McAfee Avert Stinger – tool antivirus gratuito!

Stinger è un’utilità standalone e gratuita di Network Associates Inc., capace di rilevare e rimuovere le più comuni infezioni da virus informatici su piattaforma Windows. Non si tratta di un vero antivirus ma di un tool che trova e rimuove le infezioni (di immediata utilità, pertanto, per gli amministratori di sistema). McAfee, ovviamente, non fornisce alcun supporto per il software, che resta, nondimeno, un prodotto potente, sia per il fatto di non richiedere installazione, sia per il vasto numero di infezioni virali che è capace di riconoscere e rimuovere. Il software è giunto alla release v 1.9.4 (718,343 bytes), del 21-12-2003, e riconosce attualmente ben 36 tipi di elementi malevoli, fra virus, trojans e varianti: BackDoor-AQJ, Bat/Mumu.worm, Exploit-DcomRpc, IPCScan, IRC/Flood.ap, IRC/Flood.bi, IRC/Flood.cd, NTServiceLoader, PWS-Narod, PWS-Sincom, W32/Bugbear@MM, W32/Deborm.worm.gen, W32/Dumaru@MM, W32/Elkern.cav, W32/Fizzer.gen@MM, W32/FunLove, W32/Klez, W32/Lirva, W32/Lovgate, W32/Lovsan.worm, W32/Mimail@MM, W32/MoFei.worm, W32/Mumu.b.worm, W32/Nachi.worm, W32/Nimda, W32/Pate, W32/Sdbot.worm.gen, W32/Sober@MM, W32/SirCam@MM, W32/Sobig, W32/SQLSlammer.worm, W32/Swen@MM, W32/Yaha@MM. Gli utenti di Windows ME e XP, per un utilizzo efficace del prodotto, dovranno disabilitare il System Restore. Home Page McAfee Avert StingerDownload Stinger v. 1.9.4

W32.Mimail.J@mm

Nuova variante del worm W32.Mimail, assai insidiosa perché tenta di rubare informazioni personali dagli utenti (in particolare, il numero di carta di credito). Il virus si propaga attraverso una e-mail proveniente dall’indirizzo “Do_Not_Reply@paypal.com” e avente come attachment “InfoUpdate.exe” oppure “www.paypal.com.pif”. Una volta eseguito il virus si annida come “svchost32.exe” (e “ee98af.tmp”) nella directory di Windows e parte all’avvio di Windows (attraverso la chiave di RUN dei registri). Una volta lanciato, il worm mostra la pagina web “PP.HTA” (creata sulla root del disco rigido e marchiata indebitamente Paypal) che chiede di inserire il numero di Carta di Credito (al falso fine di rinnovare l’account di Paypal). In tali evenienze, bisogna subito chiudere la suddetta pagina con la combinazione di tasti ALT+F4 e debellare l’infezione con il fix o l’antivirus aggiornato. Scheda tecnica su Symantec – Preleva la Cura by Symantec

W32.Klez.E@mm

Virus che si propaga molto velocemente attraverso la posta elettronica (Outlook e Outlook Express). Una volta eseguito il virus copia 2 files.EXE nella directory System di Windows: WINK*.EXE e WQK.EXE. Il virus è dannosissimo, è capace di inibire i più diffusi software antivirus e cancella casualmente (rectius: sostituisce con una sequenza di zeri), nel sesto giorno di tutti i mesi tranne Gennaio e Luglio, i files con le seguenti estensioni: TXT HTM HTML WAB DOC XLS CPP C PAS MPEG MPG BAK MP3 JPG. Scheda tecnica su SymantecPreleva la Cura by Trend Micro

W32.SQLExp.Worm

W32.SQLExp.Worm è un virus ad alta propagazione scoperto in data 24-01-2003. Colpisce i server su cui gira Microsoft SQL. Il virus non registra alcun file su disco rigido ma si installa in memoria e crea una notevole mole di traffico verso diversi IP sulla porta 1434 UDP, creando a tutti gli effetti un “Denial Of Service”. La Microsoft raccomanda agli amministratori di sistema di installare subito la security patch (di seguito trovate indicato il link). Symantec raccomanda, inoltre, di bloccare via firewall il traffico sconosciuto sulla porta 1434 UDP, perché al momento non esiste alcun fix, in considerazione della peculiarità del virus che risiede in RAM e non lascia file infetti sul disco rigido. Il virus infetta solo i sistemi operativi Windows NT, Windows 2000 e Windows XP. Scheda tecnica su SymantecScheda tecnica su Central CommandPreleva la Cura by SymantecScheda su Microsoft TechnetPatch per SQL Server 2000 e MSDE 2000 (Inglese)

IIS Worm, “CodeRed” I e II

Virus pericoloso che affligge IIS nei sistemi operativi Windows NT, 2000 e XP. Sotto i links alle security patches rilasciate da Microsoft. In data 4 Agosto 2001 è stato scoperto Code Red II e prontamente Symantec ha fornito la cura (valida anche per la versione I). Patch Windows NT4 EnglishPatch Windows 2000 EnglishPatch Windows 2000 ItalianoScheda tecnica Symantec Code Red IICura predisposta da SYMANTECCura predisposta da CENTRAL COMMAND

W32.Klez.H@mm

Nuovissima variante del terribile Klez! Ora il virus è capace di: replicarsi via e-mail tramite un autonomo engine SMTP, propagarsi attraverso le condivisioni di rete (come Nimda), infettare eseguibili di sistema con crittografia (come Magistr). Klez si esegue allo startup di Windows (il file infetto si chiama Wink*.exe) ed è in grado di paralizzare il sistema operativo. Ciò che colpisce di questo Virus è che è in grado di replicarsi a nome e per conto di mittenti ignari, sfruttando il proprio engine SMTP, senza che questi abbiano il pc infetto, semplicemente sfruttando i nominativi contenuti nella rubrica di Outlook o Outlook Express dello sfortunato possessore del pc contagiato. Il consiglio che possiamo dare è di riavviare in modalità provvisoria e lanciare il fix di Symantec e per gli utenti di MS Outlook di aggiornare il prodotto attraverso il Sito di Microsoft Office Update. Scheda tecnica su SymantecPreleva la Cura by Symantec

W32.Yaha.L@mm

Symantec ha rilasciato un nuovo fix le varianti J, K, L del Worm Yaha! Le nuove varianti di Yaha sono particolarmente insidiose perché in grado di terminare effettivamente i processi locali relativi ad antivirus e firewall. Il virus arriva come attachment dal nome random, principalmente con estensione .scr (ma può essere anche .exe o .com o altro programma eseguibile). Se la data del sistema è il 22 o il 25 marzo, il virus, una volta eseguito, fa apparire il popup “Happy Birthday Dear”. Nel giorno di Giovedì viene modificata la home page predefinita del browser (viene inserito un sito di hacking), la cartella predefinita dei “Documenti” (insieme alle dipendenze) viene modificata negli attributi come “hidden” e viene creato sul desktop un file “aYeHS.txt”. Una volta eseguito il virus si annida nella directory %System% con i nomi “WinServices.exe”, “Nav32_loader.exe”, “Tcpsvs32.exe” e si inserisce nei registri di sistema in autorun, nonché nella shell di esecuzione dei file .exe (HKEY_LOCAL_MACHINE Software Classes exefile shell open command). Come le precedenti versioni, il virus è dotato di autonomo engine SMTP e si autoreplica a tutti gli indirizzi di posta elettronica presenti nella rubrica di Windows, nonché ai contatti di Microsoft Messenger, di Yahoo Messenger, di ICQ, e a tutti gli indirizzi e-mail contenuti in pagine .ht*! Scheda tecnica su SymantecPreleva la Cura by Symantec

Win32.Invalid.A@mm

Virus pericoloso (visto il presunto mittente) che si propaga attraverso un’e-mail avente le seguenti caratteristiche. Mitt.: “Microsoft Support” support@microsoft.com. Subject: Invalid SSL Certificate. Attachment: sslpatch.exe. Quando l’attachment è eseguito il virus cerca una connessione Internet attiva e se la trova si autoreplica a tutti gli indirizzi di posta elettronica reperiti in pagine html contenute nella cartella “documenti”. Ma l’aspetto più dannoso è che il virus riesce a criptare tutti i files .exe contenuti nella stessa directory o in sottocartelle, rendendoli inutilizzabili. Scheda tecnica su CENTRAL COMMAND