Sasser B, un nuovo virus all'attacco di Windows

ale il 05 Maggio 04 @ 09:06 am

Da Lunedì, tre nuove versioni del worm denominato Sasser hanno iniziato a diffondersi su Internet sfruttando una vulnerabilità dei sistemi operativi Windows XP e Windows 2000 non aggiornati. Sasser stabilisce una connessione remota con questi sistemi ed installa un server FTP. Quest'ultimo scarica il worm sul PC stesso. Tra l'altro, queste nuove versioni risultano essere molto più veloci a fare il proprio "lavoro" rispetto alla prima release, soprattutto Sasser.B che è stato rilasciato Sabato. Si ritiene che gli autori di Sasser potrebbero essere gli stessi che hanno prodotto almeno 30 varianti del virus Netsky, un gruppo di programmatori conosciuti come Skynet Antivirus Team.

Secondo Andy Champagne, direttore delle analisi di rete per il Network Service Provider Akamai, nel complesso il Sasser non sarà così devastante come MSBlaser: "Non è privo di importanza, ma non è nemmeno Blaster". Usando i dati provenienti dai suoi 15.000 nodi di rete sparsi su Internet, la Akamai ha stimato che i computer infetti sono tra i 500.000 e i 700.000, mentre aveva precedemente stimato tra i 300.000 e 1 milione di computer colpiti da MSBlaster.

La Internet Security Systems ha valutato i dati provenienti da una rete di classe B rappresentata da circa 65.000 indirizzi, ovvero l'1% dell'intera Internet, ed ha stimato tra i 500.000 ed 1 milione di computer colpiti dal worm. Secondo i dati emersi, si sono verificati dei picchi nell'attività del worm, tali che un computer collegato ad Internet dovrebbe avere circa 10 minuti di tempo prima che il worm tenti di prendersi gioco di esso.

Symantec, che conta su dati più empirici, ha confermato che almeno 10.000 computer sono stati colpiti, a cui però si dovrebbero aggiungere tutti quei computer che non sono raggiungibili dalle analisi poiché isolati dai firewall.

ale il 06 Maggio 04 @ 07:44 am

da 12:

L'ennesima vulnerabilità di Windows manda in tilt milioni di computer, anche se la patch che la corregge è disponibile da tempo. Ma pochi l'hanno installata. Come per Blaster, all'annuncio della patch fa subito seguito l'attacco di un worm su misura. Coincidenza?
Siamo alle solite. A distanza di meno di un anno dal disastro di Blaster, arriva Sasser, un altro worm che paralizza e devasta milioni di computer Windows (XP/2000/Server 2003), lasciando intatti Mac, Linux, e i venerabili Windows 95 e 98. Alla faccia del progresso tecnico di casa Microsoft e del suo trustworthy computing.
Oggi come allora, la patch che consente di evitare l'infezione è già disponibile da tempo. Così Microsoft può scaricare la colpa sugli utenti: "Ehi, noi la patch l'abbiamo pubblicata, se poi gli utenti non la installano, non possiamo farci niente."
Troppo comodo. E' vero che gli utenti hanno una parte di responsabilità, perché non hanno aggiornato il proprio sistema operativo con Windows Update (ma provateci voi a scaricare tutte le patch Microsoft con un modem a 56K), ma rifilare la colpa agli utenti distrae dal vero problema. In realtà il principale colpevole è il meccanismo di produzione del software, troppo adagiato sulla facile scappatoia delle patch. Perché prendersi la briga di scrivere codice robusto? Tanto c'è sempre la patch che risolve tutto. E così Microsoft ci ha abituato alla patch del mese. Accettereste che un televisore avesse bisogno di riparazioni ogni mese?
Peccato che casi come Blaster e Sasser dimostrano che in realtà le patch facilitano il lavoro dei vandali. Quando Microsoft annuncia una patch, per forza di cose deve fornire alcuni dettagli del problema che viene corretto. E' un principio generale che vale anche per gli altri sistemi operativi. Ma quei dettagli sono preziosi indizi per gli aggressori. In sostanza, l'annuncio di una patch indica con precisione ai vandali dove si trova una vulnerabilità sfruttabile in tutti i computer che non sono ancora stati patchati. E siccome la natura umana è quella che è, di computer non patchati ce ne sono tanti e ce ne saranno sempre tanti, anche nelle aziende e nei siti istituzionali che dovrebbero avere un po' più di sale in zucca, visto che custodiscono i nostri dati...

continua

ale il 06 Maggio 04 @ 16:02 pm

Questo articolo indica un'utility free da scaricare per pulire il tuo pc dall'oramai rinomato Virus Sasser.

Free removal tool for Sasser
Clean your computer now
Kaspersky Labs, a leading information security software developer, now has a free utility to remove the network worm Sasser.The utility can be downloaded from ftp://ftp.kaspersky.com/utils/clrav/

This program will detect active copies of the worm in computer memory, deactivate the copies, delete infected files from hard and network disks, and restore the Windows system registry by deleting the link which Sasser creates to itself. In addition to fully restoring the functionality of the infected machine, each time the program detects a copy of the virus, before deleting the file, it will display a reminder to download a patch for Windows to close the vulnerability used by Sasser. The patch can be downloaded free from the Microsoft site.

ale il 07 Maggio 04 @ 08:27 am

by Rosaspina

"La maggiori case produttrici di Anti-virus mantengono alto l´allarme per la diffusione in rete del worm Sasser. Il pericoloso virus, che sfrutta un bug nella sicurezza di Windows e potrebbe colpire fino a 300 milioni di pc, non ha ancora arrestato la propria corsa e in rete si sta rapidamente diffondendo Sasser.B la prima variante conosciuta. Ma di chi sono le responsabilità per il rapido propagarsi di Sasser e di tutti gli altri worm che infestano la rete? E´ chiaro che la responsabilità principale è dei creatori del virus che si dilettano a rendere sempre più difficile la navigazione in rete agli utenti, tuttavia è sconcertante la facilità con cui in pochi giorni vengano creati worm ad hoc per sfruttare le centinaia di vulnerabilità dei sistemi Microsoft. Grandi responsabilità per questa incessante marea di minacce informatiche è certamente da imputare proprio al colosso di Redmond che sforna sistemi operativi a getto continuo senza curare più di tanto le problematiche inerenti la sicurezza e la pulizia del proprio codice sorgente. Il problema è diventato..." leggi


A volte è vero che non tutti i mali vengono per nuocere: "E' recente la scoperta di una nuova variante del virus Netsky (o Skynet), la .ac, che si diffonde attraverso e-mail che sembrano provenire da note aziende antivirus, allo scopo di eliminare e immunizzare il destinatario dal noto worm Sasser. In allegato viene fornita una patch in grado di eseguire la rimozione automatica, che in verità attiva il worm stesso.
La nuova versione di Netsky non viene classificata come altamente pericolosa: il suo scopo sembra essere quello di inviarsi a tutti gli indirizzi della rubrica del computer infetto tramite messaggi dalle caratteristiche variabili e la disattivazione di eventuali varianti di Beagle. La diffusione del worm sfrutta la paura crescente del ben più dannoso Sasser, che provoca addirittura il ripetuto riavvio dei computer infetti; a detta dei maggiori esperti i due worm sembrano essere "fratelli", ovvero figli dello stesso padre. Confrontando il codice dei due virus sono state scoperte alcune analogie: per esempio messaggi..." leggi

Rosaspina il 07 Maggio 04 @ 20:49 pm

Ricevo da Libero:

"Gentile Cliente,
come forse saprà, da alcuni giorni si sta diffondendo su internet un nuovo virus chiamato Sasser, un virus che non si propaga via e-mail come molti dei virus del passato, ma attraverso una vulnerabilità del sistema operativo Microsoft. Se utilizza Libero - con la velocità di Libero ADSL o con un collegamento tradizionale in dial up a 56k- al virus è impedito di accedere al Suo PC durante la navigazione. Libero ha infatti installato dei filtri protettivi sugli apparati di rete e dal 3 maggio blocca ogni tentativo di infezione tra utenti infetti e non infetti. Per tutti coloro che non navigano con Libero consigliamo di aggiornare il proprio PC utilizzando Microsoft Windows update per scaricare la patch MS04-011 (http://www.microsoft.com/ ... ty/bulletin/ms04-011.mspx)"

ale il 10 Maggio 04 @ 09:59 am

Altre news su Sasser

http://www.pc-facile.com/news.php?n=18738

ale il 11 Maggio 04 @ 11:03 am

Ancora Sasser...

A conferma della teoria che l'autore tedesco di Sasser - arrestato Venerdì scorso - non fosse solo nel suo misfatto, arriva una nuova variante del Worm che ha infestato la rete Internet e che avrebbe fatto comparsa proprio questo week-end: SASSER-E (news precendente).
Ad affermarlo è Luis Corrons, direttore di PandaLab, il quale ipotizza invece, un gruppo organizzato di programmatori che avrebbero condiviso informazionie e conoscenze, implementato le varianti e si sarebbero spalleggiati a vicenda.
Ma non solo per il worm Sasser.
La sua teoria verrebbe applicata a tutte le famiglie dei più recenti Virus in circolazione: quindi anche Bagle, Mydoom e Netsky, il che giustificherebbe una sorta di guerra virtuale tra i vari gruppi di delinquenti.
Sempre dal punto di vista di Luis Corrons, questi gruppi underground della rete potrebbero in realtà attuare politiche diversive, proprio grazie alla diffusione di questi Virus, per approfittarsi, in realtà, della confusione generale e attuare altre azioni malevole sulla rete.
Nel frattempo, però, stanno per giungere nuovi Virus, forse ancora poco noti visto il gran trambusto attorno all'evento mediatico che ha ottenuto Sasser. I nuovi arrivi si chiamano PE_ELKERN.D, PE_VALLA.A, TROJ_REVOP.A, PE_FUNLOVE.4099