[Forumumbri] IL VIRUS BADTRANS

Delete this message

Reply to this message
Autore: Sconosciuto
Data:  
Oggetto: [Forumumbri] IL VIRUS BADTRANS
VI SONO ARRIVATE EMAIL STRANE CON MESSAGGIO VUOTO, CON UN ALLEGATO
SEGNALATO MA INESISTENTE E CON l'indirizzo del mittente originario con un
underscore (questo:"_") davanti?
E' UN VIRUS.
SE SIETE UTENTI WINDOWS (IO NO PER FORTUNA, VISTO CHE OGGI ME NE SONO
ARRIVATI BEN DUE)
LEGGETE IL MESSAGGIO DI PILATI, E' MOLTO CHIARO SU COME COMPORTARSI
CIAO CIAO=20
ORNELLA




Massimiliano Pilati, Mercoled=EC, 28 novembre 2001
Come liberarsi da
BADTRANS (in ITALIANO!)"

Mettiamo in chiaro la questione tecnica visto che in lista ci sono nuov*
iscritt*.

1) la lista noocse non =E8 abilitata agli allegati
2) i virus informatici dell'ultima generazione si diffondono soprattutto
attraverso gli allegati
3) ne consegue che questa lista =E8 _per_definizione_ immune da qualsiasi
genere di virus informatico

Il punto =E8 che la rete italiana da 4 o 5 giorni =E8 infestata dall'ultimissmo
virus "W32.Badtrans.B@mm" (di seguito vi posto tutta l'informativa di punto
informatico).


=3D=3D> Chi =E8 la potenziale vittima?

CHIUNQUE utilizzi microsoft windows come sistema operativo e outlook
express come programma per scaricare la posta



=3D=3D> Come funziona?

Pesca gli indirizzi dalla posta in archivio e si autospedisce con un
messaggio appartemente vuoto, un allegato infetto, un soggetto tipo "Re:
qualcosa" e l'indirizzo del mittente originario con un underscore (questo:
"_") davanti. Se io fossi infetto sarebbe, ad esempio,
"_marco.trotta@???" Per questo motivo nessun'altra mailing list con
un mailer settato decentemente (su quelli di yahoo non metto mano visto che
dipendono dalle quotazioni in borsa, ma dalle prime verifiche vedo che
reggono) potrebbe comunque veicolare questo virus quand'anche fosse
abilitata agli allegati per il semplice motivo che ricevendo a vostra
insaputa una email con un campo mittente leggermente diverso (per
l'underscore davanti) dovrebbe rigettarla. Dovrebbe, appunto.


=3D=3D> Come faccio a sapere se sono infetto?

L'underscore davanti =E8 la trovata che serve a fare in modo che, le email
delle/dei disattent* che replicano al vostro messaggio senza controllare la
correttezza dell'indirizzo del destinatario (sempre quel "_" all'inizio) o
le email che rimbalzano perch=E9 il destinatario ha problemi (sconosciuto o
posta piena) non vi giungano. Per tutti gli altri virus dopo un po'
l'utente si rendeva conto di essere infetto perch=E9 avvisato dagli altri
utenti o perch=E9 tornavano indietro messaggi che non aveva mai spedito. Qui
in teoria un utente davvero sprovveduto potrebbe non scoprire mai che =E8
stato infettato.
Il trucchetto =E8 auspedirsi una email al proprio indirizzo, lasciarla nella
mailbox dei messaggi ricevuti e attendere. Se vi giunge una email con le
caratteristiche di cui sopra e un destinatario formato dal vostro indirizzo
con un "_" davanti, allora... benvenut* nel club Badtrans !!!

Altri indizi:
1. Nel registro di configurazione di Windows (apribile tramite AVVIO -
ESEGUI - regedit) c'e' la seguente voce:
=20
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel=
3
2.exe
2. Nella directory C:\Windows\System c'e' il seguente file: kdll.dll



=3D=3D> Che nomi hanno gli allegati infetti?

HUMOR; DOCS; S3MSONG; ME_NUDE; CARD; SEARCHURL;
YOU_ARE_FAT!; NEWS_DOC; IMAGES; PICS.

Ogni nome di file =E8 seguito da due estensioni. La prima =E8 a
scelta:.DOC;.MP3 oppure.ZIP. La seconda =E8.pif o.scr. (dunque:
CARD.DOC.PIF, NEWS_DOC.MP3.SCR eccetera).

ATTENZIONE: pu=F2 darsi che non vedrai la seconda estensione per un
impostazione di windows. Questo non significa che non sia un file allegato
infetto ed eseguibile pur avendo esplicitamente solo estensione .DOC, .MP3,
....ZIP

Tra le altre cose il virus pu=F2 avere delle varianti e queste sono
indicazioni del tutto sommarie.




=3D=3D> Ma se non clicco sull'allegato non pu=F2 succedermi nulla, giusto?

Sbagliato: sei hai outlook sappi che ha la pessima abitudine, per un errore
interno, di mandare in esecuzione files senza il tuo permesso. Quindi basta
ricevere la mail infetta per essere colpiti. Se si =E8 ancora in tempo c'=E8
una patch (un programmino che risolve il baco di outlook una volta
lanciato). Occorre innanzitutto accertarsi
di quale versione di Internet Explorer si dispone: aprite Internet
Explorer, poi il menu "?", e poi "Informazioni su Internet Explorer".

Se avete la versione 5.5, cliccate qui:

http://download.microsoft.com/download/ie55sp1/secpac17/5.5_SP1/WIN98Me/it/=
q
290108.exe

Se avete la versione 5.01, cliccate qui:

http://download.microsoft.com/download/ie501sp1/secpac17/5.01_SP1/WIN98/it/=
q
290108.exe

Dopo aver scaricato il file sul vostro pc, fateci doppio click sopra, e
installate l'aggiornamento. Se il vostro Internet Explorer era gia'
aggiornato, si aprira' una finestra con un messaggio del tipo: "Non
e' necessario installare l'aggiornamento".

ATTENZIONE: per=F2 questo significa che corregge l'errore per il quale ci si
infetta senza volerlo e saperlo (ovvero senza cliccare esplicitamente
sull'allegato). Non significa che si =E8 immuni dal vius




=3D=3D> Oh My God, sono infett*, Santo Norton aiutami tu....
    (ovvero come dice il ministro Sirchia - clone di SirCam? - vuoi guarire=
?
     Paga !!!)


Allo stato attuale non c'=E8 nessun programmino scaricabile gratuitamente che
si adoperi come un removal tool (ovvero dandoti la possibilit=E0 di debellare
il virus pur non avendo un antivirus installato). Se ti sei infettat* ed
avevi l'antivirus probabilmente non era aggiornato e come soluzione
d'emergenza la cosa pi=F9 rapida da fare =E8 fare l'aggiornamento che in molti
casi =E8 gi=E0 possibile. Ad ogni modo bisogner=E0 attendere ancora diversi
giorni perch=E9 nel frattempo TUTTE le case produttrici di antivirus tirino
fuori un removal tool perch=E9 nel dubbio e nel panico preferiscono indurvi
a spendere dalle 100Mlire alle 300Mlire per acquistare un loro prodotto e
salvarvi anima ed hard disk. Dopo? Vedremo. Volete un consiglio
sull'antivirus?
Potrei dirvi Norton, ma non ci prendo una lira a fargli pubblicit=E0 e cos=EC
siete caldamente invitati a passare al punto dopo.



=3D=3D> Background politico. Come ti infetto il mondo e la passo liscia
    (ovvero Very compliments, Bill - Thanks for All, George)


Siamo alle solite. ILoveYou, hacker Petronio o islamico che sia, potete
anche scommettere che se non =E8 stasera, forse tra qualche giorno qualche TG
a
scelta di quelli che si distinguono per imparzialit=E0 e autorevolezza delle
fonti (ad esempio il TG2 di Mimun, il Tg4 di Fede o Studio Aperto di Paolo
"Livore" Liguori) metteranno da parte guerra e finanziaria per annunciare
la nuova ecatombe informatica caduta sulla coscienza al silicio
dell'occidente (e spero proprio che la vergogna locale, leggesi Resto Del
Carlino, non trovi legami a me sconosciuti tra Badtrans e Al Queda). Forse.
D'altra parte quello che si tace, tra ingnoranza e malafede, =E8 nell'ordine:
a) che tutta la comunit=E0 informatica =E8 minacciata quando le circostanze
tecniche per l'infezione sono discriminanti chiare e circoscritte
b) che basta che venga meno una di quelle, ovvero usare un sistema
operativo non windows o un programma di posta elettronica non outlook
express (cose possibili, e neanche tanto eccezionali, se uno ha un computer
Apple, usa Linux/unix, o semplicemente manda a quel paese Outlook per
installare Eudora), per risolvere il problema o quanto meno essere molto
pi=F9 sicuri..

La verit=E0 =E8 che non si vuole parlare del monopolio di Bill Gates e della
Microsoft. Il paradosso pi=F9 compiuto ed esplicito della dittatura
neoliberista che ormai non riesce pi=F9 a sopravvivere neanche a se stessa. E
cos=EC, in attesa del prossimo "errore fatale" su schermata blu (modello
forza italia, a propo', avete notato come il palco di roma del 10 con le
due bandierine avesse un fondale mostruosamente simile alla schermata
d'avvio di Windows? Sar=E0 per questo che gli =E8 andata in vacca la
manifestazione?), un intero settore aspetta le magnifiche sorti progressive
di Windows XP per risanare i bilanci di rosso delle dot com e delle
speculazioni pirata (quelle s=EC, altro che hacker !!!) compiute in borsa in
questi anni.
Tutto chiaro, quindi, ma la politica dov'=E8? Eccola: Bill Gates finisce
sotto processo per sospetta violazione delle norme antitrust (affare
"guerra dei browser", 4 anni fa) una delle prime cose che succede al cambio
di amministrazione =E8 che il nuovo ufficio rivede l'ingiunzione verso il
magnate di Seattle accordandosi per una soluzione per niente compromettente
rispetto all'attuale posizione di monopolio (inizialmente si era pensato
perfino allo smembramento di Microsoft) tanto che Re William Gates III
dichiarer=E0 "Finalmente una sentenza giusta". Ah, questi liberisti, ce
l'hanno proprio come vizio, appena la giustizia si dimostra subalterna ne
pontificano l'imparzialit=E0... solo che Gates non aveva bisogno di diventare
presidente del Consiglio per fare i suoi interessi perch=E9 sapeva di poter
contare su Bush. Ovvero? Una volta di pi=F9, si =E8 sancito che gli interessi
di Microsoft sono gli interessi USA tout court (vi ricorda qualcosa di old
economy come l'esito del processo antitrust alla Ford sessant'anni orsono?)=
.
Standing ovation: parte l'inno Gates bless America.



=3D=3D> Morale: siamo tutti americani e winzofili?
    (ovvero un altro sviluppo informatico =E8 possibile... e non solo quello)


Ve la faccio breve: il primo dicembre c'=E8 il linux day, ovvero un progetto
nato come alternativa ad una concezione "only profit" dell'informatica e
delle nuove tecnologie, con tutto quello che significa in termini di libero
accesso ai saperi (brevetti), redistribuzione dei vantaggi sociali
dell'innovazione tecnologia, riappropriazione del general intellect non pi=F9
delegato ai meccanismi di sfruttamento della concezione imprenditoriale di
stampo neoliberista e tanto altro ancora. Il movimento, pur complessato dal
digital divide al suo interno (e non poteva essere diversamente), ha
portato avanti anche queste tematiche che sono d'avanguardia, forse, ma
decisamente strategiche e centrali come metafora della lotta alla
globalizzazione dell'impoverimento sociale, ambientale e culturale.

Il mio consiglio e di provare ad avvicinarvi a questi temi con lo stesso
spirito per il quale c'=E8 una generale ridefinizione di tutto lo sviluppo
sociale ed economico, con il quale si sceglie uno stile di vita sobrio,
prodotti equo e solidali (perch=E9 l'informatica =E8 un'industria anche di
economia di scala), con il quale si rivendicano i nuovi diritti civili e
giuridici, alla privacy (ora che i pc non sono pi=F9 macchine per calcolare
formule quantistiche ma anche per smistare corrispondenza privata), alla
sicurezza sociale, all'informazione, ecc.

Il primo dicembre, per il Linux Day, anche in Emilia Romagna ci saranno
dimostrazioni gratuite e non profit, il programma lo trovate qui:
http://erlug.linux.it/linuxday/

Un gruppo di questo tipo =E8 gi=E0 nato nel BSF (ed ha anche una mailing list:
http://prometeo.aglorioso.com/cgi-bin/mailman/listinfo/bsf) e vuole portare
in via fioravanti esperienze concrete, capacit=E0 reali ed un impegno di
giustizia che penso possa dimostrare cose molto importanti.

E allora: volete rimanere in balia di Bill, Bush e Badtrans oppure
cominciamo a costruire un altro mondo possibile anche da qui?

M.

--
"E arrivan chi sa dove per non pagar le tasse,
col ghigno e l'ignoranza dei primi della classe." (F. Guccini)




_[Ripostato da: Punto Informatico - http://www.punto-informatico.it ]_____
[http://www.punto-informatico.it/p.asp?i=3D38203]




Virus/ Badtrans non ferma la sua corsa
A quattro giorni dalla scoperta del worm, il codicillo non accenna a
rallentare la velocit=E0 epidemica. Sale la preoccupazione, appelli agli
utenti


Un worm sottovalutato?

28/11/01 - News - Roma - Pare proprio che MessageLabs avesse visto lungo
quando, l'altro ieri, aveva avvertito che l'epidemia di Badtrans sui
sistemi Windows avrebbe potuto andare ben pi=F9 in l=E0 del temuto. Proprio
ieri pomeriggio, infatti, anche Symantec ha innalzato a livello 4 la soglia
di attenzione per un worm che si sta producendo in una cavalcata di
diffusione che ricorda da vicino quanto accadde in tempi recenti con SirCam=
.

Gi=E0, perch=E9 fino a ieri si riteneva che Badtrans, emerso sabato scorso,
avrebbe seguito la curva di diffusione della stragrande maggioranza dei
worm, con infezioni diffuse soprattutto nelle prime 48 ore dall'infezione.
Ma non =E8 stato cos=EC. Con la riapertura degli uffici il luned=EC mattina in
Europa (ma segnalazioni arrivano anche dal nord e dal sud America), il worm
ha trovato terreno fertile per crescere e moltiplicarsi ed ha quindi
accresciuto la propria onda d'urto.

Una delle ragioni di quanto sta accadendo risiede nelle modalit=E0 di
diffusione del virus, che nella versione pi=F9 diffusa si presenta con un
allegato capace di auto-eseguirsi all'apertura del messaggio di posta
elettronica che lo contiene. Ma questo avviene, ben inteso, solo sulle
macchine di quegli utenti che utilizzano sistemi di preview del messaggio
prima della sua apertura o, nel caso dell'uso di Outlook e Outlook Express,
non abbiano applicato patch disponibili gi=E0 da mesi in rete. Non solo,
chiunque disponga di un buon antivirus aggiornato nelle scorse ore dovrebbe
trovarsi al sicuro da qualsiasi rischio di infezione.

Un altro aspetto caratteristico del worm che rende pi=F9 difficile il suo
"blocco" =E8 la modifica che compie sugli indirizzi email dai quali viene
diffuso. Quando una macchina viene infettata, infatti, tende a spedire una
copia di Badtrans a tutti gli indirizzi che si trovano sul computer. Ma
l'indirizzo mittente del messaggio non =E8 quello dell'utente colpito dal
worm perch=E9 a questo viene premesso un underscore "_". Questo fa s=EC che se
si risponde a chi ha inviato il virus per avvertirlo di quanto ha combinato
e non si toglie l'underscore dall'indirizzo, l'email non viene recapitata e
dunque l'avvertimento non raggiunge la sua meta.

Non contento, il worm si presenta in messaggi che hanno per subject
soltanto "Re:" e chi riceve molti messaggi di posta elettronica pu=F2
facilmente sbagliare e avviare senza volere l'attivit=E0 del virus.

Mentre scriviamo, Symantec d=E0 la diffusione del virus come al livello pi=F9
alto degli ultimi tempi con l'eccezione, come detto, di quanto ha combinato
nella sua prima settimana di attivit=E0 il celebre e ancora diffuso SirCam.

E alla redazione di Punto Informatico arrivano numerose segnalazioni di
utenti che affermano di avere le mailbox addirittura intasate da questo
virus.

L'epidemia di Badtrans arriva, tra l'altro, in un momento reso ancora pi=F9
delicato dalla rapidissima evoluzione di un altro worm, Aliz, che secondo
gli osservatori antivirus sta conoscendo una nuova spirale di espansione
epidemica. I labs di Symantec, i SARC, addirittura pongono la diffusione di
Aliz allo stesso livello di quella di Badtrans. Un livello che non viene
sposato da altri produttori antivirus ma che comunque induce alla massima
prudenza nella gestione della posta elettronica in queste ore.

Di seguito come funziona il worm Badtrans e cosa fare per difendersi.


"W32.Badtrans.B@mm" sta dimostrando in queste ore di essere un codicillo
che non va sottovalutato.

Riconoscere l'email in arrivo con Badtrans prima versione non =E8 difficile,
perch=E9 il nome dell'allegato infetto =E8 uguale al subject dell'email.
Symantec nei suoi bollettini si limita a segnalare l'attivit=E0 di questa
versione del worm e, come gi=E0 spiegato sul numero di ieri, avverte che il
subject e il nome dell'attachment sono presi da una lista predefinita di
termini: HUMOR; DOCS; S3MSONG; ME_NUDE; CARD; SEARCHURL; YOU_ARE_FAT!;
NEWS_DOC; IMAGES; PICS. Ogni nome di file =E8 seguito da due estensioni. La
prima =E8 a scelta:.DOC;.MP3 oppure.ZIP. La seconda =E8.pif o.scr. (dunque:
CARD.DOC.PIF, NEWS_DOC.MP3.SCR eccetera). La dimensione di questi allegati
=E8 di 29,02 kilobyte.

La seconda versione, quella che sembrerebbe essere la pi=F9 diffusa anche in
Italia, =E8 invece pensata per ingannare l'utente inserendo come subject solo
"Re:" con un allegato che in totale pesa 40,3 KB. Sarebbe questa la
versione responsabile, secondo MessageLabs, dell'ulteriore diffusione del
worm la cui presenza viene segnalata in 98 paesi, a testimoniare l'enorme
capacit=E0 di riproduzione.

Una volta attivato il worm su sistemi Windows, Badtrans esegue una serie di
istruzioni che sono contenute nel suo codice che, come noto, comprende
anche un cavallo di Troia capace di registrare in un file di log tutti i
pulsanti premuti sulla tastiera.
Nell'ordine: registra tutti i testi digitati su windows, cifra il log,
invia il file di log ad uno degli indirizzi inseriti nel codice, invia le
password che si trovano in cache, chiude il sistema ad un'ora prestabilita,
si inserisce in Windows con il nome di un file di registro (kernel32.exe),
usa quello stesso nome come percorso per copiare i propri dati e infila due
chiavi nel registro di Windows.

Se si venisse colpiti dal virus, la prima cosa da fare =E8 cancellare o
rinominare il file "kernel32.exe" (attenzione: non "kernel32.dll" che =E8
legittimo) in, per esempio, "kernel32.old" in modo da renderlo inattivo. Da
cercare e distruggere =E8 anche il file KDLL.DLL, che contiene il cavallo di
Troia che archivia nel file "CP_25389.NLS" nella directory di sistema di
Windows il log con la registrazione dei tasti premuti sulla tastiera (che
viene poi inviata ad un indirizzo di Hotmail). Entrambi i file potrebbero
non essere modificabili perch=E9 in esecuzione. Va dunque prima rimossa la
chiave di registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Kernel32 =3D kernel32.exe

Poi, riavviato il sistema, si pu=F2 procedere alla distruzione dei file.

Il codice trojan che viene infilato nel sistema viene classificato dalla
danese F-Secure come "Trojan.PSW.Hooker" (qui una pagina descrittiva).

Una volta rimossi i file infetti, con il proprio antivirus occorre eseguire
una scansione per individuare e cancellare tutti i file che contengono
"W32.Badtrans.B@mm".

In generale Symantec consiglia di:
- Impostare i sistemi di filtraggio delle email aziendali per bloccare
tutte le email con le estensioni.scr e.pif
- non aprire e-mail con oggetti corrispondenti ai nomi riportati;
- distruggere tutti i file riconosciuti come W32.Badtrans.B@mm;
- rimuovere e cancellare tutti gli allegati con le estensioni sopra
riportate;
- aggiornare le definizioni dei virus.

Per ulteriori info pu=F2 risultare utile approfondire sul sito del SARC, qui.