W32.Mimail.A@mm

Il worm W32.Mimail.A è un virus che si propaga via e-mail e ruba informazioni dai pc nei quali si annida. Il soggetto della mail inviata è “your account” più una stringa casuale, mentre l’attachment è sempre il file “message.zip”. Il virus è capace di colpire ogni sistema operativo Microsoft Windows a partire da Windows 95. Ciò che rende subdolo il worm è la sua capacità di annidarsi nei registri (HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run) come “VideoDriver” = “%Windir%videodrv.exe”, per ingannare gli utenti. E’ raccomandabile aggiornare Outlook Express con la patch indicata di seguito per prevenire le infezioni virali, considerato che il worm sfrutta due exploit documentati da Microsoft. Di seguito viene anche indicata la cura predisposta da Symantec per la rimozione del virus. Scheda tecnica su SymantecPatch Microsoft per Outlook ExpressPreleva la Cura by Symantec

W32.Blaster.Worm

Virus a larghissima scala scoperto in data 11-08-2003. Sfrutta un baco della procedura di RPC (Remote Procedure Call). Il worm causa lo spegnimento del pc (shutdown) attivando un servizio RPC (ad es. la connessione ad internet) e adopera la porta TCP 135. Colpisce i sistemi operativi Windows 2000 e Windows XP, nonché i sistemi operativi Windows NT 4.0 e Windows Server 2003. Il virus si annida nella cartella %WinDir%system32 col nome “msblast.exe”. Non si autoreplica via e-mail. Una volta eseguito, il worm provoca un attacco di tipo DoS verso il sito Microsoft di Windows Update. Microsoft ha rilasciato prontamente un aggiornamento dei sistemi operativi in grado di fermare preventivamente il virus. Scheda tecnica su SymantecPatch per Windows XP Home e Professional 32 bit (italiano)Patch per Windows 2000 (italiano)Preleva la Cura by SymantecScheda su Microsoft Technet

Amstrad Lettore DIVX DX 3014

Lettore DVD (region free) dotato del chip Sigma 8500 per la decodifica dei flussi video mpeg 4 (MPEG, DIVX e XVID). Supporta i formati: MPEG4, DIVX (.avi), XViD (.avi), DVD, SVCD, VCD, CD Audio, MP3 (con riconoscimento degli ID3-TAG), DVD-R, DVD-RW, CD-R, CD-RW, Kodak Picture CD (immagini .JPG). Supporta gli standard PAL e NTSC, 4:3 e 16:9. Dotato di uscite coassiale digitale ed ottica, scart (RGB), Video Composito, S-Video, RCA Audio. Tramite aggiornamento del Firmware (allegato nella sezione Hardware) supporta i Codec Video Divx versioni 3.xx, 4.xx e 5.xx. Supportato anche il codec XVID. Il prezzo consigliato per il lettore MPEG4 Amstrad DX 3014 è di 199 €, on line e nelle grosse catene di distribuzione.

W32.Sobig.E@mm

Nuovissima variante di Sobig ad altissima propagazione. Anche in questa versione il worm Sobig, una volta eseguito, si autoreplica agli indirizzi di posta elettronica contenuti in file aventi ad estensione: .wab, .dbx, .htm, .html, .eml, .txt. L’e-mail contenente l’attachment virale apparentemente proviene da support@yahoo.com. Gli attachment sono file .zip: Your_details.zip (contains Details.pif) – Application.zip (contains Application.pif) – Document.zip (contains Document.pif) – Screensaver.zip (contains Sky.world.scr) – Movie.zip (contains Movie.pif). Il worm si disattiva giorno 14 luglio, fino ad allora resta pericoloso per l’elevata capacità di riprodursi. Scheda tecnica su SymantecPreleva la Cura by Symantec

Microsoft rimuove Java dal Service Pack 1 per Windows XP!

A seguito delle vicende giudiziarie della causa SUN / Microsoft, il colosso di Redmond ha dovuto rimuovere dal Service Pack 1 per Windows XP la Java Virtual Machine, rilasciando il nuovo “SP1a” che non si differenzia in nulla da SP1 se non per l’esclusione di JVM. L’aggiornamento a “SP1a” non deve essere effettuato da parte di utenti che abbiano già installato SP1, i quali potranno continuare a scaricare gli aggiornamenti per JVM attraverso Windows Update. Indichiamo di seguito i link per il nuovo SP1a (Installazione Express), per quegli utenti che ancora non avessero installato il Service Pack 1 (per sapere se SP1 è già stato installato su XP, basta cliccare col tasto destro su “Risorse del Computer” -> “Proprietà). Indichiamo altresì il link per scaricare la Java Virtual Machine di SUN, avvertendo gli utenti che le due virtual machine (Microsoft e Sun) possono coesistere solo a patto di escluderne una.
Windows XP Service Pack 1a (english) (1982 KB)
Windows XP Service Pack 1a (italiano) (1970 KB)
SP1a per Windows XP (english)SP1a per Windows XP (italiano)SUN Java Virtual Machine

W32.Bugbear.B@mm

Nuovissima variante di Bugbear ad altissima propagazione, scoperta in data 4 giugno 2003! Si tratta di un virus polimorfico ad elevatissima diffusione. Si propaga attraverso le condivisioni di rete; infetta gli eseguibili; termina i processi degli antivirus; ha funzionalità di backdoor e keylogger. Si annida in attachment di 72192 bytes a doppia estensione (quella finale è .pif, .scr o .exe). Una volta eseguito crea il file Cyye.exe o Cti.exe che si avvia ad ogni startup di Windows. E’ dotato di proprio engine SMTP che gli consente di autoreplicarsi a tutti gli indirizzi e-mail reperiti sul disco rigido (nella inbox e nei database di posta). Infetta numerosi eseguibili di sistema. Scheda tecnica su SymantecPreleva la Cura by Symantec

W32.Sobig.B@mm

W32.Sobig.B@mm è un virus a propagazione di massa assai diffuso via e-mail in questo ultimo periodo. Il virus si autoreplica a tutti gli indirizzi di posta elettronica contenuti in file aventi come estensioni: .wab, .dbx, .htm, .html, .eml, .txt. La e-mail contenente il virus appare come proveniente da “support@microsoft.com” e questo può trarre in inganno gli utenti ignari. Il subject della e-mail è uno dei seguenti: – Your details Approved (Ref: 38446-263) – Re: Approved (Ref: 3394-65467) – Your password – Re: My details – Screensaver – Cool screensaver – Re: Movie – Re: My application. L’attachment virale ha estensione .pif. Il virus non si attiva più a partire dal 31 maggio 2003. Si annida nei registri (a anche nel menu avvio se l’infezione è stata contratta via network) in esecuzione automatica (il file che si esegue ad ogni startup è “msccn32.exe”). Il virus, una volta eseguito, tenta di scaricare varie pagine da GeoCities. Scheda tecnica su SymantecPreleva la Cura by Symantec

W32.Yaha.L@mm

Symantec ha rilasciato un nuovo fix le varianti J, K, L del Worm Yaha! Le nuove varianti di Yaha sono particolarmente insidiose perché in grado di terminare effettivamente i processi locali relativi ad antivirus e firewall. Il virus arriva come attachment dal nome random, principalmente con estensione .scr (ma può essere anche .exe o .com o altro programma eseguibile). Se la data del sistema è il 22 o il 25 marzo, il virus, una volta eseguito, fa apparire il popup “Happy Birthday Dear”. Nel giorno di Giovedì viene modificata la home page predefinita del browser (viene inserito un sito di hacking), la cartella predefinita dei “Documenti” (insieme alle dipendenze) viene modificata negli attributi come “hidden” e viene creato sul desktop un file “aYeHS.txt”. Una volta eseguito il virus si annida nella directory %System% con i nomi “WinServices.exe”, “Nav32_loader.exe”, “Tcpsvs32.exe” e si inserisce nei registri di sistema in autorun, nonché nella shell di esecuzione dei file .exe (HKEY_LOCAL_MACHINE Software Classes exefile shell open command). Come le precedenti versioni, il virus è dotato di autonomo engine SMTP e si autoreplica a tutti gli indirizzi di posta elettronica presenti nella rubrica di Windows, nonché ai contatti di Microsoft Messenger, di Yahoo Messenger, di ICQ, e a tutti gli indirizzi e-mail contenuti in pagine .ht*! Scheda tecnica su SymantecPreleva la Cura by Symantec

W32.SQLExp.Worm

W32.SQLExp.Worm è un virus ad alta propagazione scoperto in data 24-01-2003. Colpisce i server su cui gira Microsoft SQL. Il virus non registra alcun file su disco rigido ma si installa in memoria e crea una notevole mole di traffico verso diversi IP sulla porta 1434 UDP, creando a tutti gli effetti un “Denial Of Service”. La Microsoft raccomanda agli amministratori di sistema di installare subito la security patch (di seguito trovate indicato il link). Symantec raccomanda, inoltre, di bloccare via firewall il traffico sconosciuto sulla porta 1434 UDP, perché al momento non esiste alcun fix, in considerazione della peculiarità del virus che risiede in RAM e non lascia file infetti sul disco rigido. Il virus infetta solo i sistemi operativi Windows NT, Windows 2000 e Windows XP. Scheda tecnica su SymantecScheda tecnica su Central CommandPreleva la Cura by SymantecScheda su Microsoft TechnetPatch per SQL Server 2000 e MSDE 2000 (Inglese)

W32.HLLW.Winevar (W32.Funlove.4099)

W32.HLLW.Winevar è un virus a propagazione di massa che disabilita alcuni programmi di antivirus e firewall e manda a sua volta in esecuzione il virus W32.FunLove.4099. W32.HLLW.Winevar arriva in una e-mail contenente 3 attachment, dai nomi variabili ma che rispettano il seguente formato: 1) Win.Txt (12.6 KB) Music_1.htm 2) Win.Gif (120 Bytes) Music_2.ceo 3) Win.pif. Una volta eseguito il virus compie notevoli danni: a) cancella tutti i files contenuti nelle directory il cui nome contenga “antivirus”, “cillin”, “nlab”, “vacc” b) se i tempi di caricamento del SO sono lunghi, il virus prova a cancellare tutti i files contenuti in tutte le directory del disco rigido! c) manda in esecuzione il virus W32.Funlove.4099 che infetta a sua volta i files d) può rallentare pesantemente il sistema operativo fino a paralizzarlo del tutto (quando un numero notevole di files di sistema è stato cancellato!). L’oggetto della e-mail è: Re: AVAR(Association of Anti-Virus Asia Reseachers) oppure N`4?[registered organisation oppure “Trand Microsoft Inc.”]. Gli attachment hanno le seguenti dimensioni: 91089 bytes (.ceo e .pif) e 609 bytes (.htm). Il virus quindi si annida nei registri nella chiave di RUN e lancia all’avvio di Windows il popup “Make a fool of oneself” recante il messaggio “What a foolish thing you have done”! Se il sistema operativo è stato fortemente compromesso l’unico rimedio è quello di reinstallarlo. Di seguito trovate comunque il fix rilasciato da Symantec. Scheda tecnica su SymantecPreleva la Cura by Symantec