[OT] Numerosissimi virus via mail in arrivo.....

Discussione in 'Piazza Affari - Indici, futures, ETF, ETC' iniziata da giuseppe.d'orta, 22 Aprile 2002.

    22 Aprile 2002
  1. giuseppe.d'orta

    giuseppe.d'orta New Member

    Registrato:
    7 Gennaio 2000
    Messaggi:
    11.494
    .....lo scrivo qui perché quasi tutti i miei contatti mail sono partecipanti ai forum, quindi credo la questione sia comune, molto probabilmente.

    Da 48 ore sto ricevendo una valanga di mail contenenti virus.

    Alcune solo le solite "How are you?", "Party", ecc. mentre ce ne sono altre (la maggioranza) parecchio subdole: si presentano come avvisi di mancato recapito di mail che hai (avresti) spedito, tornate indietro per destinatario sconosciuto, mail non capiente, ecc.

    Ovviamente, tali mail hanno tutte degli allegati.


    Esempio: solamente dalle 20 alle 21 ho ricevuto 3 mail infette del genere "mail tornata al mittente":

    Mail Delivery Subsystem <MAILER-DAEMON> Returned mail: Service unavailable 20:57 143 KB

    Mail Delivery Subsystem <MAILER-DAEMON> Returned mail: User unknown 20:32 157 KB

    Mail Delivery Subsystem <MAILER-DAEMON> Returned mail: User unknown 20:09 130 KB


    Occhio ancora più del solito, quindi.
     
  2. 22 Aprile 2002
  3. Red Erik

    Red Erik New Member

    Registrato:
    4 Gennaio 2001
    Messaggi:
    345
    Occupazione:
    Mulo di stabilimento
    Località:
    Vicenza
    Mi aggiungo: l'ultima trovata e' una mail che nel mittente ha symantec.com e invita a scaricare dal sito la soluzione all'ultimo virus.
    Ovviamente c'e' un allegato.

    Cancellatela e vivete sonni tranquilli.
     
  4. 23 Aprile 2002
  5. Carlo Tonini

    Carlo Tonini New Member

    Registrato:
    6 Gennaio 2000
    Messaggi:
    944
    Occupazione:
    Albergatore
    Località:
    Rimini
    Grazie Voltaire dell'avviso,
    arrivata una pure a me,

    bye, :D
     
  6. 23 Aprile 2002
  7. fo64

    fo64 New Member

    Registrato:
    4 Gennaio 2001
    Messaggi:
    20.145
    Località:
    Milano, Italia
    E' il virus "klez" e le sue più recenti varianti.
    Oltre a spedirsi agli indirizzi della rubrica del pc infettato fa una cosa molto divertente :( ... cambia gli header del messaggio di posta con cui si spedisce, pescandolo a caso nella rubrica.
    In pratica i msg che hai ricevuto ieri potrebbero essere partiti dal pc di qualche tuo amico ma con il tuo nome.
    Provate a leggere qui se siete interessati:

    http://punto-informatico.it/p.asp?i=39867

    Un saluto a tutti

    Fo64
     
  8. 23 Aprile 2002
  9. fo64

    fo64 New Member

    Registrato:
    4 Gennaio 2001
    Messaggi:
    20.145
    Località:
    Milano, Italia
    per maggiore informazione copio-incollo questo msg dal newsgroup it.comp.sicurezza.virus

    ----------------

    [email protected]
    Cosa fa.

    Klez.H scansiona la rubrica di Outlook, i contatti di ICQ, i file in locale e utilizza un proprio server SMTP per inviarsi a tutti gli indirizzi come allegato di una email infetta.
    Il nome dell'allegato, così come le caratteristiche delle email, sono
    casuali. Anche questa versione di Klez sceglie come indirizzo mittente uno
    qualsiasi degli indirizzi individuati sul computer dell'utente infetto.
    Questo significa che quando si riceve l'email infetta questa può essere
    stata inviata da un mittente assolutamente estraneo a quello riportato nell'email.
    Klez.H tenta di disabilitare le funzionalità antivirus dei prodotti di difesa eventualmente installati sul computer Windows aggredito.
    Fatto questo, il worm provvede ad auto-copiarsi su tutti i supporti che individua, in locale o in rete, infilando in quella sede un file riconoscibile da una doppia estensione casuale, come.txt.exe o.txt.rar.
    Una volta dentro, come detto, il worm scansiona i file più comuni, da quelli.html a quelli.exe passando per.doc,.asp e persino per.mp3 a caccia di indirizzi email a cui auto-inviarsi per tentare di infettare il più alto numero possibile di computer.
    Non contento, il worm infetta gli eseguibili creando una copia nascosta del file originale prima di riscriversi direttamente sopra di esso... La copia nascosta viene criptata ma non è virale.
    Symantec spiega anche che il nome del file nascosto è lo stesso del file originale ma ha una estensione casuale.
    Infine, nella cartellina dedicata di default ai programmi (spesso c:programmi), il worm infila anche il virus W32.Elkern.

    Come riconoscere una mail infetta.
    Il soggetto del mail è uno dei seguenti:

    a.. Undeliverable mail--"[Random word]"
    b.. Returned mail--"[Random word]"
    c.. a [Random word] [Random word] game
    d.. a [Random word] [Random word] tool
    e.. a [Random word] [Random word] website
    f.. a [Random word] [Random word] patch
    g.. [Random word] removal tools
    h.. how are you
    i.. let's be friends
    j.. darling
    k.. so cool a flash,enjoy it
    l.. your password
    m.. honey
    n.. some questions
    o.. please try again
    p.. welcome to my hometown
    q.. the Garden of Eden
    r.. introduction on ADSL
    s.. meeting notice
    t.. questionnaire
    u.. congratulations
    v.. sos!
    w.. japanese girl VS playboy
    x.. look,my beautiful girl friend
    y.. eager to see you
    z.. spice girls' vocal concert
    aa.. japanese lass' sexy pictures

    Occorre tenere presente che se si utilizza l'outlook express 5.01 o 5.5 e non si è applicata la patch disponibile qui, il virus entra in esecuzione con la semplice visualizzazione dell'anteprima.

    Come pulire un sistema infetto.
    Se il vostro antivirus è ancora funzionante, aggiornate immediatamente le definizioni virali in modo da poterlo riconoscere e cancellare. Dopo l'aggiornamento occorre procedere alla scansione completa del sistema e rimuovere tutti i file che risultano infetti.
    Se però il sistema è stato riavviato più volte dal momento dell'infezione è probabile che l'antivirus abbia cessato di funzionare e
    quindi si dovrà procedere ad una pulizia manuale prima di disinstallare e poi reinstallare l'antivirus.
    Sul sito web della symantec è disponibile una procedura per la rimozione manuale del virus, non è però garantito che funzioni in ogni caso.
    http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

    Personalmente ho pulito con successo un sistema infetto e con l'antivirus disattivato, il sistema operativo era windows 98 SE:

    1.. All'avvio del sistema tenere premuto il tasto [Control] (F8 nel caso di win95).

    2.. Apparirà un menu con varie opzioni di avvio, scegliere prompt dei comandi con supporto di rete.

    3.. c:windowstemp per andare nella cartella dei file temporanei e rimuovere tutti i file che vi si trovano.

    4.. c:progra~1 per andare nella cartella programmi e rimuovere eventuali eseguibili presenti direttamente nella cartella (la ~ si ottiene premendo control+126 sul tastierino numerico).

    5.. Per individuare la presenza di file nascosti e di sistema dare il comando dir *.* /a:s /s occorre prendere nota di tutti i nomi di file che si trovano e in quale cartella sono collocati. Se alla porta parallela è collegata una stampante dare il seguente comando dir *.* /a:s /s >lpt1 per
    ottenere una stampata, per espellere il foglio potrebbe essere necessario il
    comando di espulsione carta posto sul pannello frontale della stampante.

    6.. Ad ogni file precedentemente trovato corrisponde un file .exe con lo stesso nome e nella stessa cartella: es se in c:progra~1qwe c'è un file load.wed allora il quella stessa cartella c'è anche load.exe, sono da
    eliminare entrambi per poi reinstallare il programma colpito.

    7.. Per eliminare i file di sistema occorre prima usare il comando attrib in modo da sproteggere il file. Nell'esempio del punto precedente attrib -s -h -r load.wed quindi del load.wed e del load.exe

    8.. c:windowssystem e quindi dir wink*.exe /a se si trovano uno o
    più file occorre eliminarli, dare i comandi attrib -s -h -r wink*.exe e del wink*.exe

    9.. Ora si riavvia il sistema e se non si è dimenticato nessun file è impossibile per il virus ritornare in memoria, disinstallare e poi reinstallare l'antivirus aggiornando immediatamente le definizioni virali.

    10.. Scansionare tutti i dischi con l'opzione tutti i file indipendentemente dall'estensione.

    11.. Reinstallati i programmi danneggiati il sistema è recuperato al 100%. Se necessario installare la patch per internet explorer 5.01 o 5.5.

    ----------------

    Un saluto a tutti

    Fo64
     
  10. 23 Aprile 2002
  11. csquare

    csquare New Member

    Registrato:
    7 Gennaio 2000
    Messaggi:
    58
    E chi ha la versione 6 è protetto dalla attivazione in "anteprima"?
    Ciao
     
  12. 24 Aprile 2002
  13. fo64

    fo64 New Member

    Registrato:
    4 Gennaio 2001
    Messaggi:
    20.145
    Località:
    Milano, Italia
    secondo Microsoft si, resta da appurare se sia il caso di fidarsi :)
    Nel caso di dubbi, Symantec (quella di Norton Antivirus) ha realizzato una piccola applicazione scaricabile gratuitamente dall'indirizzo

    http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

    che provvede a cercare sul pc qualsiasi traccia del virus klez nelle sue diverse versioni e rimuoverlo.
    Un saluto a tutti

    Fo64
     
  14. 24 Aprile 2002
  15. giuseppe.d'orta

    giuseppe.d'orta New Member

    Registrato:
    7 Gennaio 2000
    Messaggi:
    11.494
  16. 24 Aprile 2002
  17. csquare

    csquare New Member

    Registrato:
    7 Gennaio 2000
    Messaggi:
    58
    Usando ZoneAlarm scaricabile gratuitamente da
    www. zonelabs.com
    è possibile attivare l'opzione che "trasforma" qualsiasi file allegato sospetto in una versione inoffensiva (salva la possibilità di ripristinarne lo stato originale).
     
  18. 25 Aprile 2002
  19. giuseppe.d'orta

    giuseppe.d'orta New Member

    Registrato:
    7 Gennaio 2000
    Messaggi:
    11.494

    Quale funzione?

    Verifico se e' attiva.

    Domani mattina leggo la risposta, pero'...grazie.

    :D
     

Utenti che hanno già letto questo Thread (Totale: 0)

Condividi questa Pagina