This is topic occhio al nuovo virus!! in forum Cubase per tutti i sistemi at I Forum di Cubase.it, il sito italiano su Cubase, Audio, MIDI e Home Recording.


To visit this topic, use this URL:
https://www.cubase.it/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=2;t=005252
Posted by jack daniel (Member # 3009) on 27. Gennaio 2004, 12:48:
 
ricevo e pubblico

UN WORM PERICOLOSO
------------------

E' stato scoperto nelle scorse ore ma ha gia' dimostrato grandissime capacita' di diffusione un worm, MyDoom.A, capace di compromettere la sicurezza dei sistemi che aggredisce e generare un attacco via Internet contro il sito www.Sco.com.

Per queste caratteristiche gli osservatori antivirus hanno gia' posizionato MyDoom.A tra i worm piu' pericolosi. MyDoom.A, noto anche come Novarg.A o MiMail.R, attacca tutti i sistemi Windows.

COME SI DIFFONDE
----------------

MyDoom utilizza i computer infettati per distribuirsi ulteriormente in rete, via email o attraverso i network del peer-to-peer.

In particolare, come molti altri worm, MyDoom scansiona i file del computer colpito a caccia di indirizzi di posta elettronica ai quali spedisce una email con un allegato che lo contiene. Aperto l'allegato, il worm si infila nel computer della sua vittima.

Oltre a diffondersi via email, MyDoom piazza una copia di se stesso anche nella cartellina condivisa di cui l'utente colpito potrebbe disporre se utilizza sistemi peer-to-peer come Kazaa. In quel caso il file infetto assume il nome di un software molto conosciuto, come Winamp piuttosto che ICQ, cercando di indurre cosi' gli altri utenti del peer-to-peer a scaricarlo ed attivarlo.

COME RICONOSCERLO
-----------------

Come molti altri worm, anche MyDoom inserisce un mittente casuale tra quelli trovati nel computer infettato per dare l'idea a chi lo riceve che il messaggio e' stato spedito da un apersona conosciuta.

Il soggetto del messaggio puo' essere uno tra i seguenti:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Mentre il testo dell'email puo' contenere una delle seguenti frasi:

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Anche il nome dell'allegato, ovvero del worm, varia ma la sua dimensione rimane sempre la stessa: 22.258 byte.

GLI EFFETTI DI MyDoom
---------------------

Una volta attivato, il worm apre le porte TCP dalla 3127 alla 3198, una procedura che mette a rischio l'integrita' del computer colpito in quanto potrebbe consentire ad un cracker o all'autore del worm di entrare nel sistema infetto.

La backdoor cosi' creata consente non solo di arrivare dall'esterno ai computer che sono connessi in rete con il computer infetto ma e' anche di eseguire sulla macchina colpita altri file scaricati da Internet.

Inoltre, MyDoom e' studiato per trasformare i computer infettati in macchine di attacco di rete: dal primo febbraio fino al 12 febbraio, infatti, MyDoom tentera' di far partire una aggressione di tipo distributed denial-of-service (dDoS) contro il sito www.sco.com. Si tratta di un attacco al quale parteciperanno tutti i computer infetti che spediranno ai server che gestiscono quel sito un alto numero di richieste nel tentativo di comprometterne il funzionamento e ostacolarne l'accesso.

Il 12 febbraio MyDoom cessera' qualsiasi attivita'.

INTERVIENE SUL REGISTRO
-----------------------

Quando viene attivato, MyDoom infila il file shimgapi.dll nella cartellina System di Windows. Nella stessa cartellina inserisce anche il file Taskmon.exe: se tale file gia' esiste dentro System il worm lo rimpiazza.

Shimgapi.dll altro non e' che una sorta di proxy server che apre le porte TCP e consente all'autore del worm di accedere da remoto alla macchina colpita o di farle scaricare ed eseguire file presi da Internet.

Dopo aver aperto le porte, Shimgapi si inserisce nel file di registro di Windows dove compie alcune modifiche e aggiunge anche il valore System\Taskmon.exe. Cosi' facendo prepara il computer colpito a partecipare all'attacco denial-of-service contro www.sco.com.

COME DIFENDERSI
---------------

Vista la natura sfuggente del worm, che presenta messaggi email sempre diversi o si maschera in file in apparenza innocui, e' necessario esercitare la massima prudenza, in particolare ricordando che le dimensione del file infetto che arriva allegato all'email sono, come detto, sempre le stesse.

Tutti i principali produttori antivirus hanno appena aggiornato le proprie definizioni contro MyDoom ed e' quindi bene procedere subito all'aggiornamento del software di protezione sul proprio computer.

Punto Informatico
 

Posted by vitus (Member # 2659) on 27. Gennaio 2004, 17:46:
 
HI, ho seguito tutta la procedura dal sito ufficiale di norton... per eliminare questo verme dal mio computer ma senza successo dato che il mio antivirus durante la scansione non ha rilevato niente, eppure ho seguito tutti gli steps consigliati sul loro sito. Cosa resta da fare? Ci sono altre vie? Vi prego per una possibile risposta.
 
Posted by ALYEN (Member # 3456) on 27. Gennaio 2004, 18:59:
 
ciao!
forse l'unica soluzione è ripristinare il sitema operativo alla versione di fabbrica,lo so è scomodo ma penso che possa funzionare
 
Posted by MercurY (Member # 108) on 27. Gennaio 2004, 22:20:
 
Ma che vi aspettate se continuate ad usare client x e-mail e p2p ?!?!?!
 
Posted by jack daniel (Member # 3009) on 28. Gennaio 2004, 10:39:
 
quote:
Originally posted by MercurY:
Ma che vi aspettate se continuate ad usare client x e-mail e p2p ?!?!?!

Ma non tutti sono cosi' smalizziati, anche con un client di mail e il P2P, non è detto che becchi i virus...
 

Posted by vitus (Member # 2659) on 28. Gennaio 2004, 11:40:
 
Interessante, riportare il sistema operativo alla versione di fabbrica cioè vale a dire riformattare. Ma abbiamo altre possibilità?
 
Posted by simon (Member # 1237) on 28. Gennaio 2004, 11:51:
 
mi è arrivato stamane per email da elementalaudio.com... ma non ci sono cascato. niente scarico dell'allegato, tutto subito nel cestino... speriamo bene.....
 
Posted by Nutshell (Member # 3190) on 28. Gennaio 2004, 11:58:
 
A me in questi giorni è arrivato una decina di volte, anche di più, ma l'ho buttato direttamente nel cestino. in ogni caso io ho il MAC, non windows. Potrei avere problemi anche io?
 
Posted by simon (Member # 1237) on 28. Gennaio 2004, 12:03:
 
in questo caso credo non esisti la par condicio...
 
Posted by vitus (Member # 2659) on 28. Gennaio 2004, 12:28:
 
Signori vediamo come affrontare il problema per chi ha il PC infetto, il Mac non ha questi problemi e chi è in possesso di questo tipo di sistemi dovrebbe saperlo.
 
Posted by Mofa (Member # 3082) on 28. Gennaio 2004, 17:00:
 
Basta virus passo la mia vita a togliere virus non ne posso più!!
Solitamente si infilano in questa chiave del registro dove stanno scritte tutte le applicazioni da avviare all'avvio di windows

Digitate regedit dal prompt dei comandi o da esegui
andate su questa chiave

HKEY_LOCAL_MACHINE>Software>microsoft>windows>current version>run

Vale per tutti i sistemi operativi win individuate la chiave che si riferisce all'eseguibile del virus (occhio a non cancellare cose che servono) e poi andate ad individuare l'eseguibile del virus sul disco cancellatelo e riavviate il pc.

Nello specifico il mydoom apre delle porte tcp dalla 3127 alla 3198 quindi per controllare se è attivo quando siete connessi digitate da un prompt il comando netstat e controllate tra i vari numeri che compaiono che non ci sia una porta aperta in questo range.
Comunque tutti i produttori di antivirus lo danno come eliminabile semplicemente con l'aggiornamento e la scansione del pc.

Vitus se hai fatto la scansine come fai a dire che hai il pc infetto?
 

Posted by Carlitos (Member # 713) on 28. Gennaio 2004, 17:30:
 
A me di queste e-mail ne sono arrivate 3-4 ma il mio antivirus (Norton) le ha bloccate subito e le ha messe in quarantena.
Posso stare sicuro?
 
Posted by vitus (Member # 2659) on 28. Gennaio 2004, 17:50:
 
Vitus se hai fatto la scansine come fai a dire che hai il pc infetto?[/QB][/QUOTE]

Ho fatto la scansione e i files sono stati messi in quarantena da norton poi li ho cancellati. Spero che sia tutto quì. Ma farei anche la verifica delle suddette porte ma non mi è chiara l'operazione, potresti schiarirmi le idee? Grazie Mofa

 

Posted by Mofa (Member # 3082) on 28. Gennaio 2004, 18:19:
 
Controlla solo se hai delle porte tcp aperte con netstat come sopra e se non hai quelle porte indicate vai tranquillo.
Comunqu il virus no fa un grosso danno (al massim ti rallenta internet) e a quanto dice symantecil 12 febbraio si dovrebbe fermare.
Se hai fatto la scansione e il norton lo ha beccato vai tranquillo, stamattina nho bonificato 35 pc con il norton ed è andato tutto a posto.
Comunque vediti questi siti http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/it-w32.novarg.a@mm.html
E se vui essere proprio sicuro qui c/è un tool di disinfezione specifico: http://www.symbolic.it/Rassegna/mydoom.html

Ciao
 

Posted by bigbeat (Member # 3436) on 28. Gennaio 2004, 23:13:
 
Ragazzi ho un dubbio atroce!
A me sono arrivati 5 e-mail sospette,delle quali 2 le ho aperte (ancora non avevo letto il post).Il testo presentava le stesse caratteristiche descritte da jack daniel,però non ho scaricato nè eseguito nessun allegato.
Ora quello che vorrei sapere è se il worm si becca anche solo aprendo l'e-mail oppure ci si infetta solo scaricando ed eseguendo l'allegato!!??
Tra l'altro ho anche eseguito la scansione con Norton Antivirus e non mi ha rilevato nulla di infetto.
Posso stare tranquillo?
Vi prego di rispondermi!!
GRAZIE!
CIAO.
 
Posted by Mofa (Member # 3082) on 29. Gennaio 2004, 18:05:
 
SE norton è aggiornato a oggi stai tranquillo
 
Posted by Daniel_e (Member # 2535) on 31. Gennaio 2004, 04:47:
 
quote:
Originally posted by bigbeat:
Ora quello che vorrei sapere è se il worm si becca anche solo aprendo l'e-mail oppure ci si infetta solo scaricando ed eseguendo l'allegato!!??
Tra l'altro ho anche eseguito la scansione con Norton Antivirus e non mi ha rilevato nulla di infetto.
Posso stare tranquillo?


No, io probabilmente me lo sono chiappato senza aprire gli allegati. Le e-mail che mi arrivano di questo tipo le apro, metto in posta indesiderata e le cancello subito. Solo che ho notato che almeno due avevano simboli, lettere e numeri. Non vorrei che me lo sono preso. Infatti ora non ho più la protezione del sistema da parte di Norton e non ho più la scansione delle e-mail in entrata. Altra cosa? Norton non mi rimane più aperto... 2-3 secondi e si chiude da solo. ho scaricato un'altro antivirus ma non mi a trovato nulla... che faccio? Spacco il computer a pedate? Mi sono rotto i cosidetti a passare più tempo sul sito di Norton che a fare musica!!! Ciao a tutti...
Daniel_e
 

Posted by Daniel_e (Member # 2535) on 31. Gennaio 2004, 04:49:
 
quote:
Originally posted by Mofa:
Digitate regedit dal prompt dei comandi o da esegui
andate su questa chiave

HKEY_LOCAL_MACHINE>Software>microsoft>windows>current version>run


Non me lo fa fare, si chiude la pagina in automatico dopo 2-3 secondi. Uguale al Norton
 

Posted by DjLucas (Member # 858) on 31. Gennaio 2004, 12:05:
 
grazie mille del vostro continuo aiuto...
io sono pieno di mail di questo tipo...
mo le cancello....
ciac
 


© 2000 - 2025. Il materiale di questo forum e del sito è di proprietà di chi scrive. Nel caso vogliate citare del contenuto, indicatene sempre la fonte.

Powered by Infopop
UBB.classicTM 6.3.1.2