This is a multi-part message in MIME format.
------=_NextPart_000_005C_01C3956F.28721720
Content-Type: text/plain;
charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
----------------------------------------------------------------------
SalvaPC News - sicurezza per tutti N. 65 di venerdi' 19 settembre 2003
Supplemento a Punto Informatico
----------------------------------------------------------------------
ATTENZIONE A SWEN (o GIBE-F)
----------------------------
Un worm sta sollevando l'attenzione degli osservatori specializzati per =
la velocita' con cui riesce a diffondersi su Internet. Si tratta di =
Gibe-F, anche noto come Swen, un worm capace di diffondersi attraverso =
piu' sistemi: posta elettronica, reti locali di computer, sistemi di =
condivisione peer-to-peer e altro ancora.
MESSAGGI FASULLI
----------------
Quando arriva via email, il worm e' un allegato ad un messaggio di posta =
elettronica che puo' assomigliare in tutto e per tutto ad una =
comunicazione ufficiale proveniente da Microsoft, oppure mascherarsi =
come messaggio che ha fallito la sua spedizione e sta quindi tornando =
indietro (delivery failure).
L'email e' fasulla e contiene un allegato che non va aperto perche' =
capace di infettare il sistema.
NON PROVIENE DA MICROSOFT
-------------------------
L'email infetta contiene, in inglese, il pressante invito ad installare =
un presunto aggiornamento di Windows che dovrebbe mettere al riparo da =
qualsiasi problema di sicurezza.=20
Come se non bastasse, oltre ad una dettagliata descrizione dei sistemi =
supportati dall'aggiornamento, l'email fasulla rimanda nel testo anche =
ad articoli del team tecnico e di sicurezza di Microsoft che si =
riferiscono a note vulnerabilita', il tutto per indurre l'utente a =
considerare attendibile l'email e quindi a cliccare sul file allegato.
CHI PUO' ESSERE COLPITO
-----------------------
Ad essere vulnerabili sono tutti i sistemi Windows da Windows 95 a =
Windows Server 2003.
COME FUNZIONA
-------------
Se l'allegato viene aperto, il worm fa apparire una serie di finestre =
che inducono l'utente a ritenere che si tratti di un software di =
aggiornamento Microsoft. In realta', mentre questo accade, il worm si =
installa nel sistema.
Una volta dentro, Swen tenta di bloccare il funzionamento di sistemi di =
sicurezza come i firewall e i software antivirus, infila una copia di se =
stesso nella directory di Windows generando un file con un nome casuale, =
crea un secondo file con tutti gli indirizzi di posta elettronica che =
riesce ad individuare sul computer colpito e un terzo file con tutti i =
dati sul tipo di computer che ha colpito e sul quale si e' installato.
A questo punto il worm compie modifiche nel file di registro di Windows =
per garantirsi la riattivazione ad ogni riavvio di Windows e il =
funzionamento di un proprio sistema di posta elettronica. Addirittura =
presenta all'utente una schermata che sembra perfettamente legittima e =
che lo invita ad inserire i propri dati, compreso l'account email, in un =
modulo. Dati che poi il worm utilizza per diffondersi.
COME SI DIFFONDE
----------------
Si diffonde per posta elettronica ma anche attraverso le condivisioni in =
reti locali, le chat di IRC e i sistemi di file sharing come Kazaa.
Quando l'utente si connette ad IRC, dunque, Swen fa partire uno script =
che gli consente di inviarsi a tutti gli altri utenti della chat IRC =
alla quale si e' connesso il computer infetto. Su Kazaa, invece, il worm =
copia se stesso nella directory dei file condivisi dall'utente infetto =
in attesa di essere scaricato da altri utenti. Nelle reti locali, =
infine, Swen compie una mappatura dei sistemi che ne fanno parte e =
individua le directory in cui installarsi.
COME PROTEGGERSI
----------------
In queste ore tutti i principali produttori di software antivirus stanno =
aggiornando i propri sistemi di difesa ed e' dunque bene scaricare le =
ultime definizioni.
Inoltre, non e' mai accaduto che Microsoft abbia diffuso per posta =
elettronica un aggiornamento ad un utente che non abbia un contratto con =
l'azienda stessa e non abbia espressamente richiesto uno speciale =
servizio di assistenza. Dunque, tutte le email non richieste di questo =
tipo, per quanto possano sembrare ufficiali, devono essere scartate =
perche' potenzialmente pericolose.
I worm sfruttano una vulnerabilita' dei sistemi Windows per cui =
Microsoft ha rilasciato una patch nello scorso giugno. Chi non l'avesse =
installata puo' provvedere immediatamente a partire da questo indirizzo:
http://www.microsoft.com/technet/treeview/default.asp?url=3D/technet/secu=
rity/bulletin/MS01-020.asp
ULTERIORI INFORMAZIONI
----------------------
Per approfondire le caratteristiche di Gibe-F/Swen, Sophos ha realizzato =
una pagina di approfondimento a disposizione degli utenti:
http://www.sophos.com/virusinfo/analyses/w32gibef.html
Spiegazioni per una (complessa) rimozione manuale del worm sono offerte =
a questo indirizzo:
http://securityresponse.symantec.com/avcenter/venc/data/w32.swen.a@mm.htm=
l
----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (
http://punto-informatico.it)
email: redazione@???
Url:
http://salvapc.com/
----------------------------------------------------------------------=20
Attento perch=C3=A8 ho ricevuto questi messaggi, e poich=C3=A8 mi hai =
inviato dei messaggi da IRC temo che me lo possa aver inviato tu.
Ciao
------=_NextPart_000_005C_01C3956F.28721720
Content-Type: text/html;
charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
=EF=BB=BF<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Dutf-8">
<META content=3D"MSHTML 6.00.2600.0" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV>--------------------------------------------------------------------=
--<BR>SalvaPC=20
News - sicurezza per tutti N. 65 di venerdi' 19 settembre=20
2003<BR><BR>Supplemento a Punto=20
Informatico<BR>----------------------------------------------------------=
------------<BR><BR> ATTENZIONE=20
A SWEN (o GIBE-F)<BR> ----------------------------<BR><BR>Un worm =
sta=20
sollevando l'attenzione degli osservatori specializzati per la velocita' =
con cui=20
riesce a diffondersi su Internet. Si tratta di Gibe-F, anche noto come =
Swen, un=20
worm capace di diffondersi attraverso piu' sistemi: posta elettronica, =
reti=20
locali di computer, sistemi di condivisione peer-to-peer e altro=20
ancora.<BR><BR> MESSAGGI =
FASULLI<BR> ----------------<BR><BR>Quando=20
arriva via email, il worm e' un allegato ad un messaggio di posta =
elettronica=20
che puo' assomigliare in tutto e per tutto ad una comunicazione =
ufficiale=20
proveniente da Microsoft, oppure mascherarsi come messaggio che ha =
fallito la=20
sua spedizione e sta quindi tornando indietro (delivery =
failure).<BR>L'email e'=20
fasulla e contiene un allegato che non va aperto perche' capace di =
infettare il=20
sistema.<BR><BR> NON PROVIENE DA=20
MICROSOFT<BR> -------------------------<BR><BR>L'email infetta =
contiene, in=20
inglese, il pressante invito ad installare un presunto aggiornamento di =
Windows=20
che dovrebbe mettere al riparo da qualsiasi problema di sicurezza. =
<BR>Come se=20
non bastasse, oltre ad una dettagliata descrizione dei sistemi =
supportati=20
dall'aggiornamento, l'email fasulla rimanda nel testo anche ad articoli =
del team=20
tecnico e di sicurezza di Microsoft che si riferiscono a note =
vulnerabilita', il=20
tutto per indurre l'utente a considerare attendibile l'email e quindi a =
cliccare=20
sul file allegato.<BR><BR> CHI PUO' ESSERE=20
COLPITO<BR> -----------------------<BR><BR>Ad essere vulnerabili =
sono tutti=20
i sistemi Windows da Windows 95 a Windows Server 2003.<BR><BR> COME =
FUNZIONA<BR> -------------<BR><BR>Se l'allegato viene aperto, il =
worm fa=20
apparire una serie di finestre che inducono l'utente a ritenere che si =
tratti di=20
un software di aggiornamento Microsoft. In realta', mentre questo =
accade, il=20
worm si installa nel sistema.<BR><BR>Una volta dentro, Swen tenta di =
bloccare il=20
funzionamento di sistemi di sicurezza come i firewall e i software =
antivirus,=20
infila una copia di se stesso nella directory di Windows generando un =
file con=20
un nome casuale, crea un secondo file con tutti gli indirizzi di posta=20
elettronica che riesce ad individuare sul computer colpito e un terzo =
file con=20
tutti i dati sul tipo di computer che ha colpito e sul quale si e'=20
installato.<BR><BR>A questo punto il worm compie modifiche nel file di =
registro=20
di Windows per garantirsi la riattivazione ad ogni riavvio di Windows e =
il=20
funzionamento di un proprio sistema di posta elettronica. Addirittura =
presenta=20
all'utente una schermata che sembra perfettamente legittima e che lo =
invita ad=20
inserire i propri dati, compreso l'account email, in un modulo. Dati che =
poi il=20
worm utilizza per diffondersi.<BR><BR> COME SI=20
DIFFONDE<BR> ----------------<BR><BR>Si diffonde per posta =
elettronica ma=20
anche attraverso le condivisioni in reti locali, le chat di IRC e i =
sistemi di=20
file sharing come Kazaa.<BR><BR>Quando l'utente si connette ad IRC, =
dunque, Swen=20
fa partire uno script che gli consente di inviarsi a tutti gli altri =
utenti=20
della chat IRC alla quale si e' connesso il computer infetto. Su Kazaa, =
invece,=20
il worm copia se stesso nella directory dei file condivisi dall'utente =
infetto=20
in attesa di essere scaricato da altri utenti. Nelle reti locali, =
infine, Swen=20
compie una mappatura dei sistemi che ne fanno parte e individua le =
directory in=20
cui installarsi.<BR><BR> COME=20
PROTEGGERSI<BR> ----------------<BR><BR>In queste ore tutti i =
principali=20
produttori di software antivirus stanno aggiornando i propri sistemi di =
difesa=20
ed e' dunque bene scaricare le ultime definizioni.<BR><BR>Inoltre, non =
e' mai=20
accaduto che Microsoft abbia diffuso per posta elettronica un =
aggiornamento ad=20
un utente che non abbia un contratto con l'azienda stessa e non abbia=20
espressamente richiesto uno speciale servizio di assistenza. Dunque, =
tutte le=20
email non richieste di questo tipo, per quanto possano sembrare =
ufficiali,=20
devono essere scartate perche' potenzialmente pericolose.<BR><BR>I worm=20
sfruttano una vulnerabilita' dei sistemi Windows per cui Microsoft ha =
rilasciato=20
una patch nello scorso giugno. Chi non l'avesse installata puo' =
provvedere=20
immediatamente a partire da questo indirizzo:<BR><A=20
href=3D"
http://www.microsoft.com/technet/treeview/default.asp?url=3D/tech=
net/security/bulletin/MS01-020.asp">
http://www.microsoft.com/technet/tree=
view/default.asp?url=3D/technet/security/bulletin/MS01-020.asp</A><BR><BR=
> ULTERIORI=20
INFORMAZIONI<BR> ----------------------<BR><BR>Per approfondire le=20
caratteristiche di Gibe-F/Swen, Sophos ha realizzato una pagina di=20
approfondimento a disposizione degli utenti:<BR><A=20
href=3D"
http://www.sophos.com/virusinfo/analyses/w32gibef.html">
http://ww=
w.sophos.com/virusinfo/analyses/w32gibef.html</A><BR><BR>Spiegazioni=20
per una (complessa) rimozione manuale del worm sono offerte a questo=20
indirizzo:<BR><A=20
href=3D"
http://securityresponse.symantec.com/avcenter/venc/data/w32.swen.=
a@???">
http://securityresponse.symantec.com/avcenter/venc/data/w32.sw=
en.a@???</A><BR><BR>-------------------------------------------------=
---------------------<BR>SalvaPC=20
News<BR>supplemento di Punto Informatico (<A=20
href=3D"
http://punto-informatico.it">
http://punto-informatico.it</A>)<BR>=
<BR>email:=20
<A =
href=3D"
mailto:redazione@salvapc.com">redazione@???</A><BR>Url: =
<A=20
href=3D"
http://salvapc.com/">
http://salvapc.com/</A><BR>-----------------=
-----------------------------------------------------<!--EndFragment-->=20
</DIV>
<DIV>Attento perch=C3=A8 ho ricevuto questi messaggi, e poich=C3=A8 mi =
hai inviato dei=20
messaggi da IRC temo che me lo possa aver inviato tu.</DIV>
<DIV>Ciao</DIV><BR><PRE></PRE><BR></BODY></HTML>
------=_NextPart_000_005C_01C3956F.28721720--
