Archivio

Posts Tagged ‘worm’

Siti pericolosi che circolano per la rete

28 Settembre 2006 Nessun commento
1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessun voto)
Loading...

Circolano per la rete alcuni siti che “google” indicizza molto bene, appena si apre la pagina a questi siti (se si usa internet explorer) vengono scaricate in automatico dei dialer, adware ecc ecc. Penso che installino tutto questo ben di dio attraverso il bug dei WMF che poi installa il solito linkoptimizer , con tutti i problemi che ne conseguono. Si raccomanda di fare attenzione a tutti i siti che presentano questa immagine. Si consiglia vivamente di usare un buon antivirus e di tenerlo aggiornato. Chi non avesse un antivirus vi consiglio di usare avast, antivirus gratuito per l’edition home (più volte menzionato nel mio sito).

siti
Aggiornamento del 05 ottobre 2006:
Su hackerjournal è apparso un articolo simile al mio in cui un lettore faceva notare la presenza nella rete di siti con indirizzo www843. ecc. ecc. che se aperti con windows e firefox installavano senza avvisare un malware sfruttando si presume il solito bug WMF che ormai dilaga. Inserisco l’immagine del sito. Si prega chiunque usi windows di non andare a visitare questi siti.
lasagna

LinkOptimizer da dove iniziare?

2 Settembre 2006 Nessun commento
1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessun voto)
Loading...

Da inizio anno i problemi per Windows Xp stanno aumentando a vista d’occhio, solo che invece dei soliti virus ora spuntano Trojan, Spyware, Rootkit ecc.. (chi più ne ha più ne metta).
La prima patch del 2006 è una patch per il motore di rendering di Windows e viene descritta nel primo bollettino di sicurezza Microsoft dell’anno, l’MS06-001: qui si spiega che la falla interessa praticamente tutte le versioni di Windows, tuttavia la patch è disponibile esclusivamente per gli utenti di Windows 2000, XP e Server 2003.
Attenzione che chi non installa questa patch, incorre in un grosso rischio di sicurezza in quanto un rootkit denominato Link Optimizer si installa sul vostro computer proprio sfruttando questa falla che non necessita dell’interazione dell’utente finale.
La rimozione poi del Rootkit risulta laboriosa ed estenuante in quanto è mutante presentandosi così in forme diverse, le più significative sono:
1) installa un servizio dal nome strano e che non può essere disabilitato ma levato solo da registro a mano,
2) crea un utente nuovo dal nome strano ed uguale al servizio installato,
3) installa nella cartella programmi e in programmi\file comuni\system alcuni exe strani,
4) installa chiavi di registro con il nome del servizio creato e con il nome dell’utente.
Vi consiglio di leggere questa semplice guida di steven per la rimozione (la guida anche se fatta bene è difficile da attuare e in alcuni passi non funziona correttamente). La miglior soluzione è utilizzare un punto di ripristino.
Gli antivirus non rilevano nulla di questo rootkit, solo avast (antivirus gratuito nella versione home edition, e che ho sempre consigliato di installare da 5 anni a questa parte,) riesce a indentificare un trojan generico che nella cartella \temp di windows e alcune dll strane che però appena rimosse si ricreano.
*******************
Ho trovato questa utility “VirIT Explorer” a pagamento ma che si può utilizzare per 30 gg tranquillamente, serve per levare queste schifezze dal pc. Dopo una scansione ha trovato trojant anche in programmi insospettabili. Non so se funzioni con Link Optimizer in quanto l’ho già levato a mano.

P.S. 01/09/2006 A me sembra che la patch per i WMF non serva a nulla in quanto ho beccato l’infezione dopo aver installato l’aggiornamento e questo non riesco a spiegarmelo. Devo capire come mai. Visto che è la seconda macchina che vedo infettata così.
Questo maledetto è veramente infestante e duro a morire, per pulire il registro ho impiegato un’ora, ho cercato prima le chiavi per l’utente che aveva creato ed eliminato ogni riferimento, poi ho cercato il nome del servizio creato e qui sono venuti i dolori, la cartella security per quel servizio è impostata con permessi tutti sbagliati e bisogna cambiarli per poterla eliminare. Che fastidio!
Ricordatevi di abilitare la visione di tutti i file nascosti di sistema per poter trovare traccia nella C:\Document and setting\ l’utente maligno.
Vi consiglio di leggere pure questo forum.

************************

Una ditta ha rilasciato un software che permette di rimuovere il linkoptimizer tramite un programma (non l’ho testato, ma nella rete ne parlano bene). Il tools è prodotto dalla ditta Prevex , lo potete scaricare al seguente link ed è completamente gratuito. Finalmente qualcuno che agevola il lavoro agli amministratori di sistema.
Ritengo in ultima battuta che il metodo suggerito da me tramite Virit Explorer e un pò di manualità sul registro di sistema da i migliori frutti!

W32.Blackmal.E@mm E’ Arrivato!

4 Febbraio 2006 Nessun commento
1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessun voto)
Loading...

Questo amato worm cancella ogni 3 del mese file con estensione .DMP, .DOC, .MDB, .MDE, .PDF, .PPS, .PPT, .PSD, .RAR, .XLS, .ZIP ( insomma tutti quelli più diffusi )…. Ah se usassi OpenOffice… quelli sarebbero salvi!
Il worm è noto anche come W32.Blackmal.E@mm, W32/Kapser.A@mm, W32/MyWife, Win32/Blackmal.F e infetta i sistemi operativi Windows 98, ME, NT, 2000, XP, Server 2003.
GREW.A si diffonde via email e attraverso le reti p2p, quindi prestate molta attenzione alle email con mittente sconosciuto, ma in special modo agli allegati.
Aggiornate al più presto l’antivirus, se possibile effettuate una scansione online e scaricate almeno un removal tool in modo da poter eliminare subito il worm in caso d’infezione.
Vi fornisco il link di casa Microsoft che parla di questo worm:
1) Link Advisory Microsoft
2) Remove Tool di F-Secure

Categorie:Informatica, Sicurezza, Windows Tag:

Worm che attacca AIM….

2 Gennaio 2006 Nessun commento
1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessun voto)
Loading...

IMlogic, azienda specializzata nello sviluppo di applicazioni per la sicurezza in ambito Instant Messaging, ha comunicato l’esistenza di un nuovo tipo di bot IM sulla rete. Il primo bot della famiglia è stato battezzato IM.Myspace04.AIM e può infettare gli utenti del sistema di IM di American Online.
La modalità di infezione avviene tramite un messaggio che dice di cliccare su un URL collegato ad un file.
In caso di contagio, il bot invia un messaggio predefinito agli altri utenti che fanno parte della lista dei contatti del client IM, per i quali il messaggio appare come inviato dall’utente ‘infetto’, ignaro di cosa stia accadendo. Il messaggio contiene un link che, se cliccato, scarica il bot sul pc del destinatario.
La novità di questo bot sta nel fatto che sa replicare ai messaggi: se chi riceve il primo messaggio ‘virale’ risponde con un suo messaggio, il bot replica nuovamente con un altro messaggio che, pur generico, simula una conversazione umana e quindi maschera ulteriormente il rischio di infezione.
Le frasi più comuni di risposta sono “lol thats cool” oppure “lol no its not a virus”.
Secondo IMlogic questo bot abbastanza innocuo (si propaga, ma non comporta danni) potrebbe essere un primo test di un nuovo tipo di minaccia che, se evoluta, potrebbe assumere forme più pericolose e installare spyware o keylogger sui pc infettati.
Link per avere maggiori informazioni sul worm.

Categorie:Informatica, Sicurezza Tag: ,