ATTENZIONE: C'e' un nuovo VIRUS

Se qualcuno ha in cuore di spedirmelo prima di rimuoverlo ve lo decompilo e vi posto i sorgenti io... vi faccio anche il referencing delle stringhe se ci riesco

virus@crescentofdarkness.cjb.net

:D

Riporto da http://punto-informatico.it/p.asp?i=48072&p=2

In merito alla diffusione del virus Sasser, Microsoft raccomanda ai propri utenti di attenersi alle seguenti procedure per impedire che il virus, bloccando l'accesso a Internet, renda impossibile scaricare e installare sul proprio PC la patch MS04-011.

Nei computer vulnerabili il worm può provocare il blocco di LSASS.EXE, che provoca l'arresto del sistema operativo entro 60 secondi. In Windows XP è possibile impedire l'arresto del sistema utilizzando il comando predefinito "shutdown.exe -a", mentre in Windows 2000 l'arresto non può essere evitato.

Nei sistemi Windows 2000 è possibile impedire il blocco di LSASS.EXE, e il conseguente riavvio del sistema operativo, scollegando il cavo di rete o disattivando la scheda di rete e quindi effettuando una delle seguenti operazioni per impedire al worm di bloccare LSASS.EXE:

1. Create un file di sola lettura denominato %systemroot%\debug\dcpromo.log, immettendo il seguente comando:
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

NOTA: questa è la soluzione temporanea più efficace, poiché elimina completamente gli effetti della vulnerabilità impedendo l'esecuzione del codice interessato dal problema e funziona per tutti i pacchetti inviati a qualsiasi porta vulnerabile.

2. Attivate il filtro TCP/IP avanzato su tutte le schede di rete, per bloccare tutti i pacchetti TCP non richiesti in ingresso.

- Fate clic su Start, scegliete Esegui, digitate Control e premete INVIO.
- Nel Pannello di controllo fate doppio clic sull'icona Rete e connessioni remote.
- Fate clic con il pulsante destro del mouse sulla scheda connessa a Internet o alla rete colpita dal worm e scegliete Proprietà.
- Fate doppio clic su Protocollo Internet (TCP/IP).
- Fate clic su Avanzate.
- Passate alla scheda Opzioni.
- Fate doppio clic su Filtro TCP/IP.
- Selezionate la casella di controllo Attiva filtro TCP/IP (su tutte le schede).
- Selezionate il pulsante di opzione Autorizza solo situato sopra Porte TCP.

NOTA: NON aggiungete altre porte a questo elenco e NON selezionate il pulsante di opzione Autorizza solo situato sopra Porte UDP.

- Fate clic su OK quattro volte e, quando viene richiesto se riavviare il sistema, scegliete Sì (affinché le nuove impostazioni abbiano effetto è necessario il riavvio).

Di seguito è illustrata una soluzione alternativa che consente di bloccare qualsiasi tentativo di sfruttare la vulnerabilità tramite il protocollo TCP. Tuttavia, a differenza delle procedure descritte in precedenza, questa soluzione non impedisce ai pacchetti UDP appositamente predisposti di raggiungere le porte vulnerabili e non elimina completamente gli effetti della vulnerabilità.

3. Arrestate temporaneamente il servizio server immettendo il seguente comando: net stop server /y
NOTA: questa tecnica consente di bloccare esclusivamente gli attacchi che sfruttano le porte TCP 139 e 445.

Se il computer infetto viene riconnesso alla rete, può provocare un sovraccarico della connessione di rete locale, impedendo completamente il download degli aggiornamenti. Per disattivare temporaneamente il worm è possibile utilizzare Task Manager per arrestare i seguenti processi:
- Tutti i processi il cui nome inizia con almeno quattro cifre e termina con "_up.exe", ad esempio 12345_up.exe
- Tutti i processi il cui nome inizia con avserve, ad esempio avserve.exe o avserve2.exe.
- Tutti i processi di nome skynetave.exe.

Dopo l'arresto di tutti i processi del worm, dovrebbe essere possibile scaricare l'aggiornamento per la protezione e lo strumento per la rimozione di Sasser.

[Xeeno]

Ecco come prevenire, rilevare, rimuovere il sasser

Bollettino sulla sicurezza

Patch per Windows 2000
Patch per Windows XP (Professional/Home con o senza service pack 1)

Tool di rimozione della Symantec


Per chi ha win98/ME:
Domanda: Le vulnerabilità affrontate in questo bollettino sulla sicurezza sono critiche per Windows 98, Windows 98 Second Edition o Windows Millennium Edition?
Risposta: No. Nessuna di queste vulnerabilità è di livello critico per Windows 98, Windows 98 Second Edition o Windows Millennium Edition.

Grazie numerone, per aver mandato a tutti i link per la patch, l'avrei fatto io, ma ieri e' stato una giornata troppo impegnativa in ufficio :D

[NoWhere]

start->programmi->accessori->utilità->microsoft sistem information

oppure vai su windows update e li vedi gli aggiornamenti che hai già eseguito o se non hai mai eseguito nessun aggiornamento ti dice quali più importanti fare subito

[Dodi]

http://www.tgcom.it/ArticoloTgCom/ar...lo184644.shtml




18 anni!!!! :P e non aveva un cacchio di meglio da fare

18 anni!!!! :P e non aveva un cacchio di meglio da fare

Si vede che ha preso da me :D

"Secondo il settimanale Der Spiegel, il giovane sarebbe anche l'autore di un altro virus, Netsky, propagatosi la scorsa settimana."

Netsky propagatosi la settimana scorsa? Ma se sono minimo minimo due mesi che il Norton me lo becca tutti i giorni
[tra parentesi: qualcuno mi spiega cosa se ne fa il Norton dei backup dei virus? Se li cancello non è meglio? thanx in anticipo x un'eventuale risposta 8) ]

Questo e' un po' una ca**ata visto che da quel che so a lavorare su netsky non sarebbe stato un singolo autore ma un gruppo ben organizzato (anche se non come quello di MyDoom... quelli sono pazzeschi)