• Non sono ammesse registrazioni con indirizzi email temporanei usa e getta

Allerta: Email-Worm.Win32.VB.bi

ERCOLINO

ERCOLINO

Membro dello Staff
Amministratore
Registrato
3 Marzo 2003
Messaggi
245.151
Località
Torino
Un nuovo mass-mailing worm, classificato dall'azienda antivirus F-Secure come Email-Worm.Win32.VB.bi si sta diffondendo rapidamente e in maniera aggressiva negli accounts di posta. Sebbene si tratti di un semplice virus mass-mailer scritto in Visual Basic, in poche ore il codice nocivo ha scalato la speciale classifica delle "statistiche virus" di F-Secure, posizionandosi al terzo posto tra i virus più attivi nelle ultime 24 ore e al quarto tra i più attivi negli ultimi 7 giorni.

Ecco i dettagli attualmente disponibili: Non appena si insedia nel PC vittima, Email-Worm.Win32.VB.bi (alias: W32.Blackmal.E@mm, WORM_GREW.A, W32/Nyxem-D, Email-Worm.Win32.VB.bi) tenta di disabilitare i software di sicurezza installati nel sistema. Il worm è scritto in Visual Basic e compilato come p-code. La dimensione dell'eseguibile principlae è di circa 95 kilobytes.

Una volta eseguito si auto-copia in vari posizione nel PC infettato: %Windows%\rundll16.exe, %System%\scanregw.exe, %System%\Update.exe, %System%\Winzip.exe

e installa la seguente chiave di registro per garantirsi l'autorun al riavvio della macchina:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "%System%\scanregw.exe"

Il worm colleziona gli indirizzi e-mail trovati nei files con le seguenti estensioni:
.HTM, .DBX, .EML, .MSG, .OFT, .NWS, .VC, .MBX, .IMH, .TXT, .MSF
e nei files con le seguenti stringhe di caratteri nel nome:
CONTENT, TEMPORARY

Il worm si auto-spedisce come allegato nei messaggi infetti sfruttando i seguenti oggetti:
The Best Videoclip Ever, School girl fantasies gone bad, A Great Video, Fuckin Kama Sutra pics, Arab sex DSC-00465.jpg, give me a kiss, *Hot Movie*, Fw: Funny :), Fwd: Photo, Fwd: image.jpg, Fw: Sexy, Re:, Fw:, Part 1 of 6 Video clipe, You Must View This Videoclip!, Miss Lebanon 2006, Re: Sex Video, My photos

Il corpo del messaggio varia tra i seguenti: Note: forwarded message attached., Hot XXX Yahoo Groups, Fuckin Kama Sutra pics, ready to be FUCKED ;), Note: forwarded message attached., forwarded message attached., VIDEOS! FREE! (US$ 0,00), i attached the details. Thank you., >> forwarded message, ----- forwarded message -----, i just any one see my photos. It's Free :)

Il worm può allegare se stesso come eseguibile nel messaggio sfruttando i seguenti nomi:
007.pif, School.pif, 04.pif, photo.pif, DSC-00465.Pif, image04.pif, 677.pif, New_Document_file.pif, eBook.PIF, document.pif, DSC-00465.pIf

È inoltre in grado di eseguire il MIME-encode del file sfruttando questi nomi:
Attachments[001].B64, 3.92315089702606E02.UUE, SeX.mim, Original Message.B64, WinZip.BHX, eBook.Uu, Word_Document.hqx, Word_Document.uu

Il filename incluso nel MIME-encoding è uno dei seguenti: Attachments[001].B64 [spaces] .sCR, 3.92315089702606E02.UUE [spaces] .sCR, SeX,zip [spaces] .sCR, WinZip.zip [spaces] .sCR, ATT01.zip [spaces] .sCR, WinZip.zip [spaces] .sCR, Word.zip [spaces] .sCR, Word XP.zip [spaces] .sCR

Email-Worm.Win32.VB.bi esegue la ricerca di cartelle condivise in remoto e tenta di infettarle copiandosi come: \Admin$\WINZIP_TMP.exe, \c$\WINZIP_TMP.exe, \c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe

Maggiori informazioni sul sito di F-Secure


Fonte
 
F-Secure: Occhio a Nyxems Worm

F-Secure avverte della preoccupante diffusione di un nuovo email-worm, classificato dall'azienda di sicurezza come Nyxem.E. Già due giorni fa F-secure aveva incrementato il livello di rischio legato al worm a "Radar level 2" a causa del crescente numero di reports di infezione.
Il worm, strettamente imparentato con Email-Worm.Win32.VB.bi (Nyxem-D, Blackmal-E), ha un payload particolarmente distruttivo: si attiva ogni terzo giorno del mese distruggendo il contenuto del files presenti nel sistema infetto rimpiazzandolo con la stringa di testo "DATA Error [47 0F 94 93 F4 K5]". Tra i files presi di mira ci sono i popolari DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD and DMP.

Continua Qui
 
Nyxem, il pericolo col vestito sexy Virus che colpisce il 3 di ogni mese

NYXEM.E non è un virus malware particolarmente intelligente, e infatti ha infettato nel mondo solo 300 mila utenti. Però ha una singolare caratteristica: sferra i suoi attacchi a cadenza mensile. Inoltre questo worm "puntuale come una cambiale" è in grado di presentare un conto decisamente caro agli utenti che ha infettato. Dopo aver annullato gli antivirus, cancella una miriade di file sul computer. Il virus ha già fissato la sua prima scadenza per il 3 febbraio. Tutti i "navigatori" più distratti sono messi in guardia.

Per accedere al pc Nyxem.E si presenta come allegato di un'e-mail sfruttando l'invitante veste di un file a contenuto erotico (se non smaccatamente pornografico). Per questo motivo il malware è stato ribattezzato anche "Kamasutra" o "Mywife". Una volta aperto, il "virus contabile" si installa in alcune specifiche directory, elimina gli antivirus installati e rimane quindi tranquillamente al suo posto fino al 3 di ogni mese. Appena giunto il giorno fatidico Nyxem.E presenta il conto e comincia ad attaccare con tutta la sua forza file di diverse estensioni, tentandone la cancellazione. I bersagli preferiti di questo worm sono soprattutto i documenti in formato Word, Excel, Acces, Power Point, Pdf, e Zip.

Inoltre, una volta installato, Nyxem.E si collega a un sito web remoto per trasmettere a un contatore il numero di infezioni effettuate con successo in tutto il mondo. Attraverso un'indagine del Lurhq threat intelligence group - un'azienda statunitense per la sicurezza nel mondo degli affari - è stato possibile scoprire quali sono i paesi più colpiti dal virus. Con oltre 22 mila infezioni l'Italia occupa il terzo posto in questa particolare classifica, preceduta soltanto dal Perù e dalla primatista India.

Come tutti gli altri virus, Nyxem.E si diverte anche a far impazzire il proprietario del computer, riavviandosi a ogni ora e a ogni accensione del pc. L'allegato usato come specchio per le allodole è tendenzialmente un file in formato .pif. La dimensione globale del virus è di circa 95Kb. Sono a rischio soprattutto gli utenti di Windows.

Prevenire l'infezione non è difficile: è necessario avere un antivirus aggiornato ed evitare di aprire e-mail poco "affidabili". Le raccomandazioni di sempre. Leggermente più impegnativo - ma non impossibile - sanare invece le infezioni già attive. Basta infatti scaricare l'apposito file risolutivo "F-Force" messo a disposizione da F-Secure. Microsoft invece ha disposto la pubblicazione di una serie di istruzioni dettagliate per la rimozione manuale del worm. A tutti gli utenti più sbadati un invito a darsi da fare: per mettersi al sicuro ci sono ancora pochi giorni a disposizione.
http://www.repubblica.it
 
01.02.2006
Trend Micro: allarme per il WORM_GREW.A (noto anche come: Nyxem e Blackworm)

Un nuovo worm ha iniziato a infettare i sistemi informatici la scorsa settimana promettendo di lanciare un attacco il 3 febbraio e ogni terzo giorno dei mesi successivi: è quanto hanno rilevato i ricercatori della società specializzata in antivirus e sicurezza dei contenuti Trend Micro. Il nuovo worm, variamente denominato Nyxem, BlackMal, Mywife e CME-24, ha già infettato centinaia di migliaia di macchine durante l'ultima settimana colpendo soprattutto ignari utenti che ancora non si sono resi conto di essere stati infettati.

Come la maggior parte dei worm, anche WORM_GREW.A si propaga tramite allegati di posta elettronica e condivisioni di rete, compresi i più diffusi servizi di file sharing P2P. Il metodo di trasmissione via email adotta le consuete tecniche di social engineering promettendo immagini, contenuti pornografici o barzellette per spingere gli utenti ad aprire l'allegato contenente il worm.

Secondo Jamz Yaneza, Senior Threat Analyst di Trend Micro, nonostante questo worm utilizzi tecniche di propagazione comuni, il codice in sé è tutto fuorché comune. "Si tratta di un virus distruttivo che cancella e sovrascrive i file presenti nel sistema dell'utente colpendo i formati più diffusi come .DOC, .XLS, .PPT, .PDF e .ZIP, solo per citarne alcuni", ha dichiarato Yaneza. "Oltre a causare la perdita di numerosi dati, questo virus rende inutilizzabili anche il mouse e la tastiera mettendo fuori uso il sistema colpito". Yaneza ha sottolineato come questo worm rappresenti una reale minaccia globale che interessa finora i sistemi di oltre 150 Paesi.

C’è tuttavia una buona notizia: dal momento che questa minaccia è relativamente ben conosciuta dagli operatori della sicurezza informatica, la maggior parte di essi - compresa Trend Micro - intercetta questo worm e le sue varianti.

Trend Micro ha implementato una funzione di rilevamento specifica per tutte le varianti note di questo worm e scova con successo tutte le nuove varianti in generale, garantendo un'ampia protezione contro questa minaccia. Trend Micro offre inoltre la capacità di rimuovere automaticamente il worm mediante i suoi Damage Cleanup Services. I clienti Trend Micro possono visitare l'indirizzo http://it.trendmicro-europe.com/enterprise/support/tsc.php per utilizzare il servizio.

Come difendersi:

"La miglior difesa per un utente è rappresentata da una scansione di tutti i suoi sistemi per accertarsi di non essere stato infettato", ha ricordato Jeffrey Aboud, Threat Response Manager di Trend Micro. "L'attacco è programmato all'interno del worm, per cui se non si è verificata infezione non occorre preoccuparsi dell'attacco del 3 febbraio fintanto che il worm non penetri nel sistema". Aboud ha inoltre aggiunto alcuni consigli per gli utenti:

• Non aprire messaggi di posta elettronica provenienti da sconosciuti

• Non aprire allegati provenienti da mittenti noti qualora giungano inaspettati o se il contenuto dei messaggi accompagnatori risulti insolito rispetto alla persona che li manda

• Accertarsi di aver aggiornato le definizioni antivirus: i clienti Trend Micro dovrebbero utilizzare OPR 3.180.03 o una versione successiva

• Lanciare una scansione manuale con il prodotto Trend Micro aggiornato o con Housecall, lo scanner online gratuito di Trend Micro accessibile all'indirizzo http://it.trendmicro-europe.com/consumer/housecall/housecall_launch.php

Fonte
 
Domani è il giorno che si attiva.

Aggiornate l'antivirus e fate una bella scansione totale ;)
 
MyWife.E/Nyxem.E: La Mappa

Nelle prossime ore una recente variante del mass mailing worm Mywife (Win32/Mywife.E@mm, aka Nyxem.E, Blackworm, Black worm) si attiverà sui computer infetti distruggendo il contenuto di molti tipi di file presenti nei sistemi ospiti.

F-Secure, azienda di sicurezza tra le prime ad occuparsi del caso, sta collaborando con RCN, la compagnia che ospita il sito "counter" che il worm si occuperebbe di incrementare ogni volta che una nuova macchina viene infettata, e ha elaborato i dati statistici di accesso disponibili che includono tutti i numero IP che hanno contattato il contatore. Dopo aver filtrato gli indirizzi relativi ai bots, F-Secure ha utilizzato la sua tecnologia di WORLDMAP per creare una mappa mondiale delle possibili macchine infette, che subiranno il payload del worm nella giornata di oggi (ammesso che l’orologio di sistema sia impostato correttamente).

Un'ora dopo l'avvio della macchina infetta oggi Nyxem.E inizierà a corrompere permanentemente molti tipi-file presenti nel sistema. Il contenuto di files popolari come DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD e DMP, verrà rimpiazzato con la stringa di testo "DATA Error [47 0F 94 93 F4 K5]". Dopo ulteriori test F-Secure ha rilevato che il worm danneggia i files su tutti i drives di sistema individuati, inclusi i drives di rete. Questo nella teoria, nella pratica invece il worm non è stato in grado di corrompere i network drives, almeno durante i test effettuati. I files presenti su drives locali e removibili (incluse le memorie USB) sono invece stati tutti compromessi dal payload.

Microsoft ha rilasciato ieri il Security advisory 904420 per informare gli utenti della variante del mass mailing worm e del pericolo imminente. Il colosso giudica comunque il problema di rischio moderato e il Microsoft Anti-Malware Engineering Team riporta che le statistiche di infezione calcolate in base al contatore disponibile sul web non sono veritiere.


Secondo una indagine del team infatti il contatore verrebbe incrementato artificialmente dall'esterno. Ad ogni modo oggi conosceremo meglio l'impatto del malware sui computer di tutto il mondo. Certo vedere l'Italia quasi completamente ricoperta di puntini rossi non suggerisce nulla di buono.


Fonte
 
Devi accedere o registrarti per poter rispondere.
Indietro
Alto Basso