R: [Forumlucca] avviso per nuovo virus

Delete this message

Reply to this message
Autore: Roberto Guidi
Data:  
Oggetto: R: [Forumlucca] avviso per nuovo virus
Vi mando alcune dritte che mi sono state dette da un amico per combattere
questo virus:


Un modo per rimuoverlo e' scaricare
questo programmino aggiustatutto: http://vil.nai.com/vil/stinger/

Una volta rimosso il virus, si può scaricare un antivirus gratis al sito
www.avast.com.

Ciao


Roberto

-----Messaggio originale-----
Da: forumlucca-admin@???
[mailto:forumlucca-admin@inventati.org]Per conto di Marcantonio
Inviato: venerdì 30 gennaio 2004 10.43
A: forumlucca@???
Oggetto: [Forumlucca] avviso per nuovo virus




>
>
> [IxT]2004_01_27 - 015.
> Flash: attenzione al nuovo virus "tecnico" MyDoom
>
> Questa newsletter vi arriva grazie alle gentili donazioni di
> "fiammalibera", "andrea.spo***" e "jje".
>
> **ATTENZIONE** Non preoccupatevi se ricevete due copie di questa
> newsletter: l'ho spedita due volte (questa e' la seconda) per
> sicurezza.
>
>
>
> Non lasciatevi ingannare dal titolo dei messaggi intitolati "Test",
> "Status", "hi", "hello", "Mail Delivery System", "Mail Transaction
> Failed", "Server Report", "Status Error" o contenenti frasi
> apparentemente tecniche come queste:
>
> "The message contains Unicode characters and has been sent as a binary
> attachment"
> "Mail transaction failed. Partial message is available"
> "The message cannot be represented in 7-bit ASCII encoding and has been
> sent as a binary attachment"
>
> NON APRITE L'ALLEGATO e AGGIORNATE IL VOSTRO ANTIVIRUS. Si tratta
> infatti di un virus (più correttamente di un worm), precisamente
> Mydoom/Novarg, che si è scatenato ieri 26/1/2004.
>
> I dettagli del virus/worm sono disponibili presso i siti dei principali
> produttori di antivirus, ad esempio presso Symantec:
>
> http://securityresponse.symantec.com/avcenter/venc/data/
> w32.novarg.a@???
>
> Il worm ha effetto soltanto sulle macchine Windows (e questa non è una
> novità), con l'eccezione di Windows 3.1. In sé non è particolarmente
> pericoloso, dato che per infettarsi è necessario aprire l'allegato: se
> non aprite l'allegato e cancellate il messaggio, siete a posto.
>
> Ma allora come mai la gente si infetta lo stesso a frotte? Non lo sanno
> anche i muri, ormai, che gli allegati inattesi non si aprono?
> Evidentemente no, o se lo sanno, se lo dimenticano. Infatti il worm usa
> le tecniche di "social engineering" descritte qui
>
> http://www.attivissimo.net/security/soceng/soceng.htm
>
> per indurre l'utente a dimenticarsi della normale prudenza: si spaccia
> per un messaggio tecnico (quindi sfrutta il principio d'autorevolezza)
> e
> dice che un messaggio destinato a voi è arrivato danneggiato o
> codificato in modo anomalo e quindi è contenuto nell'allegato.
>
> Chi rispetta le regole proposte dal mio Piccolo Dodecalogo di
> Sicurezza:
>
> http://www.attivissimo.net/security/dodecalogo/dodecalogo.htm
>
> non corre alcun pericolo, perché la Regola 8 dice chiaramente "Non
> aprite gli allegati non attesi, di qualunque tipo, chiunque ne sia il
> mittente, e comunque non apriteli subito, anche se l'antivirus li
> dichiara 'puliti'".
>
> Ricordatevi sempre e comunque di aggiornare il vostro antivirus. L'ho
> già detto, ma ripeterlo non fa male.
>
> Mi raccomando, non scrivetemi chiedendo istruzioni su come disinfestare
> il vostro computer. Non posso fare assistenza tecnica a tutti: dovevate
> pensarci prima, e se non ci avete pensato, vi meritate di pagare
> qualcuno che vi aiuti a domicilio. I siti antivirus offrono inoltre
> istruzioni e programmi di ripulitura appositi. Usateli.
>
> Fin qui il worm non è particolarmente anomalo, se non per la sua
> diffusione spettacolarmente rapida, che dimostra che non occorre creare
> virus tecnologicamente sofisticati: basta far leva sull'ingenuità degli
> utenti con qualche classico espediente psicologico.
>
> L'aspetto insolito di questo worm è che fra l'1 e il 12 febbraio 2004
> prenderà di mira il sito della SCO, società che ha causato non poche
> polemiche con la sua dichiarazione (non ancora confermata in tribunale)
> che Linux contiene codice SCO copiato senza autorizzazione. Lo scopo è
> evidentemente creare un'orda di computer infetti che a febbraio
> bombarderanno contemporaneamente il sito SCO, rendendolo inservibile.
>
> L'altra particolarità del worm è che si copia alla directory in cui il
> programma Kazaa scarica i file ricevuti e si traveste da programma
> eseguibile, con nomi-civetta come "icq2004-final" e "winamp5", in modo
> da invogliare altri utenti Kazaa a scaricarlo e quindi infettarsi.
> Anche
> qui valgono le regole di sicurezza del Dodecalogo, in particolare la
> Regola 1: "Installate un buon antivirus, tenetelo costantemente
> aggiornato e usatelo su tutti i file che ricevete." Sottolineo "tutti",
> compresi quindi i file che scaricate dai circuiti di scambio come Kazaa
> o WinMX.
>
> Il worm, infine, tenta di aprire una "backdoor", ossia un canale di
> comunicazione nascosto, sulle porte TCP da 3127 a 3198. In teoria
> questo
> consente a un aggressore di collegarsi al computer infetto e usarlo
> come
> testa di ponte per accedere ai file che contiene. La backdoor è inoltre
> in grado di scaricare ed eseguire qualsiasi programma a piacimento
> dell'aggressore.
>
> Ultima curiosità: come avviene sempre più spesso, il worm ha una datadi
> scadenza. Cesserà infatti di diffondersi il 12 febbraio 2004. Questa
> scadenza incorporata, e l'assenza di attività distruttive, indicano la
> nuova tendenza dei creatori di virus: non più vandali che vogliono
> semplicemente distruggere il contenuto dei PC di vittime prese a caso,
> ma attenti pianificatori che organizzano un esercito di "zombi
> digitali"
> per attaccare il nemico di turno.
>
> Attenti, dunque, a non zombificarvi!
>
> Ciao da Paolo.
>
> -.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
> (C) 2004 by Paolo Attivissimo (www.attivissimo.net).
> Distribuzione libera, purché sia inclusa la presente dicitura.