[Cm-crew] maybe: virus? Yes it's W32.BUGBEAR :(

Delete this message

Reply to this message
Autor: Alieno
Data:  
Stare tematy: [Cm-crew] maybe: virus?
Temat: [Cm-crew] maybe: virus? Yes it's W32.BUGBEAR :(
At 19.26 04/10/2002 +0200, nilde wrote:
>no, x=F2 ho ricevuto l'avviso dal mio server che =E8 stato cancellato un
>messaggio da tale osvalda trupia con subj: "testo pressoche definitivo...."
>che conteneva un attach infetto che si chiama Il Corriere della=

Sera.doc.pif
>con il virus W32.Bugbear@mm


W32.BUGBEAR
-----------
Dei due worm, Bugbear e' senz'altro il piu' aggressivo e puo' colpire=20
qualsiasi sistema Windows. Si diffonde via posta elettronica ma anche=20
attraverso la condivisione di file in rete, su sistemi di file-sharing o=20
all'interno di reti domestiche e aziendali. E' un software malevolo capace=
=20
di registrare i pulsanti della tastiera premuti dall'utente (per rilevare=20
password, ad esempio) e di inserire nel sistema colpito una backdoor,=20
ovvero lasciare aperto un accesso al sistema privilegiato e nascosto per=20
l'autore del worm. In alcuni frangenti e' anche in grado di disabilitare i=
=20
software antivirus e i firewall di sicurezza.
Il messaggio email con cui si diffonde Bugbear ha soggetto e nome di file=20
allegato variabili e dunque di difficile identificazione, ma la dimensione=
=20
dell'allegato infetto e' sempre uguale: 50.688 byte. Un dato da tenere=20
presente per identificare il file aggressivo.
All'interno del sistema, Bugbear copia se' stesso nella cartelline di=20
sistema di Windows, nei file di apertura di Windows, modifica i file di=20
registro e inserisce una serie di librerie cifrate all'interno del=20
computer. Dopodiche' inserisce il software malevolo PWS.Hooker.Trojan=20
capace di registrare i pulsanti premuti dall'utente sulla tastiera.
Il worm tenta a questo punto di impedire il funzionamento dei software di=20
sicurezza e utilizza una propria funzionalita' per auto-inviarsi come=20
allegato infetto di una email a tutti gli indirizzi che ha individuato=20
nelle rubriche residenti sul computer colpito.
Non contento, Bugbear continua la propria opera aprendo la porta 36794, una=
=20
pericolosa backdoor di accesso attraverso la quale un aggressore esterno=20
puo' operare sul computer con ampia liberta' di movimento, per cancellare=20
file, copiarli e via dicendo. Il lavoro di Bugbear si conclude attraverso=20
l'analisi dell'eventuale rete a cui e' connesso il computer infetto e il=20
tentativo di auto-copiarsi in tutti i computer collegati ad essa.
Per proteggersi e' importante aggiornare le definizioni anti-virus. Qualora=
=20
si sia stati colpiti dal worm e' possibile ricorrere al tool di rimozione=20
online del Symantec Security Response, disponibile gratuitamente qui:
<http://securityresponse.symantec.com/avcenter/venc/data/w32.bugbear@mm.remo=
val.tool.html>



_[Alieno]_
___________________________________
Il kaos dimostra ineluttabilmente l'assenza
di Dio e l'essenza di Mufhd0