|
Utility Antivirus
| |
Sommario
BadTrans.B
Il virus BadTrans.B continua a essere un
flagello di tutta Internet, segno che molti utenti ne sono
rimasti infetti e non se ne sono ancora accorti, o magari se ne sono accorti perché
ricevono e-mail di insulti da coloro ai quali hanno a
loro volta ritrasmesso il virus, ma non sanno come fare per liberarsene -- sia del virus,
sia degli amici infuriati. Ecco dunque come fare per capire se BadTrans.B vi ha preso di
soppiatto.
Innanzi tutto, non correte alcun pericolo se non usate Windows, che è l'unico sistema operativo colpito da BadTrans.B.
Sissignore. Utenti Linux, BeOS, Mac, OS/2, concedetevi un legittimo sorriso di
autocompiacimento. Ogni tanto andare controcorrente serve. Se usate Windows, siete a
rischio, per cui adoperate la funzione Trova (Start - Trova - File o cartelle) per cercare questi file: kernel32.exe
(da non confondere con kernel32.dll, che è un file legittimo di Windows), kdll.dll,
cp_25389.nls, protocol.dll.
Se ne trovate almeno uno, siete infetti; altrimenti siete a posto, ma per evitare di
infettarvi in seguito dovete installare di corsa un antivirus e fargli ispezionare tutto il
computer. BadTrans.B può infatti restare annidato nelle cartelle del computer in cui
ricevete gli allegati.
Una cosa che nel fervore dei frettolosi rimedi contro BadTrans.B può essere passata in
secondo piano è che il virus può infettare anche chi non usa Outlook. In realtà
la falla che consente l'infezione è in Windows, non in Outlook, per cui qualunque programma di posta usiate, BadTrans.B può
infettarvi. La differenza fra chi usa Outlook e chi usa altri programmi di posta per
Windows è che l'utente Outlook, se non installa le patch di aggiornamento, viene infettato
automaticamente; l'utente di altri programmi di posta, invece, deve proprio eseguire
volontariamente l'allegato al messaggio infetto, che costituisce il virus vero e proprio.
In altre parole, se la deve proprio andare a cercare. Quindi se anche non usate Outlook,
riceverete lo stesso il virus, che resterà inattivo nella cartella in cui ricevete
abitualmente gli allegati, e se vi farete sopra un doppio clic, vi infetterete. Meglio
dunque cancellare.
Anche se non trovate tracce di virus, se usate Outlook e Internet Explorer 6.0 o 5.5
SP2 è indispensabile scaricare e installare gli aggiornamenti di sicurezza,
disponibili gratuitamente presso questo sito (http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp) ora anche in versione italiana.
Per i più taccagni che non vogliono spendere per un antivirus ci sono alcuni programmi
gratuiti, da scaricare ad esempio presso Symantec e Bit Defender. [Sono in debito con Zane -
www.zanezane.net -per questa segnalazione.]
Ma attenzione: rimuovono soltanto questo virus specifico, e questo significa che alla
prossima epidemia sarete di nuovo a rischio. Meglio investire in un buon antivirus e nei
suoi aggiornamenti.
Tuttavia il grandissimo pregio di questi antivirus specifici è che a parte essere
gratuiti sono anche piccolissimi, per cui si scaricano anche via modem in pochi secondi, a differenza degli
elefantiaci antivirus di marca. Quindi se vi capita la chiamata di soccorso di un amico
colpito da BadTrans.B, potete fare un intervento rapido e indolore con questi
miniprogrammi. Seguito, s'intende, da una sana ramanzina sulla sicurezza informatica, che
garantisco verrà prontamente ignorata, a meno che siate graziosi membri del gentil sesso
accorsi in aiuto di un giovanotto cotto di voi.
• Leggi la seconda parte su Zeusnews:
www.zeusnews.com/index.php3?ar=stampa&cod=954&ar2=stampa&numero=992
Quando e' colpa di Microsoft, chiedete aiuto a
Microsoft
• Sito di approfondimento
www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp
Per scaricare le patch di Microsoft
www.bitdefender.com/html/free_tools.php
Gli antivirus gratuiti di Bit Defender
www.zanezane.net/
Il sito di Zane
MyParty
Un conoscente vi spedisce una email... il subject e' accattivante: "new photos
from my party!". C'e' un allegato, sembra proprio un link ad un sito: www.myparty.yahoo.com...
Ma come: quel ".com" non vi insospettisce? Non sapete che prima dell'avvento di
Windows quella era una delle estensioni dei nomi di files eseguibili? Gia', da tempo
sembrano esistere solo i piu' familiari ".exe", ma... i ".com" sono
ancora vivi e vegeti e, soprattutto, eseguibili...
E poi c'e' l'oggetto in lingua inglese: una scusante soltanto per gli sprovveduti di
parlata anglosassone.
Insomma, se ci siete cascati, e avete cliccato sul fasullo link, adesso siete vittime
di MyParty, l'ultimo (per adesso) virus che sfrutta la posta elettronica (e l'ingenuita' colpevole
degli utenti) per diffondersi.
Che vi accadra' ora? A quanto pare, nulla di particolarmente grave... il virus
provvedera' a leggersi la vostra rubrica e spedira' una copia di se stesso a tutti gli
indirizzi ivi contenuti, utilizzando il server SMTP indicato nel registry alla chiave
"HKCU\\Software\\Microsoft\\Internet Account Manager\\Accounts\\00000001";
inoltre provvedera' a depositare nella vostra directory di avvio un regalino dal nome gia'
di per se' subdolo, Troj/Msstake-A.
Di che si tratta? Oh, di un semplice cavallino di Troia. Per chi non fosse
particolarmente ferrato in mitologia, possiamo dire, terra-terra, che e' una backdoor, una
porta di servizio attraverso la quale qualcuno potra' provare a prendere possesso del
vostro computer o, quantomeno, ficcanasarci a suo piacimento.
Chi sia questo qualcuno, al momento non e' noto, ma poiche' il virus spedisce da ogni
macchina colpita una mail all'indirizzo napster@gala.net, e' verosimile pensare che se
essa contenesse, ad esempio, il vostro indirizzo ip (e magari qualche password interessante), chiunque la riceva
potrebbe certamente farne buon uso.
Le prime analisi del virus sembrano rivelare che esso sara' attivo solamente fino al 29
gennaio 2002.
Coraggio, resistete, almeno per 24 misere ore, alla tentazione di aprire quei maledetti
allegati. Non apriteli. Non apriteli. Non apriteli. Non apriteli mai.
Dimenticavo: MyParty colpisce solo gli utilizzatori di Windows. Linux ne e' immune.
Rifletteteci. Non vi viene in mente una buona idea?
Innanzitutto, per avere la sicurezza di essere stati infettati o meno è necessario
eseguire la scansione del vostro sistema. Potete usare a questo scopo l'Antivirus online di ZDNet Italia oppure il vostro
antivirus. Una volta accertata l'infezione, nel caso l'antivirus non sia in grado di
rimuovere il virus senza cancellare i file, provate a seguire queste semplici istruzioni:
Se l'antivirus non è riuscito a ripulire il sistema dal worm Goner, allora potete
procedere come segue per l'eliminazione manuale del virus.
Pulizia del sistema Windows 9x/Me:
 | Riavviate il sistema. |
| Effettuate la scansione con un antivirus e cancellate i file infetti da WORM_MYPARTY.A.
Se non ne possedete uno potete utilizzare l'antivirus
online di ZDNet.
|
Pulizia del sistema Windows NT/2000:
| Premete Ctrl+Alt+Delete per visualizzare la finestra secuirty di Windows NT |
| Selezionate Task Manager |
| Su questa maschera selezionate la Tab "Processes" |
| Cercate tutti i task "MSSTASK.EXE" |
| Chiudete questi processi premendo "End Process" |
| Effettuate la scansione con un antivirus e cancellate i file infetti da WORM_MYPARTY.A.
Se non ne possedete uno potete utilizzare l'antivirus
online di ZDNet. |
Com'è e come si comporta MyParty...
Il worm arriva al computer della propria "vittima" come file allegato a un
messaggio di posta elettronica. Il file è una applicazione di Windows di circa 30Kb, è
scritta con Microsoft Visual C++, ed è compressa con una utility UPX.
Il messaggio infetto arriva con le seguenti caratteristiche:
Soggetto: new photos from my party!
Messaggio: Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
Allegato: www.myparty.yahoo.com
Come si vede chiaramente, il file contenente la carica virale, sembrerebbe essere un
indirizzo Internet. L'utente che riceve il messaggio è portato a credere che questo link
non sia affatto nocivo cliccandoci sopra senza porsi problemi. Il problema è che, in
questo modo, viene attivato un codice maligno
"Questa adottata da MyParty è sicuramente una nuova tecnica per convincere gli
utenti a cliccare per attivare un worm. Sembra che in questo modo molte persone siano già
state infettate. Il resto del programma è un classico Internet worm assolutamente non
differente da migliaia di altri" questo il commento di Denis Zenkin, Head of
Corporate Communications di Kaspersky Labs. "Questo fatto conferma nuovamente che non
tutto ciò che comincia con 'www' e termina in '.com' è un sito Internet."
Se la data di sistema del computer è compresa tra il 25—29 Gennaio 2002,
"Myparty" si installal nel sistema. Inoltre il worm esegue il check della
presenza del supporto per la lingua Russa e se questo è "detected" il worm
termina le operazioni e chiude il sistema. Per mantenere una copia di se nel sistema,
MyParty si copia in diverse directory di sistema scelte a caso e le registra nel
"Windows Registry" nella chiave di auto-start.
Péer trovare utenti a cui inviare copie di se stesso, MyParty utilizza la rubrica di
Outlook e Outlook Express oltre a tutti i file DBX. Dopo questo check, stabilisce una
connessione con un server SMTP e invia in maniera nascosta copie di se stesso a tutti gli
utenti trovati. Per confermare l'infezione il worm invia anche una mail vuota
all'indirizzo napster@gala.net.
"Myparty" ha molte caratteristiche di pericolosità. Sui computer con installato
Windows NT/2000/XP, il worm installa uno spy program per il controllo remoto non
autorizzato.
In questo modo, un pirata informatico può accedere tranquillamente al pc infetto. Oltre a
tutto ciò, a seconda delle condizioni, MyParty apre l'indirizzo http://www.disney.com,
senza scopi apparenti.
3
b1
b2
b3
02
|
