[Forumlucca] avviso per nuovo virus

Delete this message

Reply to this message
Autore: Marcantonio
Data:  
Oggetto: [Forumlucca] avviso per nuovo virus
--Apple-Mail-3-511801224
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain;
    charset=ISO-8859-1;
    delsp=yes;
    format=flowed




>
>
> [IxT]2004_01_27 - 015.
> Flash: attenzione al nuovo virus "tecnico" MyDoom
>
> Questa newsletter vi arriva grazie alle gentili donazioni di
> "fiammalibera", "andrea.spo***" e "jje".
>
> **ATTENZIONE** Non preoccupatevi se ricevete due copie di questa =20
> newsletter: l'ho spedita due volte (questa e' la seconda) per =20
> sicurezza.
>
>
>
> Non lasciatevi ingannare dal titolo dei messaggi intitolati "Test",
> "Status", "hi", "hello", "Mail Delivery System", "Mail Transaction
> Failed", "Server Report", "Status Error" o contenenti frasi
> apparentemente tecniche come queste:
>
> "The message contains Unicode characters and has been sent as a binary
> attachment"
> "Mail transaction failed. Partial message is available"
> "The message cannot be represented in 7-bit ASCII encoding and has =

been
> sent as a binary attachment"
>
> NON APRITE L'ALLEGATO e AGGIORNATE IL VOSTRO ANTIVIRUS. Si tratta
> infatti di un virus (pi=F9 correttamente di un worm), precisamente
> Mydoom/Novarg, che si =E8 scatenato ieri 26/1/2004.
>
> I dettagli del virus/worm sono disponibili presso i siti dei =

principali
> produttori di antivirus, ad esempio presso Symantec:
>
> http://securityresponse.symantec.com/avcenter/venc/data/=20
> w32.novarg.a@???
>
> Il worm ha effetto soltanto sulle macchine Windows (e questa non =E8 =

una
> novit=E0), con l'eccezione di Windows 3.1. In s=E9 non =E8 =

particolarmente
> pericoloso, dato che per infettarsi =E8 necessario aprire l'allegato: =

se
> non aprite l'allegato e cancellate il messaggio, siete a posto.
>
> Ma allora come mai la gente si infetta lo stesso a frotte? Non lo =

sanno
> anche i muri, ormai, che gli allegati inattesi non si aprono?
> Evidentemente no, o se lo sanno, se lo dimenticano. Infatti il worm =

usa
> le tecniche di "social engineering" descritte qui
>
> http://www.attivissimo.net/security/soceng/soceng.htm
>
> per indurre l'utente a dimenticarsi della normale prudenza: si spaccia
> per un messaggio tecnico (quindi sfrutta il principio d'autorevolezza) =

=20
> e
> dice che un messaggio destinato a voi =E8 arrivato danneggiato o
> codificato in modo anomalo e quindi =E8 contenuto nell'allegato.
>
> Chi rispetta le regole proposte dal mio Piccolo Dodecalogo di =20
> Sicurezza:
>
> http://www.attivissimo.net/security/dodecalogo/dodecalogo.htm
>
> non corre alcun pericolo, perch=E9 la Regola 8 dice chiaramente "Non
> aprite gli allegati non attesi, di qualunque tipo, chiunque ne sia il
> mittente, e comunque non apriteli subito, anche se l'antivirus li
> dichiara 'puliti'".
>
> Ricordatevi sempre e comunque di aggiornare il vostro antivirus. L'ho
> gi=E0 detto, ma ripeterlo non fa male.
>
> Mi raccomando, non scrivetemi chiedendo istruzioni su come =

disinfestare
> il vostro computer. Non posso fare assistenza tecnica a tutti: =

dovevate
> pensarci prima, e se non ci avete pensato, vi meritate di pagare
> qualcuno che vi aiuti a domicilio. I siti antivirus offrono inoltre
> istruzioni e programmi di ripulitura appositi. Usateli.
>
> Fin qui il worm non =E8 particolarmente anomalo, se non per la sua
> diffusione spettacolarmente rapida, che dimostra che non occorre =

creare
> virus tecnologicamente sofisticati: basta far leva sull'ingenuit=E0 =

degli
> utenti con qualche classico espediente psicologico.
>
> L'aspetto insolito di questo worm =E8 che fra l'1 e il 12 febbraio =

2004
> prender=E0 di mira il sito della SCO, societ=E0 che ha causato non =

poche
> polemiche con la sua dichiarazione (non ancora confermata in =

tribunale)
> che Linux contiene codice SCO copiato senza autorizzazione. Lo scopo =E8=


> evidentemente creare un'orda di computer infetti che a febbraio
> bombarderanno contemporaneamente il sito SCO, rendendolo inservibile.
>
> L'altra particolarit=E0 del worm =E8 che si copia alla directory in =

cui il
> programma Kazaa scarica i file ricevuti e si traveste da programma
> eseguibile, con nomi-civetta come "icq2004-final" e "winamp5", in modo
> da invogliare altri utenti Kazaa a scaricarlo e quindi infettarsi. =20
> Anche
> qui valgono le regole di sicurezza del Dodecalogo, in particolare la
> Regola 1: "Installate un buon antivirus, tenetelo costantemente
> aggiornato e usatelo su tutti i file che ricevete." Sottolineo =

"tutti",
> compresi quindi i file che scaricate dai circuiti di scambio come =

Kazaa
> o WinMX.
>
> Il worm, infine, tenta di aprire una "backdoor", ossia un canale di
> comunicazione nascosto, sulle porte TCP da 3127 a 3198. In teoria =20
> questo
> consente a un aggressore di collegarsi al computer infetto e usarlo =20=


> come
> testa di ponte per accedere ai file che contiene. La backdoor =E8 =

inoltre
> in grado di scaricare ed eseguire qualsiasi programma a piacimento
> dell'aggressore.
>
> Ultima curiosit=E0: come avviene sempre pi=F9 spesso, il worm ha una =

datadi
> scadenza. Cesser=E0 infatti di diffondersi il 12 febbraio 2004. Questa
> scadenza incorporata, e l'assenza di attivit=E0 distruttive, indicano =

la
> nuova tendenza dei creatori di virus: non pi=F9 vandali che vogliono
> semplicemente distruggere il contenuto dei PC di vittime prese a caso,
> ma attenti pianificatori che organizzano un esercito di "zombi =20
> digitali"
> per attaccare il nemico di turno.
>
> Attenti, dunque, a non zombificarvi!
>
> Ciao da Paolo.
>
> -.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
> (C) 2004 by Paolo Attivissimo (www.attivissimo.net).
> Distribuzione libera, purch=E9 sia inclusa la presente dicitura.


=20=

--Apple-Mail-3-511801224
Content-Transfer-Encoding: base64
Content-Type: image/gif;
    x-unix-mode=0644;
    name="6_2.gif"
Content-Disposition: inline;
    filename=6_2.gif

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--Apple-Mail-3-511801224
Content-Transfer-Encoding: 7bit
Content-Type: text/plain;
    charset=US-ASCII;
    format=flowed


  *** Think Different  ***
--Apple-Mail-3-511801224
Content-Transfer-Encoding: base64
Content-Type: image/gif;
    x-unix-mode=0644;
    name="6_2.gif"
Content-Disposition: inline;
    filename=6_2.gif

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--Apple-Mail-3-511801224--