità locali, dalla lettera C alla lettera Z, e si autoreplica a tutti gli indirizzi di posta elettronica così reperiti. L’estensione dell’attachment virale è .pif. Soggetto, oggetto e nome dell’attachment sono casuali. Il subject dell’e-mail inizia per “Re:” (ad es. “Re: Your website”, “Re: Your product”, “Re: Your letter”, “Re: Your archive”, ecc.). Il body dell’e-mail invita all’apertura dell’attachment (da non aprire assolutamente!) che è sempre un file .pif. Il worm, una volta eseguito, si annida nella directory Windows con il nome “winlogon.exe” e si autoesegue all’avvio di Windows grazie ad una chiave “ICQ Net” inserita nei registri (su HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run) . Oltre ad annidarsi nel registro, il virus termina, prima, e cancella, dopo, dagli stessi alcuni processi d’avvio. Il 2 marzo, dalle 6 alle 9 del mattino, il worm fa suonare lo speaker interno del pc con un beep continuo a determinati intervalli. La pericolosità del virus è insita nella velocità di propagazione, alla stessa guisa dell’ormai noto virus Mydoom. Scheda tecnica su SymantecPreleva la Cura by Symantec

Virus W32/Mydoom@MM

Mydoom è un virus nuovissimo (scoperto in data 26 gennaio 2004) e pericolosissimo, a causa dell’incredibile velocità di propagazione. Il virus è conosciuto anche come “W32.Novarg.A” (Symantec) e come variante “R” del worm “Mimail” (Trend Micro). In poche ore dall’exploit ha contagiato migliaia di personal computer. Il virus si propaga tramite attachment di e-mail (a doppia estensione, la seconda appartiene ai formati: .pif, .scr, .exe, .cmd, .bat, .zip) e in automatico tramite la rete peer to peer Kazaa (nella directory download potreste trovare i file: “winamp5”, “icq2004-final”, “activation_crack”, “strip-girl-2.0bdcom_patches”, “rootkitXP”, “office_crack”, “nuke2004” con estensione .pif, .bat, .exe o .scr). L’indirizzo del mittente è di tipo “spoofed” (vale a dire rubato, fittizio), il subject ed il body dell’e-mail sono random anch’essi (l’oggetto dell’e-mail è uno fra i seguenti: “test”, “hello”, “hi”, “Error”, “Status”, “Mail Delivery System”, “Mail Transaction Failed”, e “Server Report”). Nel pc infetto, il worm crea una backdoor aprendo le porte TCP da 3127 a 3198, consentendo ad utenti malevoli la possibilità di sfruttare il pc per accedere alle risorse di rete, scaricarvi ed eseguire file. Il worm, infine, in data 1 febbraio genera un attacco di tipo DoS (Denial of Service). Il payload, secondo il codice del worm, cessa in data 12 febbraio 2004, data della disattivazione automatica della diffusione del virus. Scheda tecnica su McAfeeScheda tecnica su SymantecPreleva la Cura by SymantecPreleva la Cura by Computer Associates

Virus W32.Beagle.A@mm

W32.Beagle.A@mm (conosciuto principalmente come “Bagle”) è un nuovo worm ad altissima propagazione, scoperto in data 18 gennaio 2004. Il virus Bagle, una volta eseguito, effettua diverse operazioni: – legge la data di sistema e, se questa è precedente al 28 gennaio 2004, si installa nella cartella “System” con il nome “bbeagle.exe” (se la data è successiva il worm resta inattivo); – lancia la Calcolatrice; – installa delle chiavi nel registro di Windows; – tenta di propagarsi via posta elettronica a tutti gli indirizzi e-mail reperiti in locale; – tenta di collegarsi ripetutamente (ogni 10 minuti) ad una lista predefinita di siti web per comunicare la presenza in locale del virus; – apre la porta tcp 6777 (variabile) per esporre il sistema operativo ad attacchi (come un vero e proprio Trojan, riconosciuto da alcuni antivirus come Trojan.Mitglieder.C). L’oggetto dell’e-mail è “Hi” e ciò rende il virus facilmente riconoscibile. L’allegato dell’e-mail è, infine, un file .exe dal nome casuale. Scheda tecnica su SymantecPreleva la Cura by Symantec

Virus W32.Sober.C@mm

Ultima variante del virus Sober, worm ad alta propagazione che sfrutta un proprio engine SMTP per diffondersi. Perviene tramite attachment ad estensione random (.bat, .com, .cmd, .exe, .pif o .scr). Il subject dell’e-mail è anch’esso random (fra gli oggetti tipici sono molto diffuse le intestazioni: “Your IP was logged”; “You use illegal File Sharing …”; “you are an idiot”; “I hate you”; “Anime, Pokemon, Manga, Handy …”; “a trojan is on your computer!”; “A Trojan horse is on your PC”; “hi, its me”; “Preliminary investigation were started”). La prima volta che il worm viene eseguito simula un finto messaggio d’errore: “nomefile has caused an unknown error. Stop: 00000010×18.”. Una volta eseguito il virus si annida nei registri allo Startup di Windows. Scheda tecnica su Symantec – Preleva la Cura by Symantec