non vorrei fare terrorismo psicologico ma ho sentito alla radio cose bruttissime sul virus W32NIMDA...tipo che infetta il server del provider e che ci si infetta al solo passaggio su di un sito infettato!!!
vorrei sapere (se c'è qualche esperto) se basta disabilitare i cookie durante la navigazione e non aprire i messaggi sospetti dalla email...oppure come bisogna comportarsi.
[O.T.] Virus & Spyware
Moderatori: Super Zeta, AlexSmith, Pim, Moderatore1
-
dolceegabbana
- Nuovi Impulsi
- Messaggi: 185
- Iscritto il: 19/08/2001, 2:00
- Località: friulivenezia giulia
-
Meshmellow
- Impulsi avanzati
- Messaggi: 820
- Iscritto il: 07/05/2001, 2:00
- Località: Ancona-Senigallia-Fano-Tokio
- Contatta:
Come al solito ci devo pensare io.
Eccovi il tool per disinfestare i vostri PC dal fastidioso virus
http://www.bismark.it/news/fix_nimda.zip
Eccovi il tool per disinfestare i vostri PC dal fastidioso virus
http://www.bismark.it/news/fix_nimda.zip
-
Meshmellow
- Impulsi avanzati
- Messaggi: 820
- Iscritto il: 07/05/2001, 2:00
- Località: Ancona-Senigallia-Fano-Tokio
- Contatta:
RIMOZIONE NIMDA
La conseguenza più vistosa di un'infezione da parte di Nimda è senza dubbio l'improvviso e talvolta insostenibile traffico di rete generato dal worm.
Come riporta il sito di sicurezza Incidents.org, il worm lancia numerosi scanning simultanei della rete che possono sovraccaricare il sistema e l'intera rete locale. Questo sembra senza dubbio un effetto voluto, una sorta di "attacco DDoS al contrario" che permette comunque al worm di continuare a diffondersi di rete in rete.
Per rilevare con una certa sicurezza un'infezione è peró sufficiente verificare la presenza sui sistemi del file invisibile admin.dll, del file "readme.eml" all'interno delle cartelle condivise o della riga di testo "Shell=explorer.exe load.exe -dontrunold" all'interno del system.ini.
Nimda modifica anche molte chiavi del registro di Windows e diverse entrate di alcuni file di configurazione del sistema operativo e di IIS.
Ad oggi ormai tutti i principali software antivirus dovrebbero essere in grado di rilevare il virus, anche se per il momento non tutti sono in grado di rimuoverlo completamente in automatico. In ogni caso il consiglio è quello di procedere quanto prima ad installare la patch per IE 5.5SP1 e precedenti e la patch per IIS.
Nonostante quello che promettono alcuni antivirus, il CERT afferma che "l'unico modo sicuro per recuperare un sistema compromesso è quello di formattare il drive di sistema e reinstallare il software da un media affidabile". Il CERT ricorda inoltre di scollegare il sistema dalla rete, altrimenti si rischia di ritrovarlo infetto ancor prima di arrivare ad installare le patch.
Per prevenire l'infiltrazione nella propria rete di Nimda Trend Micro raccomanda "l'uso di meccanismi di blocco per i file eseguibili in modo da raggiungere un veloce livello di sicurezza contro la diffusione di worm, come Nimda, il cui soggetto varia in modo casuale". Per i client di rete, anche quelli non ancora infetti, la nota firma antivirus consiglia poi di chiudere in scrittura tutte le condivisioni di rete e procedere a ripulire il sistema seguendo le istruzioni pubblicate in questa pagina oppure scaricando il cleaner gratuito del post precedente
La conseguenza più vistosa di un'infezione da parte di Nimda è senza dubbio l'improvviso e talvolta insostenibile traffico di rete generato dal worm.
Come riporta il sito di sicurezza Incidents.org, il worm lancia numerosi scanning simultanei della rete che possono sovraccaricare il sistema e l'intera rete locale. Questo sembra senza dubbio un effetto voluto, una sorta di "attacco DDoS al contrario" che permette comunque al worm di continuare a diffondersi di rete in rete.
Per rilevare con una certa sicurezza un'infezione è peró sufficiente verificare la presenza sui sistemi del file invisibile admin.dll, del file "readme.eml" all'interno delle cartelle condivise o della riga di testo "Shell=explorer.exe load.exe -dontrunold" all'interno del system.ini.
Nimda modifica anche molte chiavi del registro di Windows e diverse entrate di alcuni file di configurazione del sistema operativo e di IIS.
Ad oggi ormai tutti i principali software antivirus dovrebbero essere in grado di rilevare il virus, anche se per il momento non tutti sono in grado di rimuoverlo completamente in automatico. In ogni caso il consiglio è quello di procedere quanto prima ad installare la patch per IE 5.5SP1 e precedenti e la patch per IIS.
Nonostante quello che promettono alcuni antivirus, il CERT afferma che "l'unico modo sicuro per recuperare un sistema compromesso è quello di formattare il drive di sistema e reinstallare il software da un media affidabile". Il CERT ricorda inoltre di scollegare il sistema dalla rete, altrimenti si rischia di ritrovarlo infetto ancor prima di arrivare ad installare le patch.
Per prevenire l'infiltrazione nella propria rete di Nimda Trend Micro raccomanda "l'uso di meccanismi di blocco per i file eseguibili in modo da raggiungere un veloce livello di sicurezza contro la diffusione di worm, come Nimda, il cui soggetto varia in modo casuale". Per i client di rete, anche quelli non ancora infetti, la nota firma antivirus consiglia poi di chiudere in scrittura tutte le condivisioni di rete e procedere a ripulire il sistema seguendo le istruzioni pubblicate in questa pagina oppure scaricando il cleaner gratuito del post precedente
-
Super Zeta
- Storico dell'impulso
- Messaggi: 16378
- Iscritto il: 27/03/2001, 2:00
-
Meshmellow
- Impulsi avanzati
- Messaggi: 820
- Iscritto il: 07/05/2001, 2:00
- Località: Ancona-Senigallia-Fano-Tokio
- Contatta:
-
Super Zeta
- Storico dell'impulso
- Messaggi: 16378
- Iscritto il: 27/03/2001, 2:00
-
Super Zeta
- Storico dell'impulso
- Messaggi: 16378
- Iscritto il: 27/03/2001, 2:00
-
Meshmellow
- Impulsi avanzati
- Messaggi: 820
- Iscritto il: 07/05/2001, 2:00
- Località: Ancona-Senigallia-Fano-Tokio
- Contatta:
-
bladerunner65it
- Nuovi Impulsi
- Messaggi: 333
- Iscritto il: 28/09/2001, 2:00
- Contatta:
Focus : BadTrans sta invadendo la rete
Lunedì 26 Nov 2001
Dalla scorsa notte la rete è stata invasa da un nuovo virus denominato BadTrans; è stato bloccato per la prima volta il 23 Novembre e sembra essersi diffuso con grande velocità in Germania, Inghilterra.
Il "punto debole" della catena, anche questa volta è da ricondurre ad Outlook Express e per la precisione Microsoft aveva documentato il bug in questa comunicazione.
Come si presenta:
Il virus si presenta con la classica forma del replay, infatti nel soggetto della mail con cui si diffonde si legge "RE" e null'altro.
Il testo del messaggio è vuoto, mentre in allegato troviamo la sgradita sorpresa: troviamo infatti un file allegato il cui nome puó essere:
stuff.MP3.pif
info.DOC.scr
S3MSONG.DOC.scr
SEARCHURL.MP3.pif
HAMSTER.DOC.pif
Me_nude.MP3.scr
fun.MP3.pif
news_doc.DOC.scr
images.DOC.pif
Humor.MP3.scr
New_Napster_Site.MP3.pif
docs.DOC.pif
README.MP3.scr
Sorry_about_yesterday.MP3.pif
Pics.DOC.scr
SETUP.DOC.scr
YOU_are_FAT!.MP3.scr
Card.DOC.pif
Come al solito, le estensioni utilizzate sono molto comuni (.scr è un formato utilizzato da alcuni screensaver). Ció che più preoccupa di questo worm è il fatto che non è necessario mandare in esecuzione l'allegato (è sufficiente avere la preview attivata in Outlook Express per rendere attivo il worm).
A complicare le cose vi è pure il fatto che il virus "porta con sè" un fastidiosissimo trojan (Trojan KDLL.DLL ), già isolato e il cui scopo è quello di "rubare" le sequenze di tasti digitati (tra cui ad esempio le password del sistema in cui si installa).
Secondo quanto riportato da Messagelab, l'unico modo reale e concreto per fronteggiare questa tipologia di virus consiste nell'utilizzo di software antivirus dotati algoritmo euristico. Questa tipologia di algoritmo consente la rilevazione di virus sconosciuti, che vengono debellati all'origine del fenomeno di diffusione. I più diffusi antivirus, utilizzano sono in modo marginale questa tecnologia, affidando la rilevazione ad un file definition che deve costantemente essere aggiornato.
Ulteriori informazioni circa la diffuzione di questo worm sono disponibili a questo indirizzo.
Cosa fare
Il consiglio è ovviamente di NON eseguire gli allegati e qualora si utilizzi Outlook Express come email client, disabilitare la visualizzazione del preview. Successivamente è' indispensabile procedere all'aggiornamento dell'antivirus.
McAfee e Symantec hanno rilasciato degli aggiornamenti dedicati. Hai seguenti link sono disponibili oltre agli update, anche valide informzioni circa questo nuovo virus:
McAfee
Symantec
Versione stampabile
<< nVidia NV17 e NV25: le specifiche nVidia NV25: nuove info >>
Pubblicate on line le prime specifiche non ufficiali dei due prossimi chip video nVidia: NV17 e NV25 I giorni passano e la data del debutto si avvicina sempre più: nuove info su NV25, il prossimo chip video di fascia alta di nVidia
Commento # 1 di : riccardods pubblicato il 26 Nov 2001, 19:07
come si disabilita l'anteprima con outlook 5?
Commento # 2 di : manwe pubblicato il 26 Nov 2001, 19:51
P0RC0 C***0 !!!! a me è arrivata stamattina, non ho la preview attiva e non ho eseguito gli allegati, ma senza farci caso ho aperto il messaggio. Subito cancellato e svuotato il cestino di Outlook Express (buggato di m***a!). Norton Antivirus 2002, aggiornato, non mi trova niente, posso stare tranquillo ????
AIUTOO
Commento # 3 di : riccardods pubblicato il 26 Nov 2001, 21:05
sono combinato come te....mi è arrivato 3 volte stamattina...appena noto una cosa strana faccio il formattone.
Commento # 4 di : DarIOTheOriginal pubblicato il 26 Nov 2001, 23:01
ragazzi scuasate ma.....cazzo!!!!! Io me lo son beccato e lo ho forwardato a mezzo mondo (persino al comune e al RETTORE dell'uni....)...ma il peggio è che lo st*onzone mi ha infettato kernel32.exe.....e non c'è norton che lo skiodi da lì!! AHRGHhhhh non voglio formattare!!!!!!
Commento # 5 di : Manoel pubblicato il 26 Nov 2001, 23:21
Usa Norton Antivirus, aggiornalo e crea i dischi di soccorso!! Con quelli dovresti comunque riuscire a disinfettare il tuo pc... )
Commento # 6 di : dankom pubblicato il 26 Nov 2001, 23:36
Hai ragione, su un mio cliente ha funzionato...www.tgo.it
Commento # 7 di : wercoil pubblicato il 27 Nov 2001, 00:42
Per fortuna avevo appena aggiornato la mia copia di InoculateIT (scaricata A GRATIS a maggio 2001) e lo ha beccato subito !!!! ho fatto comunque un paio di scansioni e sembra tutto OK !!!
Commento # 8 di : Luca Ruiu pubblicato il 27 Nov 2001, 02:10
Norton Antivirus 2000, aggiornato al 24/11/2001, è in grado di individuare il virus e disabilita l'apertura accidentale dell'attach
Commento # 9 di : subdive pubblicato il 27 Nov 2001, 09:31
A me è arrivato ieri sera, N.A.V. con l'ultimo aggiornamento prima del 24/11 settato con euristica avanzata, ha riconosciuto il problema anche senza specificare nome e cognome, quindi ha impedito il preview di outlook.
Ho salvato su dischetto il file, dopo l'aggiornamento di NAV al 24/11 l'ha identificato con sicurezza.
Stamani molti pc (240) del mio ufficio sono stati contagiati con la posta mattutina, (antivirus non aggiornati e preview attivata), Un vero macello!!!!!!
Commento # 10 di : naar pubblicato il 27 Nov 2001, 09:42
Il problema non e' tanto nei virus, ma in chi usa ancora, dopo anni di sti problemi, e dopo decine di software concorrenti e migliori, outlook...
Lunedì 26 Nov 2001
Dalla scorsa notte la rete è stata invasa da un nuovo virus denominato BadTrans; è stato bloccato per la prima volta il 23 Novembre e sembra essersi diffuso con grande velocità in Germania, Inghilterra.
Il "punto debole" della catena, anche questa volta è da ricondurre ad Outlook Express e per la precisione Microsoft aveva documentato il bug in questa comunicazione.
Come si presenta:
Il virus si presenta con la classica forma del replay, infatti nel soggetto della mail con cui si diffonde si legge "RE" e null'altro.
Il testo del messaggio è vuoto, mentre in allegato troviamo la sgradita sorpresa: troviamo infatti un file allegato il cui nome puó essere:
stuff.MP3.pif
info.DOC.scr
S3MSONG.DOC.scr
SEARCHURL.MP3.pif
HAMSTER.DOC.pif
Me_nude.MP3.scr
fun.MP3.pif
news_doc.DOC.scr
images.DOC.pif
Humor.MP3.scr
New_Napster_Site.MP3.pif
docs.DOC.pif
README.MP3.scr
Sorry_about_yesterday.MP3.pif
Pics.DOC.scr
SETUP.DOC.scr
YOU_are_FAT!.MP3.scr
Card.DOC.pif
Come al solito, le estensioni utilizzate sono molto comuni (.scr è un formato utilizzato da alcuni screensaver). Ció che più preoccupa di questo worm è il fatto che non è necessario mandare in esecuzione l'allegato (è sufficiente avere la preview attivata in Outlook Express per rendere attivo il worm).
A complicare le cose vi è pure il fatto che il virus "porta con sè" un fastidiosissimo trojan (Trojan KDLL.DLL ), già isolato e il cui scopo è quello di "rubare" le sequenze di tasti digitati (tra cui ad esempio le password del sistema in cui si installa).
Secondo quanto riportato da Messagelab, l'unico modo reale e concreto per fronteggiare questa tipologia di virus consiste nell'utilizzo di software antivirus dotati algoritmo euristico. Questa tipologia di algoritmo consente la rilevazione di virus sconosciuti, che vengono debellati all'origine del fenomeno di diffusione. I più diffusi antivirus, utilizzano sono in modo marginale questa tecnologia, affidando la rilevazione ad un file definition che deve costantemente essere aggiornato.
Ulteriori informazioni circa la diffuzione di questo worm sono disponibili a questo indirizzo.
Cosa fare
Il consiglio è ovviamente di NON eseguire gli allegati e qualora si utilizzi Outlook Express come email client, disabilitare la visualizzazione del preview. Successivamente è' indispensabile procedere all'aggiornamento dell'antivirus.
McAfee e Symantec hanno rilasciato degli aggiornamenti dedicati. Hai seguenti link sono disponibili oltre agli update, anche valide informzioni circa questo nuovo virus:
McAfee
Symantec
Versione stampabile
<< nVidia NV17 e NV25: le specifiche nVidia NV25: nuove info >>
Pubblicate on line le prime specifiche non ufficiali dei due prossimi chip video nVidia: NV17 e NV25 I giorni passano e la data del debutto si avvicina sempre più: nuove info su NV25, il prossimo chip video di fascia alta di nVidia
Commento # 1 di : riccardods pubblicato il 26 Nov 2001, 19:07
come si disabilita l'anteprima con outlook 5?
Commento # 2 di : manwe pubblicato il 26 Nov 2001, 19:51
P0RC0 C***0 !!!! a me è arrivata stamattina, non ho la preview attiva e non ho eseguito gli allegati, ma senza farci caso ho aperto il messaggio. Subito cancellato e svuotato il cestino di Outlook Express (buggato di m***a!). Norton Antivirus 2002, aggiornato, non mi trova niente, posso stare tranquillo ????
AIUTOO
Commento # 3 di : riccardods pubblicato il 26 Nov 2001, 21:05
sono combinato come te....mi è arrivato 3 volte stamattina...appena noto una cosa strana faccio il formattone.
Commento # 4 di : DarIOTheOriginal pubblicato il 26 Nov 2001, 23:01
ragazzi scuasate ma.....cazzo!!!!! Io me lo son beccato e lo ho forwardato a mezzo mondo (persino al comune e al RETTORE dell'uni....)...ma il peggio è che lo st*onzone mi ha infettato kernel32.exe.....e non c'è norton che lo skiodi da lì!! AHRGHhhhh non voglio formattare!!!!!!
Commento # 5 di : Manoel pubblicato il 26 Nov 2001, 23:21
Usa Norton Antivirus, aggiornalo e crea i dischi di soccorso!! Con quelli dovresti comunque riuscire a disinfettare il tuo pc... )
Commento # 6 di : dankom pubblicato il 26 Nov 2001, 23:36
Hai ragione, su un mio cliente ha funzionato...www.tgo.it
Commento # 7 di : wercoil pubblicato il 27 Nov 2001, 00:42
Per fortuna avevo appena aggiornato la mia copia di InoculateIT (scaricata A GRATIS a maggio 2001) e lo ha beccato subito !!!! ho fatto comunque un paio di scansioni e sembra tutto OK !!!
Commento # 8 di : Luca Ruiu pubblicato il 27 Nov 2001, 02:10
Norton Antivirus 2000, aggiornato al 24/11/2001, è in grado di individuare il virus e disabilita l'apertura accidentale dell'attach
Commento # 9 di : subdive pubblicato il 27 Nov 2001, 09:31
A me è arrivato ieri sera, N.A.V. con l'ultimo aggiornamento prima del 24/11 settato con euristica avanzata, ha riconosciuto il problema anche senza specificare nome e cognome, quindi ha impedito il preview di outlook.
Ho salvato su dischetto il file, dopo l'aggiornamento di NAV al 24/11 l'ha identificato con sicurezza.
Stamani molti pc (240) del mio ufficio sono stati contagiati con la posta mattutina, (antivirus non aggiornati e preview attivata), Un vero macello!!!!!!
Commento # 10 di : naar pubblicato il 27 Nov 2001, 09:42
Il problema non e' tanto nei virus, ma in chi usa ancora, dopo anni di sti problemi, e dopo decine di software concorrenti e migliori, outlook...
-
bladerunner65it
- Nuovi Impulsi
- Messaggi: 333
- Iscritto il: 28/09/2001, 2:00
- Contatta:
io ho fatto cosi' come suggeritomi da chi mi ha detto del virus :
"Per togliere l'anteprima devi seguire le seguenti istruzioni:
Visualizza > Layout
Spunta la voce "Visualizza riquadro di anteprima"
o in inglese:
View > Layout
Spunta la voce "Show preview pane"
Per sicurezza in questo periodo conviene analizzare la posta prima dal brouse cioè dal sito di libero e scaricarla dopo avere cancellato i files sospetti.
Ancora meglio sarebe procurarsi un antivirus funzionante e aggiornato."
"Per togliere l'anteprima devi seguire le seguenti istruzioni:
Visualizza > Layout
Spunta la voce "Visualizza riquadro di anteprima"
o in inglese:
View > Layout
Spunta la voce "Show preview pane"
Per sicurezza in questo periodo conviene analizzare la posta prima dal brouse cioè dal sito di libero e scaricarla dopo avere cancellato i files sospetti.
Ancora meglio sarebe procurarsi un antivirus funzionante e aggiornato."
-
bladerunner65it
- Nuovi Impulsi
- Messaggi: 333
- Iscritto il: 28/09/2001, 2:00
- Contatta:
lo so che è browser, io ho solo fatto un copia/incollaIn data 2001-11-27 18:31, maxxx scrive:
browser, blade, browser...
a parte questo mi è appena arriva la mail
senza oggetto ma con scritto solo re di 40.3kb , chiunque sia dino tarquini ha il virus ed io non apro la mail (fra l'altro non figura neppure l'allegato)ma è lui.
<font size=-1>[ Questo messaggio è stato modificato da: bladerunner65it il 2001-11-27 23:34 ]</font>