IIS Worm, “CodeRed” I e II

Virus pericoloso che affligge IIS nei sistemi operativi Windows NT, 2000 e XP. Sotto i links alle security patches rilasciate da Microsoft. In data 4 Agosto 2001 è stato scoperto Code Red II e prontamente Symantec ha fornito la cura (valida anche per la versione I). Patch Windows NT4 EnglishPatch Windows 2000 EnglishPatch Windows 2000 ItalianoScheda tecnica Symantec Code Red IICura predisposta da SYMANTECCura predisposta da CENTRAL COMMAND

VBS.Haptime.A@mm

Virus ad elevata propagazione (Visual Basic Script) che infetta pagine html (estensioni: htm, asp, htt e vbs). La pericolosità dello Script deriva dall’elevata diffusione e soprattutto dal fatto di sfruttare un buco di sicurezza di MS Outlook Express, bug che consente al virus di infettare il sistema con la semplice “anteprima” del messaggio di posta elettronica. Il virus si propaga a tutte le e-mails in uscita attaccandosi come firma del messaggio. Scheda tecnica su SYMANTECPreleva Cura da SYMANTECPatch per Outlook Express rilasciata da Microsoft

Win32.Nimda.A@mm

Virus pericolossimo scoperto in data 18-09-2001, capace di infettare sia i Web Servers dotati di IIS 4 o 5, sia i singoli pc. Si diffonde attraverso un allegato di nome “README.EXE” e infetta i registri di sistema oltre che tutti gli eseguibili di sistema (files .EXE). Infetta le pagine indice, nei formati HTML e ASP, inserendo un javascript. Si autoreplica sfruttando un buco di sicurezza di Microsoft Outlook e Outlook Express. Informazioni e Patch per i Web ServersScheda tecnica su SYMANTECScheda tecnica su CENTRAL COMMANDPreleva cura da CENTRAL COMMANDPreleva cura da SYMANTECDLL x NT4

W32.Badtrans.B@mm

Nuovo virus pericoloso diffuso automaticamente via e-mail in maniera polimorfica, tramite attachment a doppia estensione (la seconda è PIF o SCR). Il nome dell’attach può essere composto dalle seguenti parole: HUMOR – DOCS – S3MSONG – ME_NUDE – CARD – SEARCHURL – YOU_ARE_FAT! – NEWS_DOC – IMAGES – PICS. Il virus (una volta eseguito) si annida nella directory System (Kdll.dll e Kernel32.exe), si esegue ad ogni avvio del SO e funge anche da trojan e keylogger. Il virus parte in Outlook ed Outlook Express con la semplice anteprima del messaggio e diffonde i dati personali sensibili presenti nella cache (le passwords in primo luogo). Scheda tecnica su SymantecScheda tecnica su Central CommandPreleva la Cura by SymantecKbase Security Patch MicrosoftPatch per IE6Patch per IE 5.5 SP2

W32.Klez.gen@mm

Ultima variante del virus a propagazione di massa Klez. Gli effetti adesso sono arrivati al massimo grado di devastazione. Nelle date del 13 Marzo e del 13 Settembre il virus elimina ogni dato presente sul disco rigido. L’infezione parte con la semplice anteprima del messaggio in Outlook ed Outlook Express (a meno di aver installato la security patch per IE sotto indicata). Il virus autoreplica via e-mail, mediante autonomo engine SMTP, il virus collegato Elkern. Gli allegati sono agevolmente riconoscibili dall’estensione: .bat, .exe, .pif o .scr. Symantec ha deciso di elevare il coefficiente di rischio da 3 a 4, stesso grado cui fu elevato Nimda, virus in grado di paralizzare mezzo mondo! Scheda tecnica su Symantec – Preleva l’ultima Cura predisposta da Symantec per tutte le versioni di KlezTechnet Security Bulletin for IE 5

Hoax Jdbgmgr.exe

Virus Hoax: Microsoft Debugger Registrar for Java (Jdbgmgr.exe). Si tratta di un falso allarme virale contenuto in e-mail del tipo: “Abbiamo ricevuto un virus che si trasmette automaticamente a tutti gli indirizzi di posta elettronica. Se si eseguono le seguenti istruzioni si cancella senza causare danni. FARE LA VERIFICA DESCRITTA PER ELIMINARE IL VIRUS. Il virus si chiama jdbgmgr.exe e si trasmette automaticamente tramite Messenger ed anche attraverso la rubrica degli indirizzi. Il virus NON E’RILEVATO da McAfee o Norton e rimane in letargo 14 giorni prima di recare dei danni al sistema…”. JDBGMGR.EXE è un Java Debugger Manager ed è un file creato dall’installazione di Windows, per cui è un legittimo file di sistema (come il famoso SULFNBK.EXE). La recente esplosione del worm Bugbear ha ingenerato confusione circa il presunto virus jdbgmgr.exe, vista l’icona a forma di orso di tale file. Ma i file infetti dal virus Bugbear non assumono l’icona di un orso! C’e’ poi un altro worm, il c.d. W32.Efortune.31384@mm, che colpisce in particolare il file di sistema jdbgmgr.exe, ma si tratta di un evento accidentale, perché – è bene ribadirlo – jdbgmgr.exe nasce come file di sistema e non come virus! Scheda tecnica su SymantecMicrosoft Knowledge Base – Q322993