Condividi:        

! Segnalazione Alert di Nuovi Virus !

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi amvinfe » 26/10/03 16:10

Ultime informazioni su w32.marque.worm :
se infettati al riavvio della macchina vengono modificati i parametri di connessione e collegati ad un 899



Grazie a NetKiLLeR per la segnalazione
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Sponsor
 

W32.Mimail.C@mm

Postdi amvinfe » 31/10/03 22:00

W32.Mimail.C@mm


Nuova variante del worm Mimail, nelle ultime ore è aumentato il numero di pc infettati, ecco perché tutte le Aziende per la Sicurezza Informatica come rischio lo hanno classificato MEDIO-ALTO.
Arriva per posta con allegato .zip (12,958 bytes), una volta aperto quello che viene visualizzata è una foto, ma nel contempo viene eseguito un file con doppia estensione .jpg.exe (12,832 bytes).
Per spedirsi usa un proprio motore SMTP copia gli indirizzi da tutti i files presenti nel pc infetto tranne quelli con estensione
.avi
.bmp
.cab
.com
.dll
.exe
.gif
.jpg
.mp3
.mpg
.ocx
.pdf
.psd
.rar
.tif
.vxd
.wav
.zip


copiandoli nel file %Windir%\eml.tmp
Il worm, attraverso un attacco DoS (Denial of Service), cerca di colpire i seguenti siti
· darkprofits.net
· darkprofits.com

Ecco nel dettaglio come può presentarsi una mail infetta da W32.Mimail.C@mm
----------------------------------------------------------------------------------------------------------------------------------
Da: james@(dominio del destinatario)
A: (indirizzo del destinatario)
Allegato: photos.zip
Oggetto: Re[2]: our private photos (più alcune lettere casuali)
Testo del messaggio:
Hello Dear!,
Finally, i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're withou ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.
(più alcune lettere casuali)
---------------------------------------------------------------------------------------------------------------------------------------
N.B.
Nella mail si possono avere i seguenti headers
X-Mailer: The Bat! (v1.62)
X-Priority: 1 (High)
Una volta infetti viene creato il file NETWATCH.EXE (12,832 bytes) nella directory %WinDir% (questo a seconda del sistema operativo in uso C:\Windows o C:\Winnt).
Nella stessa directory vengono creati i seguenti files:
EML.TMP
EXE.TMP
ZIP.TMP

Nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CurrentVersion\Run
viene aggiunta la voce "NetWatch32" = "%Windir%\netwatch.exe"



Rimozione:
Riavviare in modalità provvisoria (tasto F8 al caricamento del sistema)
Entrare nella task manager (CTRL+ALT+CANC nei sistemi 95/98/ME CTRL+MAIUSC.+ESC nei sistemi NT/2000/XP)
E terminare il processo NETWATCH.EXE se presente, chiudere la task e riaprirla verificando che il processo sia stato effettivamente terminato.
Da Start>Esegui scrivere regedit e portarsi nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows\CurrentVersion\Run e dalla finestra di dx eliminare il valore "NetWatch32"
Cercare ed eliminare dal disco i seguenti files
EML.TMP
EXE.TMP
ZIP.TMP


N.B.
Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore).



Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi amvinfe » 18/11/03 02:32

Falsa mail paypal.com nasconde nuova variante (.j) del worm Mimail

Una nuova variante del worm Mimail, la W32.Mimail.J@mm, è in circolazione in queste ore.
Simile alle altre varianti che lo hanno preceduto è facilmente riconoscibile dal suo "Mittente", "Allegato", "Oggetto" e "Corpo del messaggio".


Mittente: Do_Not_Reply@paypal.com
Allegato: InfoUpdate.exe oppure www.paypal.com.pif
Oggetto: IMPORTANT (più una serie di carratteri casuali)
Corpo del messaggio:
Dear PayPal member,

We regret to inform you that your account is about to be expired in next five business days. To avoid suspension of your account you have to reactivate it by providing us with your personal information.
To update your personal profile and continue using PayPal services you have to run the attached application to this email. Just run it and follow the instructions.
IMPORTANT! If you ignore this alert, your account will be suspended in next five business days and you will not be able to use PayPal anymore.
Thank you for using PayPal.


N.B.
Ricordatevi che qualora eseguiste l'allegato vi verrà mostrata una falsa autorizzazione PayPal

Immagine

Immagine


Il worm aggiunge una serie di files nel disco:
c:\cansend.sys
c:\pp.gif (icona paypal)
c:\pp.hta (interfaccia grafica)
c:\ppinfo.sys (dettagli della tua carta di credito)
%WinDir%\ee98af.tmp (copia del worm)
%WinDir%\el388.tmp (indirizzi mail)
%WinDir%\svchost32.exe (copia del worm)
%WinDir%\zp3891.tmp


Aggiunge inoltre il valore SvcHost32 = %WinDir%\svchost32.exe nella chiave

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


Per propagarsi e quindi infettare altre macchine usa un proprio motore SMTP (Simple Mail Transfer Protocol) la ricerca degli indirizzi cui spedirsi è fatta all'interno di tutti i files presenti sul pc infetto fatta eccezione di quelli aventi estensioni:
.COM
.WAV
.CAB
.PDF
.RAR
.ZIP
.TIF
.PSD
.OCX
.VXD
.MP3
.MPG
.AVI
.DLL
.EXE
.GIF
.JPG
.BMP



W32.Mimail.J@mm



Marco(amvinfe)
Pensi d'avere un file infetto?
Invialo a
SuspectFile
amvinfe
Utente Senior
 
Post: 193
Iscritto il: 06/09/02 16:22
Località: Dietro il tuo monitor a farti cucù

Postdi JollyRogers » 26/12/03 03:46

"E' stato scoperto un nuovo virus chiamato Bodiru-A che si trasmette mediante l'utilizzo dei client p2p (per il momento sembra solo con Kazaa, Kazaa Lite K++, Edonkey2000 ed Emule).

Una volta attivato crea diverse copie di se stesso nella cartella destinata ai download ed utilizza nomi estremamente comuni, come ad esempio ACDSee 5.5.exe, Clone CD 5.0.0.3.exe, UT2003_patch.exe ed altri ancora (molto simile al worm W32.HLLW.Blaxe).

Il virus cerca di disabilitare l'antivirus e inserisce una chiave di registro che ne garantisce l'attivazione ad ogni avvio del sistema."

LEGGI QUI
JollyRogers
Utente Senior
 
Post: 106
Iscritto il: 09/11/02 17:59

Postdi JollyRogers » 26/12/03 04:04

W32/Bodiru-A uses the following filenames:


Codice: Seleziona tutto
ACDSee 5.5.exe

AOL Instant Messenger Crasher.exe

AVP Antivirus Pro Key Crack.exe

Adobe_Keyge.exe

Age of Empires 2 crack.exe

Aim bot ut3.exe

All Microsoft Products CD Key Generator.exe

All Norton Antivirus KEys!.exe

Ana Kournikova Sex Video (downloader).exe

Animated Screen 7.exe

Any Nick Name Msn 6.0.exe

Aol_cracker.exe

AquaNox2 Crack.exe

Audiograbber 2.05.exe

BabeFest 2003 ScreenSaver 1.6.exe

Battlefield1942_bloodpatch.exe

Battlefield1942_keygen.exe

Britney Spears Sex Video.exe

Buffy Vampire Slayer Movie.exe

BurnDvds.exe

Business Card Designer Plus 7.9.exe

Clone CD 5.0.0.3 (crack).exe

Clone CD 5.0.0.3.exe

Cool Edit Pro v2.55.exe

Counter Strike - See Through Walls.exe

Crack Passwords Mail.exe

Credit Card Numbers generator(incl Visa,MasterCard).exe

Credit_Card_Numbers_generator.exe

DVD Copy Plus v5.0.exe

DVD Region-Free 2.3.exe

Darkness_Krew.exe

DeadAim 4.0 KeyGen.exe

Diablo 3 Crack.exe

Diablo_2_Crack.exe

DirectDVD 5.0.exe

DirectX Buster (all versions).exe

DivX Video Bundle 6.5.exe

Divx_Pro_5.1_Serial.exe

Divx_pro (FINAL!).exe

Doom III (Cd KEys).exe

Download Accelerator Plus 6.1.exe

Dvd_Plus_Crack.exe

Dvd_Ripper(The Best 04).exe

Dvd_To_Vcd.exe

Easy_Dvd_Ripper.exe

Easy_Dvd_creator_Crack.exe

Edonkey2000-Speed me up scotty.exe

FIFA2003 crack.exe

Fifa 2004 (Cd Crack).exe

Final Fantasy VII XP Patch 1.5.exe

Flash MX crack (trial).exe

FlashGet 1.5.exe

FreeRAM XP Pro 1.9.exe

GTA 3 Crack.exe

GTA 3 Serial.exe

Game Cube Real Emulator.exe

GetRight 5.0a.exe

Gothic2 licence.exe

Guitar Chords Library 5.5.exe

Hack Any Kazaa User.exe

Hack The School.exe

Hack Website Easy.exe

Hacker_The_LoveStory.exe

Half Life 2 (Cd Crack).exe

Half Life 2 (cd Keys).exe

Harry potter2 Crack.exe

Hitman_2_no_cd_crack.exe

Hotmail Hacker Gold (All Msn Versions!).exe

Hotmail_Hacker_2003-Xss_Exploit.exe

Ip Nuker V6 (Reall Works).exe

KaZaA Hack 2.5.0.exe

KaZaA Speedup 3.6.exe

KaZaA-Hack_2.5.0.exe

Kazaa Lite )FINALL!(.exe

Kazaa SDK + Xbit speedUp for 2.xx.exe

LYNDEN.exe

Links 2003 Golf game (crack).exe

Living Waterfalls 1.3.exe

Love.exe

MSN Password Hacker 5.7 (worked on my ex-girlfriend!).exe

MWorld Of Warcraft (FULL) Installer and Downloader.exe

Macromedia product keys.exe

Macromedia_Keygen.exe

Mafia_crack.exe

Mail Bomber For msn messsenger 6.0.exe

Matrix Screensaver 1.5.exe

Mcafee Antivirus Scan Crack.exe

MediaPlayer Update.exe

Messenger Plus Latest!.exe

Microsoft .NET hack.exe

Microsoft KeyGenerator-Allmost all microsoft stuff.exe

Msn 6.0 (Multi Messenger).exe

Msn 6.0 Crasher!.exe

Msn 6.0 Kicker.exe

Msn 6.0 Password Cracker.exe

Msn Emotions (Version 6.0).exe

Msn Emotions (Version 6.1).exe

Msn Ip Finder 2004.exe

Msn Messenger 6.0 Bomber!.exe

Msn Messenger Betta 6.2.exe

Music Download 2003 (Full Albums).exe

NBA2003_crack.exe

Need 4 Speed crack.exe

Nero_Burning_Rom_Crack.exe

Netbios Nuker 2003.exe

Netbios Nuker 2004.exe

Netfast 1.8.exe

Network Cable e ADSL Speed 2.0.5.exe

Nimo CodecPack (new) 8.0.exe

Nimo_Codec_PackUpdater.exe

Norton Anvirus Key Crack.exe

PS2 PlayStation Simulator.exe

PalTalk 5.01b.exe

Panda Antivirus Titanium Crack.exe

Pop-Up Stopper 3.5.exe

Popup Defender 6.5.exe

Ps2 Real Emulator.exe

Quake 3 Keygen (works Great).exe

Quake3 - See through wallz.exe

Quick Time Key Crack.exe

QuickTime_Pro_Crack.exe

Real Sex Toys!.exe

Screen saver christina aguilera naked.exe

Security-2003-Update.exe

Serials 2003 v.8.0 Full.exe

Serials 2004 v.8.0 Full.exe

SmartFTP 2.0.0.exe

SmartRipper v2.7.exe

Space Invaders 1978.exe

Splinter_Cell_Crack.exe

Starcraft serials.exe

Stripping MP3 dancer+crack.exe

Sub 7 2.9.exe

Trillian 0.85 (free).exe

TweakAll 3.8.exe

UT2003_bloodpatch.exe

UT2003_keygen.exe

UT2003_no cd (crack).exe

UT2003_patch.exe

Unreal Tournament 2003 (Cd Crack).exe

Unreal Tournament 2003 (Cd KEys).exe

Unreal2_bloodpatch.exe

Unreal2_crack.exe

VB6.exe

Visual Basic (ALL KEYS GEN).exe

Visual Basic 6.0 Msdn Plugin.exe

Visual Basic Decompiler.exe

WarCraft_3_crack.exe

WinOnCD 4 PE_crack.exe

WinRar 3.xx Password Cracker.exe

WinZip 9.0b (CRACK).exe

WinZip 9.0b.exe

WinZipped Visual C++ Tutorial.exe

WindowBlinds_4.0.exe

Windows XP complete + serial.exe

Windows Xp Exploit.exe

Winzip KeyGenerator Crack.exe

XNuker 2003 2.93b.exe

XNuker_2003_2.93b.exe

Xvid_Codec_Installer.exe

Yahoo Account Stealer.exe

Yahoo Messenger 6.0.exe

Zelda Classic 2.00.exe

aol password cracker.exe

cable modem ultility pack.exe

cable modem.exe

counter-strike.exe

mIRC 6.40.exe

pamela_anderson.exe

play station emulator.exe

serials2000.exe

warcraft 3 crack (Really Works).exe

warcraft 3 serials.exe

winamp plugin pack.exe

winzip full version key generator.exe

JollyRogers
Utente Senior
 
Post: 106
Iscritto il: 09/11/02 17:59

Postdi frado » 04/01/04 11:06

Ciao !

Io stamattina ho ricevuto da:

From: 3DA451E300EDB353@24fun.com
To: ad_mailer@libero.it
Subject: You use illegal File Sharing ...
Importance: Normal
X-Mailer: Fax MailV4.25
X-Priority: 3 (Normal)
Message-ID: <47834113836288.62070xsmailer@24fun.com>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="6dcbf0df.bd596f7"
This is a multi-part message in MIME format.

una mail con questo testo:

Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.

We hereby inform you that your computer was scanned under the IP 61.209.111.120 . The
contents of your computer were confiscated as an evidence, and you will be indicated.
You get the charge in writing, in the next days.
In the Reference code: #15097, are all files, that we found on your computer.

The sender address of this mail was masked, to protect us against mail bombs.


- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for "Illegal Internet Downloads", Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000

il NAV mi ha detto che:

Norton AntiVirus ha rimosso l'allegato: refcode15097.txt.bat.
L'allegato era infettato con il virus W32.Sober.C@mm.

Se può essere utile... ;)

Ciao e BUON 2004 !!
frado
Utente Senior
 
Post: 124
Iscritto il: 14/10/01 01:00
Località: Trinacria

Postdi JollyRogers » 18/02/04 21:25

Aula (Bagle.b)

Nuovo Worm che si diffonde via posta elettronica tramite un allegato che utilizza un proprio motore SMTP.
Una volta attivato apre la porta TCP 8866 consentendo al lamer di turno di introdursi nel PC.
Il 25 Febbraio Aula dovrebbe cessare qualsiasi attività lasciando però aperte le backdoor sui computer infetti.
Il Worm colpisce "tutti" i S.O. Windows (dal 95 in poi) e, a quanto pare, sono immuni Linux, Unix & Mac

Cmq, leggete qui:

http://securityresponse.symantec.com/avcenter/venc/data/w32.alua@mm.html

http://www.sophos.com/virusinfo/analyses/w32tanxa.html

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.B

http://www.pcself.com/virus/alua.html
JollyRogers
Utente Senior
 
Post: 106
Iscritto il: 09/11/02 17:59

Postdi piercing » 26/06/04 12:36

Rispolvero il topic per segnalare la massima attenzione su questo nuovo virus... che sembra attacchi solo i sistemi windows con IIS attivo...

La CNN ne ha dato notizia già da ieri... e Microsoft lo segnala con il massimo livello di attenzione...

Non ne ho ancora trovato menzione qui da noi... ma correte ai ripari il prima possibile...

http://www.microsoft.com/italy/security ... _ject.mspx
http://www.microsoft.com/italy/technet/ ... 4-011.mspx
http://www.microsoft.com/italy/technet/ ... 4-013.mspx

http://www.cnn.com/2004/TECH/internet/0 ... index.html

I siti dei produttori di antivirus al momento non segnalano nulla...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Mikizo » 26/06/04 14:48

Riguardo download_ject, ho verificato di aver installato gli aggiornamenti di MS con un Windows Update del 30 aprile 2004...
Sono passati quasi due mesi... quanti amministratori di sistema si troveranno nella ca*ca per non aver mai cliccato sul winupdate per due mesi :?: :aaah
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi pjfry » 26/06/04 14:56

Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi piercing » 26/06/04 15:30

pjfry ha scritto:http://www.pc-facile.com/news.php?n=20224 :D


aggiungici la keyword download_ject ... giuro che ho cercato prima di postare.. ehehhe ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi piercing » 26/06/04 15:32

Mikizo ha scritto:Riguardo download_ject, ho verificato di aver installato gli aggiornamenti di MS con un Windows Update del 30 aprile 2004...
Sono passati quasi due mesi... quanti amministratori di sistema si troveranno nella ca*ca per non aver mai cliccato sul winupdate per due mesi :?: :aaah


e dire che i server lo fanno senza neanche il click... visto che lo lasci tranquillamente schedulato... eppure staranno messi male almeno l'80% dei server web...

nuovo nimda e codered insomma...

unico metodo per non prenderselo sul proprio PC.... non usare explorer... ma va? ehehhe... e chi lo usa più ormai...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi pjfry » 26/06/04 15:46

piercing ha scritto:
pjfry ha scritto:http://www.pc-facile.com/news.php?n=20224 :D


aggiungici la keyword download_ject ... giuro che ho cercato prima di postare.. ehehhe ;)

giusto, ho editato il titolo, eze non se la prenderà :D
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi kadosh » 28/06/04 20:22

In riferimento al Download.Ject che attacca i server con IIS installato eccovi il riferimento MS:

http://support.microsoft.com/?kbid=871277
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi piercing » 20/07/04 21:45

Grazie Ribonix per la segnalazione di W32.Beagle.AG@mm
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Nuova versione MyDoom

Postdi 1diabolik1 » 24/08/04 09:03

Credo sia importante, anche per mettere in guardia gli eventuali meno esperti che visitano il forum. La notizia l'ho presa da questo link http://tecnologia.tiscali.it/internet/articoli/news/2004/luglio/virus_allarme_rosso_mydoom.html
Non sottovalutate la potenza di Google
1diabolik1
Utente Junior
 
Post: 94
Iscritto il: 01/08/04 10:23

Postdi dado » 15/12/04 11:43

Nuovo virus prenatalizio: che bel regalino!!
W32.Erkez.D@mm, conosciuto anche come Win32.Zafi.D.
Immagino ne abbiate già fatto la conoscenza, almeno qualcuno fra voi! :diavolo:

Per saperne di più...
http://www.symantec.com/avcenter/venc/d ... .d@mm.html

Tool di rimozione automatica:
http://securityresponse.symantec.com/av ... xErkez.exe

...e sua guida all'uso:
http://securityresponse.symantec.com/av ... .tool.html

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi 1diabolik1 » 15/12/04 12:45

La notizia é stata riportatata oggi dal giornale che esce nella mia regione, la splendida sicilia.
Non sottovalutate la potenza di Google
1diabolik1
Utente Junior
 
Post: 94
Iscritto il: 01/08/04 10:23

Postdi dado » 13/02/05 13:40

Cari utenti innamorati, con la mente ofuscata dalla passione x la vostra donna o per il vostro uomo, state all'erta e riacquistate un attimo di lucidità per distinugere le email innoque da quelle pericolose... un nuovo virus - il worm Kipis-H - è in agguato, e sfrutta proprio il momento di debolezza del 14 febbraio. :D

http://www.zeusnews.it/index.php3?ar=stampa&cod=3831

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Precedente

Torna a Sicurezza e Privacy


Topic correlati a "! Segnalazione Alert di Nuovi Virus !":


Chi c’è in linea

Visitano il forum: Nessuno e 68 ospiti