[OT] Numerosissimi virus via mail in arrivo..... (1 Viewer)

giuseppe.d'orta

Forumer storico
.....lo scrivo qui perché quasi tutti i miei contatti mail sono partecipanti ai forum, quindi credo la questione sia comune, molto probabilmente.

Da 48 ore sto ricevendo una valanga di mail contenenti virus.

Alcune solo le solite "How are you?", "Party", ecc. mentre ce ne sono altre (la maggioranza) parecchio subdole: si presentano come avvisi di mancato recapito di mail che hai (avresti) spedito, tornate indietro per destinatario sconosciuto, mail non capiente, ecc.

Ovviamente, tali mail hanno tutte degli allegati.


Esempio: solamente dalle 20 alle 21 ho ricevuto 3 mail infette del genere "mail tornata al mittente":

Mail Delivery Subsystem <MAILER-DAEMON> Returned mail: Service unavailable 20:57 143 KB

Mail Delivery Subsystem <MAILER-DAEMON> Returned mail: User unknown 20:32 157 KB

Mail Delivery Subsystem <MAILER-DAEMON> Returned mail: User unknown 20:09 130 KB


Occhio ancora più del solito, quindi.
 

Red Erik

Forumer attivo
Mi aggiungo: l'ultima trovata e' una mail che nel mittente ha symantec.com e invita a scaricare dal sito la soluzione all'ultimo virus.
Ovviamente c'e' un allegato.

Cancellatela e vivete sonni tranquilli.
 

fo64

Forumer storico
In data 2002-04-22 21:28, Voltaire scrive:
... cut
Da 48 ore sto ricevendo una valanga di mail contenenti virus.

Alcune solo le solite "How are you?", "Party", ecc. mentre ce ne sono altre (la maggioranza) parecchio subdole: si presentano come avvisi di mancato recapito di mail che hai (avresti) spedito, tornate indietro per destinatario sconosciuto, mail non capiente, ecc.

Ovviamente, tali mail hanno tutte degli allegati.

Esempio: solamente dalle 20 alle 21 ho ricevuto 3 mail infette del genere "mail tornata al mittente":
... cut

E' il virus "klez" e le sue più recenti varianti.
Oltre a spedirsi agli indirizzi della rubrica del pc infettato fa una cosa molto divertente :( ... cambia gli header del messaggio di posta con cui si spedisce, pescandolo a caso nella rubrica.
In pratica i msg che hai ricevuto ieri potrebbero essere partiti dal pc di qualche tuo amico ma con il tuo nome.
Provate a leggere qui se siete interessati:

http://punto-informatico.it/p.asp?i=39867

Un saluto a tutti

Fo64
 

fo64

Forumer storico
In data 2002-04-23 09:38, fo64 scrive:

E' il virus "klez" e le sue più recenti varianti.

per maggiore informazione copio-incollo questo msg dal newsgroup it.comp.sicurezza.virus

----------------

W32.Klez.gen@MM
Cosa fa.

Klez.H scansiona la rubrica di Outlook, i contatti di ICQ, i file in locale e utilizza un proprio server SMTP per inviarsi a tutti gli indirizzi come allegato di una email infetta.
Il nome dell'allegato, così come le caratteristiche delle email, sono
casuali. Anche questa versione di Klez sceglie come indirizzo mittente uno
qualsiasi degli indirizzi individuati sul computer dell'utente infetto.
Questo significa che quando si riceve l'email infetta questa può essere
stata inviata da un mittente assolutamente estraneo a quello riportato nell'email.
Klez.H tenta di disabilitare le funzionalità antivirus dei prodotti di difesa eventualmente installati sul computer Windows aggredito.
Fatto questo, il worm provvede ad auto-copiarsi su tutti i supporti che individua, in locale o in rete, infilando in quella sede un file riconoscibile da una doppia estensione casuale, come.txt.exe o.txt.rar.
Una volta dentro, come detto, il worm scansiona i file più comuni, da quelli.html a quelli.exe passando per.doc,.asp e persino per.mp3 a caccia di indirizzi email a cui auto-inviarsi per tentare di infettare il più alto numero possibile di computer.
Non contento, il worm infetta gli eseguibili creando una copia nascosta del file originale prima di riscriversi direttamente sopra di esso... La copia nascosta viene criptata ma non è virale.
Symantec spiega anche che il nome del file nascosto è lo stesso del file originale ma ha una estensione casuale.
Infine, nella cartellina dedicata di default ai programmi (spesso c:programmi), il worm infila anche il virus W32.Elkern.

Come riconoscere una mail infetta.
Il soggetto del mail è uno dei seguenti:

a.. Undeliverable mail--"[Random word]"
b.. Returned mail--"[Random word]"
c.. a [Random word] [Random word] game
d.. a [Random word] [Random word] tool
e.. a [Random word] [Random word] website
f.. a [Random word] [Random word] patch
g.. [Random word] removal tools
h.. how are you
i.. let's be friends
j.. darling
k.. so cool a flash,enjoy it
l.. your password
m.. honey
n.. some questions
o.. please try again
p.. welcome to my hometown
q.. the Garden of Eden
r.. introduction on ADSL
s.. meeting notice
t.. questionnaire
u.. congratulations
v.. sos!
w.. japanese girl VS playboy
x.. look,my beautiful girl friend
y.. eager to see you
z.. spice girls' vocal concert
aa.. japanese lass' sexy pictures

Occorre tenere presente che se si utilizza l'outlook express 5.01 o 5.5 e non si è applicata la patch disponibile qui, il virus entra in esecuzione con la semplice visualizzazione dell'anteprima.

Come pulire un sistema infetto.
Se il vostro antivirus è ancora funzionante, aggiornate immediatamente le definizioni virali in modo da poterlo riconoscere e cancellare. Dopo l'aggiornamento occorre procedere alla scansione completa del sistema e rimuovere tutti i file che risultano infetti.
Se però il sistema è stato riavviato più volte dal momento dell'infezione è probabile che l'antivirus abbia cessato di funzionare e
quindi si dovrà procedere ad una pulizia manuale prima di disinstallare e poi reinstallare l'antivirus.
Sul sito web della symantec è disponibile una procedura per la rimozione manuale del virus, non è però garantito che funzioni in ogni caso.
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

Personalmente ho pulito con successo un sistema infetto e con l'antivirus disattivato, il sistema operativo era windows 98 SE:

1.. All'avvio del sistema tenere premuto il tasto [Control] (F8 nel caso di win95).

2.. Apparirà un menu con varie opzioni di avvio, scegliere prompt dei comandi con supporto di rete.

3.. c:windowstemp per andare nella cartella dei file temporanei e rimuovere tutti i file che vi si trovano.

4.. c:progra~1 per andare nella cartella programmi e rimuovere eventuali eseguibili presenti direttamente nella cartella (la ~ si ottiene premendo control+126 sul tastierino numerico).

5.. Per individuare la presenza di file nascosti e di sistema dare il comando dir *.* /a:s /s occorre prendere nota di tutti i nomi di file che si trovano e in quale cartella sono collocati. Se alla porta parallela è collegata una stampante dare il seguente comando dir *.* /a:s /s >lpt1 per
ottenere una stampata, per espellere il foglio potrebbe essere necessario il
comando di espulsione carta posto sul pannello frontale della stampante.

6.. Ad ogni file precedentemente trovato corrisponde un file .exe con lo stesso nome e nella stessa cartella: es se in c:progra~1qwe c'è un file load.wed allora il quella stessa cartella c'è anche load.exe, sono da
eliminare entrambi per poi reinstallare il programma colpito.

7.. Per eliminare i file di sistema occorre prima usare il comando attrib in modo da sproteggere il file. Nell'esempio del punto precedente attrib -s -h -r load.wed quindi del load.wed e del load.exe

8.. c:windowssystem e quindi dir wink*.exe /a se si trovano uno o
più file occorre eliminarli, dare i comandi attrib -s -h -r wink*.exe e del wink*.exe

9.. Ora si riavvia il sistema e se non si è dimenticato nessun file è impossibile per il virus ritornare in memoria, disinstallare e poi reinstallare l'antivirus aggiornando immediatamente le definizioni virali.

10.. Scansionare tutti i dischi con l'opzione tutti i file indipendentemente dall'estensione.

11.. Reinstallati i programmi danneggiati il sistema è recuperato al 100%. Se necessario installare la patch per internet explorer 5.01 o 5.5.

----------------

Un saluto a tutti

Fo64
 

fo64

Forumer storico
In data 2002-04-23 22:19, csquare scrive:
E chi ha la versione 6 è protetto dalla attivazione in "anteprima"?
Ciao

secondo Microsoft si, resta da appurare se sia il caso di fidarsi :)
Nel caso di dubbi, Symantec (quella di Norton Antivirus) ha realizzato una piccola applicazione scaricabile gratuitamente dall'indirizzo

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

che provvede a cercare sul pc qualsiasi traccia del virus klez nelle sue diverse versioni e rimuoverlo.
Un saluto a tutti

Fo64
 

csquare

Nuovo forumer
Usando ZoneAlarm scaricabile gratuitamente da
www. zonelabs.com
è possibile attivare l'opzione che "trasforma" qualsiasi file allegato sospetto in una versione inoffensiva (salva la possibilità di ripristinarne lo stato originale).
 

Users who are viewing this thread

Alto