Allerte Ultimi Virus

Worm KELVIR.G

30 Mar 2005 20:30:53 GMT

Questo worm si diffone atraverso MSN. Invia a tutti gli utenti MSN online dei messaggi per convincerli a scaricare il worm stesso da un'indirizzo web che � contenuto nei messaggi inviati.

Worm KRYNOS.B

29 Mar 2005 20:20:22 GMT

Questo worm si difonde sfruttando le reti peer-to-peer lasciando un file ZIP in apposite directory.
Inoltre si diffonde via email inviando un'email come la seguente:

Da:
security@microsoft.com

A:
un'indirizzo ottenuto da file HTM o TXT preensti sul sistema infetto

Oggetto: Microsoft Security Update

Corpo del messaggio:
* "Vulnerability in Windows Explorer Could Allow Remote Code Execution (612827)"
Affected Software:
* Impact of Vulnerability: Remote Code Execution
* Importance: High
* Maximum Severity Rating: Critical
* Recommendation: Customers should apply the attached update at the earliest opportunity
* Summary:
* Who should read this document: Customers who use Microsoft Windows
* X-Mailer: Secure Microsoft Client, Build 2.1
* X-MimeOLE: Produced By Secure Microsoft Client V2.1
* X-MSMail-Priority: High
* X-Priority: 1 (Highest)

Allegati di tipo:
ARC
ARJ
GZ
LZH
TGZ
ZIP
ZOO

Worm MYTOB

28 Mar 2005 14:45:12 GMT

Questo worm si diffonde attracerso le condivisioni di rete sfruttando la vulnerabilit� LSASS dei sistemi windows.
Cerca anche di inviarsi ad altri utenti attraverso messaggi email contenti:

Oggetto:

Error
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status

Corpo sel messaggio:

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The original message was included as an attachment.
Here are your banks documents.

Allegato:

body
data
doc
document
file
message
readme
test
text

cun uno delle seguenti estensioni:

Al momento sono presenti diverse varianti dei questo worm.

Questo worm install una backdoor sul pc infetto permettendo l'esecuzione di programmi da sistemi remoti.
Inoltre modifica il file HOST del computer per imperdire l'accesso ai siti dei fornitori di software antivirus in modo da rendere impossibile l'aggiornamento di questi programmi.

Worm BEAKER.A

24 Dec 2004 20:29:05 GMT

Questo worm si propaga attraverso le email.
Non sfrutto alcun bug di windows ma di diffonde utilizzando "l'ingegneria sociale": si replica inviandosi, come allegato, agli indirizzi di posta che trova sul vostro pc inserendo una email il cui contenuto � ideato per invogliare l'utente ad aprire l'allegato infetto.
In questo caso aggiunge al corpo del messaggio delle frasi che affrermano che il contenuto � stato controllato da un antivirus, allo scopo di far pensare all'utente di essere al sicuro.
Per controllare se il vostro computer � infetto, cercate il file B6.LOG nella direcotry temporanea di Windows, oppure il file CODM nella cartella di Windows.
Questo worm si copia in diverse cartelle del vostro hard disk con nomi casuali. questo lo rende difficile da identificare.
Questo worm funziona su Windows 95, 98, ME, NT, 2000, e XP.

Worm MUGLY.C

21 Dec 2004 18:12:13 GMT

Questo worm si replica via email.
Modifica il file HOSTS di windows per impedire l'accesso ai siti dei fornitori di antivirus ed ad alcuni siti di sicurezza informatica.
Per ripristinare il file HOSTS aprite il file (potete trovarlo utilizzando la funzione di ricerca file di Windows) utlizzando Notepad e eliminate le seguenti righe:
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 update.symantec.com
127.0.0.1 downloads-us2.kaspersky-labs.com
127.0.0.1 downloads-us3.kaspersky-labs.com
127.0.0.1 downloads-us4.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 symantecliveupdate.com
127.0.0.1 symatec.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 ftp.downloads1.kaspersky-labs.com
127.0.0.1 tony@hotmail.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 ftp.downloads2.kaspersky-labs.com
127.0.0.1 ftp.downloads3.kaspersky-labs.com

Il worm si salva sul hard disk del vostro pc usando il nome XXZ.TMP oppure WINPROTECT.EXE.
questo worm funziona su sitemi Windows 95, 98, ME, NT, 2000 eXP.

Worm ZAFI.D

15 Dec 2004 20:44:37 GMT

Questo worm arriva con una mail scritta in differenti lingue a seconda del dominio internet del destinatario.
si spedisce agli indirizzi email che trova sugli hard disk del computer e le email sembrano provenire da indirizzi web conosciuti.
Installa una backdoor sull porta TCP 8181 del computer permettendo di uploadare files sul Pc.
Per render pi� difficile la sua disattivazione termina tutti i programmi sul pc che contengono nel loro nome msconfig reged o task, permettendogli di fermare il registry editor, il task manager e l'utilit� di configurazione di sistema.
Si copia nelle cartelle il cui nome contiene share, upload o music diffondendosi cos� anche attraverso i network di condivisione di file peer to peer.
Si copia sull'hard disk del computer con il nome NORTON UPDATE.EXE e oppure come file .DLL con nome casulae di 8 caratteri.
Questo worm infetta sistemi Windows 98, ME, NT, 2000 e XP.

Worm ATAK.E

14 Dec 2004 20:18:22 GMT

Questo Worm e molto simile al worm ATAK.D Il worm Arriva come un allegato ZIP di una email simile alla seguente:

Oggetto: <uno dei seguenti>
Time is running out!
Second Match!

Testo del messaggio:
Greet to you <nome utente>
Congratulation! Your account has been upgraded with our new services.
Please visit our website at http://www. to know about our features.
Your account info:
>> Email:
>> Password: <casuale>
Visit our website to get more info at: http://www.<dominio web>
NOTE: All your account information has been attached as a file and ready to be printed.
Regard,
<nome casuale> Services Team

Allegato: <nome casuale>.ZIP

Aprendo il file zip troverete un file dal nome casuale e con una delle seguenti estensioni: BAT COM EXE PIF SCR .

Worm BAGZ.I

14 Dec 2004 21:06:01 GMT

Questo worm si diffonde via email utilizzando gli indirizzi email che trova sul vostro computer.
Le mai sembreranno arrivare da indirizzi di posta di utenti conosciuti.
L'allegato contenente il worm pu� essere un file .ZIP oppure un file con una doppia estensione, come ad esempio allegato.doc .exe, cercando cos� di confondere l'utente.
Il worm cerca inoltre di eseguirsi automaticamente sfruttnato la vulnerabilit� delle intestazioni MIME di Outlook.
Potete verificare la presenza del worm sul vostro pc cercando nelle cartelle di sistema di windows i seguenti file:
DL.EXE
SYSLOGIN.EXE
TUTORIAL.DOC <spazzi> .DOC
Il worm infetta sistemi Windows 95, 98, ME, NT, 2000 e XP.

Worm MASLAN.A

14 Dec 2004 20:05:48 GMT

Questo worm arriva con una mail simile a questa:

Oggetto: <nome casuale>
Testo del messaggio: Hello <nome casuale>,
Best regards,
<nome casuale>
Allegato: PlayGirls2.exe

Il worm cerca gli indirizzi email a cui inviarsi sul vostro Pc.
Utilizza la vulnerabilit� RPC/DCOM di Windows per infettare il sistema.
Oltre a replicarsi via mail effettua attacchi Denial of Service verso alcuni siti web e installa una backdoor sul vostro computer che permette ad eventuali malintenzionati di ottenere il controllo del vostro Pc.

Infetta sistemi Windows 95, 98, ME, NT, 2000 e XP.

Worm ATAK.D

14 Dec 2004 19:48:49 GMT

Questo worm usa deell routene SMTP proprie per diffondersi via mail.
Si autoinvia a tutti gli indirizzi che � in grado di trovare sugli hard disk del computer.
Usa le vulnerabilita intestazioni MIME e IFrame di Outlook per infettare il sistema.
Il worm arriva sul sistema con un amail simile a questa:

Oggetto:
It�s begin here! <oppure> First Match

Testo del Messaggio:
Hello <il vostro nome>
Your request has been accepted
Your account info:
> Email:
> Password: <casuale>
Visit our website to get more info at:
http://www. NOTE: All your account information has been attached as file and ready to be printed.

Allegato:
nome causuale con una delle seguenti estensioni .BAT .COM .EXE .PIF .SCR

Infetta sistemi che usano Windows NT, 2000 oppure XP.

Worm RBOT.AEF

14 Dec 2004 19:33:24 GMT

Questo worm si diffonde attraverso le condivisioni di sistemi Windows 98, 2000, and XP.
Copia se stesso nelle condivisioni di rete e se queste sono prottette, usa una serie dipassword molto comuni per ottenere l'accesso alle risorse del sistema.
A questo punto si connette ad un canale IRC in attesa di comandi, permettendo ad eventuali malintenzionati di controllare il computer a distanza.

Inoltre inoltra sul canale IRC gli indirizi di eventuali pc vulnerabili ai seguenti bug di windows:
RPC/DCOM
IIS/WebDAV
LSASS

Altri effetti sono di creare attacchi Denial of Service verso alcuni siti, inoltrare sul canale IRC i CD Key e numeri seriali dei vostri programmi.
Rimane in ascolto sulla vostra rete locale catturando le password che transitano.

Sober.I

30 Nov 2004 18:43:25 GMT

Si tratta di un virus che si propaga via email.
E' contenuto in una email con un oggetto simile ai seguenti:

*-*-* Mail_Scanner: No Virus
*-*-* >domain<- Anti_Virus Service
*-*-* http://www.>domain<

e contiene come allegato un file eseguibile.
Una volta eseguito l'allegato vi verr� presentata una finestra di errore di Windows contenete ul seguente testo:

"WinZip_Data_Module is missing"

A questo punto il vostro Pc � stato infettato.
Questo worm pu� infettare Windows 95, 98, ME, NT, 2000, and XP.