W32.Myparty@mm

Nuovissimo virus diffuso tramite Outlook Express. La propagazione è notevole: per rimuovere il worm basta cancellare gli eseguibili “nascosti” nel cestino che si autoavviano alla partenza di Windows. L’oggetto dell’e-mail è: “new photos from my party!”. Scheda tecnica su Symantec

W32.HLLW.Winevar (W32.Funlove.4099)

W32.HLLW.Winevar è un virus a propagazione di massa che disabilita alcuni programmi di antivirus e firewall e manda a sua volta in esecuzione il virus W32.FunLove.4099. W32.HLLW.Winevar arriva in una e-mail contenente 3 attachment, dai nomi variabili ma che rispettano il seguente formato: 1) Win.Txt (12.6 KB) Music_1.htm 2) Win.Gif (120 Bytes) Music_2.ceo 3) Win.pif. Una volta eseguito il virus compie notevoli danni: a) cancella tutti i files contenuti nelle directory il cui nome contenga “antivirus”, “cillin”, “nlab”, “vacc” b) se i tempi di caricamento del SO sono lunghi, il virus prova a cancellare tutti i files contenuti in tutte le directory del disco rigido! c) manda in esecuzione il virus W32.Funlove.4099 che infetta a sua volta i files d) può rallentare pesantemente il sistema operativo fino a paralizzarlo del tutto (quando un numero notevole di files di sistema è stato cancellato!). L’oggetto della e-mail è: Re: AVAR(Association of Anti-Virus Asia Reseachers) oppure N`4?[registered organisation oppure “Trand Microsoft Inc.”]. Gli attachment hanno le seguenti dimensioni: 91089 bytes (.ceo e .pif) e 609 bytes (.htm). Il virus quindi si annida nei registri nella chiave di RUN e lancia all’avvio di Windows il popup “Make a fool of oneself” recante il messaggio “What a foolish thing you have done”! Se il sistema operativo è stato fortemente compromesso l’unico rimedio è quello di reinstallarlo. Di seguito trovate comunque il fix rilasciato da Symantec. Scheda tecnica su SymantecPreleva la Cura by Symantec

W32.Klez.E@mm

Virus che si propaga molto velocemente attraverso la posta elettronica (Outlook e Outlook Express). Una volta eseguito il virus copia 2 files.EXE nella directory System di Windows: WINK*.EXE e WQK.EXE. Il virus è dannosissimo, è capace di inibire i più diffusi software antivirus e cancella casualmente (rectius: sostituisce con una sequenza di zeri), nel sesto giorno di tutti i mesi tranne Gennaio e Luglio, i files con le seguenti estensioni: TXT HTM HTML WAB DOC XLS CPP C PAS MPEG MPG BAK MP3 JPG. Scheda tecnica su SymantecPreleva la Cura by Trend Micro

W32.SQLExp.Worm

W32.SQLExp.Worm è un virus ad alta propagazione scoperto in data 24-01-2003. Colpisce i server su cui gira Microsoft SQL. Il virus non registra alcun file su disco rigido ma si installa in memoria e crea una notevole mole di traffico verso diversi IP sulla porta 1434 UDP, creando a tutti gli effetti un “Denial Of Service”. La Microsoft raccomanda agli amministratori di sistema di installare subito la security patch (di seguito trovate indicato il link). Symantec raccomanda, inoltre, di bloccare via firewall il traffico sconosciuto sulla porta 1434 UDP, perché al momento non esiste alcun fix, in considerazione della peculiarità del virus che risiede in RAM e non lascia file infetti sul disco rigido. Il virus infetta solo i sistemi operativi Windows NT, Windows 2000 e Windows XP. Scheda tecnica su SymantecScheda tecnica su Central CommandPreleva la Cura by SymantecScheda su Microsoft TechnetPatch per SQL Server 2000 e MSDE 2000 (Inglese)

IIS Worm, “CodeRed” I e II

Virus pericoloso che affligge IIS nei sistemi operativi Windows NT, 2000 e XP. Sotto i links alle security patches rilasciate da Microsoft. In data 4 Agosto 2001 è stato scoperto Code Red II e prontamente Symantec ha fornito la cura (valida anche per la versione I). Patch Windows NT4 EnglishPatch Windows 2000 EnglishPatch Windows 2000 ItalianoScheda tecnica Symantec Code Red IICura predisposta da SYMANTECCura predisposta da CENTRAL COMMAND

W32.Klez.H@mm

Nuovissima variante del terribile Klez! Ora il virus è capace di: replicarsi via e-mail tramite un autonomo engine SMTP, propagarsi attraverso le condivisioni di rete (come Nimda), infettare eseguibili di sistema con crittografia (come Magistr). Klez si esegue allo startup di Windows (il file infetto si chiama Wink*.exe) ed è in grado di paralizzare il sistema operativo. Ciò che colpisce di questo Virus è che è in grado di replicarsi a nome e per conto di mittenti ignari, sfruttando il proprio engine SMTP, senza che questi abbiano il pc infetto, semplicemente sfruttando i nominativi contenuti nella rubrica di Outlook o Outlook Express dello sfortunato possessore del pc contagiato. Il consiglio che possiamo dare è di riavviare in modalità provvisoria e lanciare il fix di Symantec e per gli utenti di MS Outlook di aggiornare il prodotto attraverso il Sito di Microsoft Office Update. Scheda tecnica su SymantecPreleva la Cura by Symantec