Cartolina di Natale? Un virus !

[chrisbiro]

UNA NUOVA MINACCIA

Sotto Natale anche quest'anno, come gia' accaduto in anni precedenti, si presentano nuovi worm che cercano di sfruttare la corrispondenza elettronica natalizia per indurre gli utenti ad accedere a file che possono creare non pochi problemi.

In queste ore sta emergendo il nuovo worm Zafi.d (anche chiamato Erkez.D) che si ritiene di origine ungherese e che preoccupa non poco i centri di sicurezza antivirus. Zafi.d puo' colpire tutt ele versioni di Windows, dalla 95 in poi.

COME RICONOSCERE ZAFI.D

Il worm si presenta all'utente all'interno di una email che appare come una cartolina di auguri natalizi ma si diffonde anche attraverso i sistemi di file sharing peer-to-peer. I paesi europei nei quali fino a questo momento e' stata segnalata la massima diffusione sono Germania, Spagna e Francia. SalvaPC ha rilevato diverse infezioni in Italia. Cio' si deve al fatto che l'email puo' arrivare non solo in inglese, come succede con gran parte dei worm, ma anche in molte altre lingue, compreso l'italiano.

Riconoscere il nuovo worm non e' facile ma, nella versione italiana, si presenta con un subject esplicito: "Re: Buon Natale!" oppure "Fw: Buon Natale!", o anche "Buon Natale!".

Nel testo del messaggio, nella versione italiana, si legge:
"* Buon.... ....Natale! *
(NOME UTENTE)"

In allegato si trovano diversi tipi di file che hanno per estensione pif, .cmd, .bat, .com o .zip ma che in ogni caso nel nome fanno riferimento ad una cartolina di auguri natalizia, ad esempio "cartoline.christmas.index.jpg3051.zip".

Il mittente del messaggio ancora una volta non e' il PC infetto quanto invece uno degli indirizzi trovati da Zafi.d sui computer infettati ed utilizzati per l'invio delle email infette.

I DANNI DI ZAFI.D

Trend Micro e F-Secure ritengono Zafi.d piuttosto insidioso. Una volta avviato il file infetto, il worm si inserisce nel registro di Windows in modo tale da assicurarsi di essere sempre attivo quando il PC viene riavviato.
Inoltre copia se stesso con il nome di "winamp 5.7 new!.exe" o "ICQ 2005a new!.exe" nelle cartelline del PC il cui nome comprenda i termini "share", "upload" o "music".

Per ottenere gli indirizzi a cui inviare il proprio codice malevolo, Zafi.d scansiona una quantita' di file diversi sul PC nonche' tutta la rubrica di Windows, dopodiche' si autospedisce a tutti gli indirizzi trovati. Sfruttando un proprio motore SMTP, Zafi.d cerca di impedire che l'utente si accorga dell'invio dei messaggi abusivi.

Per cercare di non essere rilevato dalle societa' di sicurezza antivirus e dai grandi portali web, Zafi.d non viene inviato ad indirizzi che contengano tutta una serie di nomi noti, da "hotm" (che sta per Hotmail) a "kasper" (che sta per Kaspersky Labs).

Non contento, Zafi.d cerca di disattivare tutte le applicazioni antivirus e di sicurezza attive sul PC infettato. Non solo, installa anche una backdoor sulla porta 8181 che consente dall'esterno di accedere al PC, cancellare dati o importarvene di nuovi.

COME DIFENDERSI

Come sempre in presenza di un worm di questo tipo e' necessario non aprire l'allegato. In questo caso e' ancora piu' necessario perche' non tutti i centri antivirus hanno gia' sviluppato un aggiornamento dei propri sistemi di protezione ed e' dunque necessaria la massima cautela.

Uno scanner antivirus che colpisce Zafi.d e' stato messo a punto da Trend Micro ed e' disponibile all'indirizzo:
http://it.trendmicro-europe.com/ent...s/housecall.php

Qualora si sia individuato Zafi.d sul proprio computer e' necessario seguire una procedura complessa di rimozione, come descritto ancora da Trend Micro:
- aprire il file di registro (regedit da "Esegui" del menu' avvio)
- aprire la chiave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
- sulla destra cercare e cancellare le chiavi:
Wxp4 = "SYSTEM\Norton Update.exe" ("SYSTEM" va sostituita con il percorso della cartella di sistema di Windows ("system" appunto) che varia a seconda della versione di Windows o delle preferenze dell'utente.
Attenzione pero', modificare il registro senza sapere esattamente cosa si sta facendo puo' rendere il computer inservibile.

ULTERIORI INFORMAZIONI

Per ora sono disponibili le seguenti pagine di approfondimento.
SSR:
http://www.sarc.com/avcenter/venc/d...erkez.d@mm.html
F-Secure:
http://www.f-secure.com/v-descs/zafi_d.shtml
Trend Micro:
http://it.trendmicro-europe.com/ent...ame=WORM_ZAFI.D
Fonte: SalvaPC News

[Gianmarco89]

Grazie mille, non ne sarei mai venuto a conoscenza senza il tuo aiuto, comunque, io gli allegati non li leggo quasi mai

oggi ho ricevuto la prima email di virus/spam in assoluto!
avevo visto due messaggi datati il 1/1/1970 e immediatamente mi sono insospettito. poi...mittenti sconosciuti e estensione della foto jpg.bat

io avevo già esaminato l'email e riconosciuto il mittente (si tratta di un pc infetto di un provider locale) e stavo per mandare un attacco dos, però poi mi è venuto in mente che si potesse trattare di un virus.

infine...sono contento perché posso esaminare per la prima volta un virus

a proposito, cod o qualcun'altro sa come devo fare per "leggere" correttamente il sorgente del virus?

Qualche giorno fa mi è arrivata una cartolina natalizia via e-mail da un certo "Antonio", che non ho tra i contatti, ma avast me lo ha individuato subito... Eliminato prontamente!

spam e virus sono nel mio ordine del giorno... per fortuna non mi infettano ogni giorno i virus... tie'...

Ecco la NewsLetter di Salvatore Aranzulla che ho appena letto:

"Buon natale!": che felice, ho ricevuto una e-mail con in allegato una
cartolina. Penso subito ad un mio lettore affezionato (ma va'!), ma...
è un virus! :-( Ghrrrrrrrr!

Ebbene sì, in questi giorni si sta diffondendo in rete, via e-mail, il
worm "Zafi.D" che, approfittando dell'ingenuità degli utenti ed del
periodo natalizio, invia dai PC infetti una e-mail agli indirizzi trovati
in rubrica, con l'oggetto ed il messaggio "Buon natale", nella lingua
corrispondente al dominio dell’indirizzo al quale si sta inviando. In
allegato, con nome ed estensione variabile, invece, sta la sorpresina di
Natale: il worm.

Il worm impedisce l'apertura delle applicazioni di Windows che
permetterebbero di cancellarlo (regedit, msconfig o il task manager) e modifica
il registro di sistema di Windows, per avviarsi ad ogni avvio del PC.

Un'altra sorpresina di Natale viene da Microsoft e me la segnala
l'amico Andrea. Andrea gestisce un server web (un computer dove è caricato un
sito web) con sistema operativo Windows. Per gestire l'aggiornamento
del suo server utilizza l'applicativo "WUS" (Windows Update Services) che
dovrebbe scaricare le patch dal sito Microsoft. Mentre sta aggiornando
il suo server, gli appare un nuovo pacchetto: "This is TOMMIK's Test
Package", uno strano aggiornamento, già scaduto.

Il problema di questo pacchetto non solo si è verificato nella macchina
di Andrea ma anche in molte altre: Microsoft, burlona com'è, ne ha
combinato un'altra delle sue. Si mette adesso, infatti, ad inviare pure
pacchetti di prova. Chissà che qualche volta non ci arrivi un bel regalo.
Ops... un worm :-)

Fra pacchetti regalo, auguri, Microsoft ha infine rilasciato gli ultimi
aggiornamenti di Dicembre. Questi sono aggiornamenti "imporant",
nessuno di questi è "critico", ma questo non significa che il proprio PC non
debba essere aggiornato con Windows Update.

Ciao da Salvo!

(C) Salvatore Aranzulla (http://www.salvatore-aranzulla.com/). Puoi
pubblicare ovunque questo testo, a patto di lasciarlo inalterato e di
riportare questa dicitura.

cmq io avendo yahoo sono a posto

ma avast me lo ha individuato subito... Eliminato prontamente!

com'è avast come antivirus? ai livelli di Norton e McAfee?

oddio.. se è ai livelli del norton siamo a posto..

Qualche giorno fa mi è arrivata una cartolina natalizia via e-mail da un certo "Antonio", che non ho tra i contatti, ma avast me lo ha individuato subito... Eliminato prontamente!

hahahahahahahahahahaha! è arrivata anche a me!!!
era bellissima... dentro c'era una gif di due smilies che tromb... hihihihi... con scritto "buon natale"....

beh insomma, ci sono auguri peggiori.. hahahahahaha!
(virus a parte)

ottimo.....ormai ci sono milioni di virus.....
questo lo sto ancora aspettando... (anzi quasi quasi me lo scarico via P2P)


ps: se qualcuno si procura il sorgente me lo può gentilmente passare?OLD

[lucillo]

a me il norton l'ha intercettato al volo....

spam e virus sono nel mio ordine del giorno... per fortuna non mi infettano ogni giorno i virus... tie'...

anche nel mio.. ci provo quasi gusto ad eliminare centinaia di e-mails dalle mie molteplici caselle di posta! alcune le uso solo per questo "sport"

com'è avast come antivirus? ai livelli di Norton e McAfee?

Direi che i punti di forza sono 3 (per quel che posso capirne):
1- leggero (circa 7 MB contro le 20-30 di norton).
2- Scarica velocemente aggiornamenti e nuove versioni senza chiodarti il pc mentre sei online (norton mi spaccava molto di più i maroni...).
3- è free e basta una registrazione da rinnovare tra un anno o più, non mi ricordo...
Comunque ho tenuto norton per dei mesi, si aggiornava, ci facevo le scansioni ma non mi ha mai segnalato nessun virus... Poi un giorno l'ho tolot e ho messo la coppia spybot/avast e sono saltati fuori un sacco di spyware, e un paio di virus introdotti prima dell'86 da gente che aveva l'Amiga... :grin:

@Avel: dopo quello che mi hai detto sull'allegato, mi dispiace non averlo aperto... così mi facevo due risate... maledetto Antonio! Lo conosci? :grin: