Statistiche sito,contatore visite, counter web invisibile

"Badtrans : Il virus che si autoinstalla e ...

il più recente: "Goner"




BadTrans
In questi giorni si sta diffondendo un nuova versione del virus BadTrans.

Il worm invia una serie di messaggi di posta elettronica senza testo e con allegati che hanno doppia estensione, di cui la prima può essere una delle seguenti:
.DOC .MP3 .ZIP seguiti da .PIF o .SCR

La novità è che questa volta l'allegato può essere eseguito in modo automatico quando cioè i messaggi di posta sono aperti.

Se volete effettuare una immediata scansione e rimozione di eventuali virus direttamente attraverso Internet, potete collegarvi al sito della IDG World Italia (l'Editore di PC World, per intenderci) http://antivirus.idg.it/housecall/

Per approfondimenti e soluzioni tecniche (utenti avanzati) vi consigliamo invece il sito della Symbolic http://www.symbolic.it/Rassegna/BadTrans.html

o quello dettagliatissimo (in inglese) della Trend Micro; il virus di cui abbiamo parlato compare in seconda posizione nella lista Top 10 del Virus Information Center http://www.antivirus.com/

Secondo quanto riportato da Symbolic, la diffusione del virus BadTrans procede a ritmi sostenuti. Badtrans e' in grado di inviare allegati con nomi variabili, che al verificarsi di alcune condizioni e su certi tipi di client potrebbero auto-eseguirsi durante la lettura della mail.

Badtrans.B si diffonde sui sistemi Win32. Oltre alla diffusione via posta elettronica, e' in grado di installare componenti trojan al fine di sottrarre informazioni dai sistemi infettati.

Badtrans.B viene trasmesso tramite un eseguibile in formato PE (Portable Executable), di circa 29 Kb nella sua forma compressa. E' composto da due parti - Worm e Trojan. La prima componente si occupa di inviare i messaggi infetti, mentre la seconda invia informazioni sull'utente e sul pc infetto a un indirizzo esterno di posta elettronica.

Il worm si puo' attivare in due modalita' differenti: con la collaborazione dell'utente (se quest'ultimo esegue l'allegato infetto) o autonomamente, sfruttando la vulnerabilita' IFRAME del client Internet Explorer. In seguito all'attivazione, il worm rilascia nel sistema la sua componente Trojan. Il nome del file che contiene il trojan, la directory in cui viene creato e la chiave di registro in cui viene inserito il riferimento possono essere configurati dall'hacker prima di spedire la mail. Inoltre, viene installata una DLL dal nome variabile con funzioni di Keylogger (cioe' in grado di memorizzare il testo digitato tramite tastiera). Opzionalmente, Badtrans.B puo' cancellare il file originale infetto dopo l'installazione del trojan.

Approfondimenti su Badtrans

Per reinviare i messaggi infetti, il worm usa una connessione diretta al server SMTP; gli indirizzi dei destinatari vengono ricavati dalla casella della Posta in Entrata oppure analizzando il contenuto dei file *.HT* e *.ASP Il messaggio e' in formato HTML e sfrutta la vulnerabilita' IFRAME. Il campo "From" della mail infetta puo' contenere il vero indirizzo dell'utente infettato oppure un indirizzo scelto a caso tra i seguenti:

" Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
" Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
" Administrator"
" Admin"
"Support"
"Monika Prado"
"Mary L. Adams"
" Anna"
"JUDY"
"Tina"

Il soggetto della mail e' vuoto, oppure "Re:", o "Re:" piu' il soggetto di una mail trovata nella casella della Posta in Entrata; il corpo del messaggio e' vuoto. L'allegato ha un nome casuale con doppia estensione, seguendo questo schema:

[Nome del File]
Pics(o PICS ),  Card(o CARD),  images(o IMAGES),  Me_nude(o ME_NUDE), README,  Sorry_about_yesterday,  New_Napster_Site,  info,  news_doc(o NEWS_DOC),   docs(o DOCS),  HAMSTER,  Humor (o HUMOR),  YOU_are_FAT!(o YOU_ARE_FAT!),  fun(o FUN),  stuff,  SEARCHURL,  SETUP,  S3MSONG

[Prima estensione]
DOC .ZIP .MP3

[Seconda estensione]
.scr, .pif

Ad es.: "info.DOC.scr"

Il worm conserva le mail da cui ha recuperato gli indirizzi dei destinatari in un file denominato PROTOCOL.DLL nella directory di sistema di Windows; prima di inviare una mail infetta, controlla nel file che l'indirizzo non sia gia' stato contattato in precedenza, in modo da non inviargli due volte il worm.

Approfondimenti su Badtrans

Badtrans.B si installa nella directory di sistema di Windows in un file chiamato KERNEL32.EXE, registrato in questa chiave del System Registry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Kernel32 = kernel32.exe

Il programma per il keyboard hooking e' contenuto in una libreria denominata per default KDLL.DLL e ha il compito di inviare le informazioni sul sistema a un indirizzo di Hotmail. Per default il log e' contenuto nel file CP_25389.NLS nella directory di sistema di Windows.

Informazioni sulla vulnerabilita' IFRAME

L'allegato di Badtrans.B puo' autoeseguirsi durante la lettura della mail infetta su sistemi che montano Internet Explorer e che non abbiano gia' installato la patch disponibile presso:
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp


Disinfezione:
Per disinfettare il sistema, basta cancellare i file rilevati come infetti dal worm e dal trojan. La cancellazione potrebbe non essere immediata se i file sono in uso dal sistema operativo. In questo caso occorre scaricare e lanciare con un doppio clic questo file REG:
ftp://ftp.europe.f-secure.com/anti-virus/tools/bt_b_dis.reg

Dopo il riavvio del sistema, il file del worm puo' essere cancellato. Il file contenente il trojan, invece, puo' essere variabile, cosi' come la relativa chiave di registro; quando FSAV rileva il file infetto, annotate il nome e il percorso. Poi riavviate la macchina in DOS e cancellate il file con il comando DEL (es: DEL nomefile). Per i sistemi basati su NTFS (Windows NT, 2000, XP) e' necessario rinominare il file con nome e estensione differenti (es. TROJAN.VIR) e riavviare il sistema. Dopo il riavvio, il file sara' accessibile e potra' essere rimosso.
sopportare un peso maggiore, così facilmente rallentando, quando in realtà non ce n'è bisogno.

Noi consigliamo di settare il timeout di una sessione a circa 5-10 minuti. Ecco come :

<%
Session.TimeOut = tempoinminuti
%>

Esempio :

<%
Session.TimeOut = 7
%>

 



Qualche dettaglio sul nuovo virus :

Si chiama Goner e sembra di rapida diffusione.

Questo Worm, invia dal computer infetto decine di mail, e non solo....

Il primo allarme si e' avuto dalla Trend.

La pericolosita' di questo worm, sta aumentando man mano.
Ieri sera 04.12.01, la Symantec classificava il worm con livello 3, oggi invece questo livello e' salito a 4.

Ecco alcuni dettagli su questo worm:
si autospedisce dal pc infetto a tutti gli indirizzi presenti nella rubrica. Oltre che via mail, GONER si diffonde anche via ICQ e le reti IRC.

Eccovi le caratteristiche del messaggio:
- peso allegato - 38 Kb
- nome allegato - Goner.src
- oggetto del messaggio - Hi
- testo del messaggio: "How are you?
When I saw this screen saver, I immediately thougth about you.
I am in a harry, I promise you will love it!"

Una volta eseguito, il worm mostrera' una sua finestra ed in background, accedera' alla rubrica di windows autoinviandosi. Inoltre, si piazzera' nel registro di configurazione: H_KEY_LOCAL_MACHINE

Sembra anche che sia autoinstallante, pertanto si consiglia di disattivare in Outlook, l'anteprima delle e-mail. Appena avremo altre notizie, aggiorneremo queste informazioni.




... con la speranza di aver fatto cosa gradita...



ora se vuoi tornare alle pagine del nostro sito...



Un ringraziamento particolare a www.puntoinformatico.it, autori dell'articolo relativo al Virus


Home Page
Macchine agricole
Trattori nuovi
Trattori usati
Macchine usate
Novità
I vostri annunci
Ricambi
E-commerce webshop
Articoli promozionali
La ns.azienda
Commenti
Segnala il ns.sito
Contattaci

© 2000-2012 WebMaster Agris

www.agriservices.it
www.ricambitrattorishop.com

Agriservices Srl
Via Aleardi 43 - 10045 Piossasco (Torino)
Tel. 011-906.65.45 Fax 011-0960078