Virus News 2000
(c) 1993 -2000 TG Soft S.a.s. - Tutti i diritti riservati.

 

News 2001

 

  

Funlove.4099

Win32.Hybris

Virus a pioggia

Win32.Navidad

W97M/eight941.D

JS/KakWorm

Win32.MTX

Dicembre 2000 Win32.Funlove.4099 diiffuso anche in Italia

Il C.R.A.V. (Centro Ricerche Anti Virus della TG Soft) ha ricevuto dalla Basilicata il nuovo virus Win32.Funlove.4099. I ricercatori della TG Soft sono già al lavoro per analizzare il codice virale ed aggiornare i software che verranno resi disponibili quanto prima.

Il virus infetta i file eseguibili di Windows sui dischi fissi, sui dischi locali e sui dischi di rete. Win32.Funlove.4099 crea il file FLCSS.EXE che contiene solo il codice virale. Questo file viene  eseguito come applicazione nascosta e scandisce tutti i dischi locali dal disco C: al disco Z:, infettando tutti files con estensione .OCX, .SCR e .EXE.

Il virus contiene il seguente testo: Fun Loving Criminal

Novembre 2000 Win32.Hybris diffusissimo in Italia

Ci è stato segnalato da numerosi utilizzatori dei Ns. software antivirus di aver ricevuto messaggi privi di mittente e di oggetto con file attach di tipo eseguibile (.EXE) di 23 kbytes

Il file eseguibile inviato quale attach ha nome diverso ogni volta poichè questo viene generato dal Worm Virus con una successione di caratteri casuali (random).

L'internet Worm virus a cui ci riferiamo e noto con il nome Win32.Hybris.

Riportiamo l'immagine di un messaggio che contiene questo worm virus, per vedere i dettagli di cosa potrebbe giungervi come messaggio di posta elettronica e neccessario clickare per allargare l'immagine.

Clicca per allargare l'immagine

Naturalmente se dovesse giungervi il messaggio è assolutamente da evitare l'esecuzione e/o il salvataggio su disco del file attach!!!

N.B. Messaggi sospetti contenenti allegati possono essere inviati al C.R.A.V. (Centro Ricerche Anti Virus) inoltrandoli all'indirizzo e-mail tgsoft@tiscalinet.it.

Virus a pioggia in novembre

Il C.R.A.V. (Centro Ricerche Anti Virus della TG Soft) ha rilevato che nel mese di novembre numerosi virus informatici si sono diffusi anche in Italia. Tra i virus di nuova generazione che si sono massicciamente diffusi in Italia e che i nostri ricercatori hanno analizzato segnaliamo: Win32.MTX.B (nuova variante del virus Win32.MTX), Win32.Navidad, Win32Hybris, W97M/Arbind2000, W97M/Akuma, X97M/Barisada.

I tre virus Win32 segnalati, si diffondono in modo estremamente rapido poichè sfruttano l'effetto volano dei messaggi di posta elettronica, ai quali si "attaccano" per passare da un computer ad un'altro.

Novembre 2000 Win32.Navidad diffuso massivamente in Italia
Win32.Navidad è un Internet Worm virus che si trasmette attraverso l'invio del file NAVIDAD.EXE come attach a tutti i messaggi di posta elettronica inviati da una macchina infetta. Il virus che è giunto presso il Ns. centro di ricerca, e che sta circolando nel nostro paese, ha però un bug. Dopo l'infezione di una macchina, che avviene solamente se l'utente manda in esecuzione il file NAVIDAD.EXE che ha ricevuto in allegato, tutti i files eseguibili della macchina vengono disattivati rendendo la macchina inutilizzabile poichè le applicazioni non vengono più eseguite.

Tecnicamente, l'esecuzione di NAVIDAD.EXE produce la copia del file portatore dell'infezione con nome  WINSVRC.VXD all'interno della directory \Windows\System ed esegue la modifica del file di registro per l'esecuzione del file WINSVRC.EXE. Quindi all'esecuzione di qualsiasi applicazione da una macchina infetta, dal file di registro viene mandato in esecuzione il file WINSVRC.EXE che però non esiste, poichè l'autore del Worm Virus ha chiamato erroneamente il file WINSVRC.VXD. Questo produce come payload il blocco di tutte le applicazioni.

I ricercatori della TG Soft hanno analizzato il codice virale ed hanno aggiornato i software sia per l'identificazione che per la rimozione di Win32.Navidad. La release aggiornata e' la 3.6.42 che può essere richiesta compilando il FORM di RICHIESTA AGGIORNAMENTI STRAORDINARI.

Per la rimozione del virus è già disponibile Vir.IT eXplorer Professional 3.6.42 che può essere acquistato compilando il modulo d'ordine presente nella versione Lite, oppure direttamente On Line alla pagina Ordinare On Line.

Novembre 2000 W97M/eight941.D diffuso in Italia

Si tratta dell'ennesimo Virus delle Macro di Word. Il virus è stato inviato al C.R.A.V, (Centro Ricerche Anti Virus della TG Soft), poichè è stato segnalato dal Macro Virus Analyser implementato in Vir.IT eXplorer Professional. Segnaliamo che il modulo Macro Virus Analyser è presente anche nella versione Shareware Vir.IT eXplorer Lite che è possibile prelevare nell'area Download Software.

Per la rimozione del virus è già disponibile Vir.IT eXplorer Professional 3.5.41 che può essere acquistato compilando il modulo d'ordine presente nella versione Lite, oppure direttamente On Line alla pagina Ordinare On Line.

Novembre 2000 JS/KakWorm attivo in Cina
Si tratta di un Java Script Virus. La versione inviata al C.R.A.V, (Centro Ricerche Anti Virus della TG Soft), funziona esclusivamente su Win 95/98 con Outlook Express 5.0 in lingua Inglese e Francese sfruttando un baco del programma Microsoft suddetto. Il virus si propaga sfruttando un baco di Outlook Express che permette l'esecuzione di Script Java dalla sola visualizzazione del contenuto di un messaggio di posta elettronica nel preview pane, creando il file KAK,hta nella directory di esecuzione automatica di Windows. Al successivo riavvio del computer infetto, essendo il file posto tra quelli in esecuzione automatica, questo verrà eseguito automaticamente ed opererà la sostituzione del file AUTOEXEC.BAT rinominandolo AE.KAK in C:\ e la cancellazione del file contenente il verme posto precedentemente nella directory di esecuzione automatica (KAK.hta). Inoltre JS/KakWorm va a modificare la firma personalizzata dei messaggi di posta elettronica di Outlook Express 5.0 (la firma può essere un testo o un file) ponendo come file/firma predefinito il file infetto KAK.HTM. A questo punto ogni messaggio che viene inviato conterrà come firma il JS/KakWorm.  
Ottobre 2000 - Virus & ancora Virus

Nel mese di ottobre, il C.R.A.V, (Centro Ricerche Anti Virus della TG Soft), ha visto proliferare massivamente nel nostro paese i seguenti virus informatici:

W97M/Onex.E, Win32.MTX, W97M/Overlord.B, W97M/Ethan.A, Happy99, VBS/LoveLetter.Colombia, V_Sign, W97M/Blaster.C, W32.hllw.qax, W97M/KURSK, Backdoor.SubSeven, Worm.FIX2001,  Backdoor.SYSINST.X97M/Triplicate.C, Pretty_Park, torpino, CIH (alias Chernobyl).

Win32.MTX, dalle segnalazioni ricevute è di gran lunga quello maggiormente diffuso, e sulla base delle sue caratteristiche non è difficile prevedere che rimarrà tale ancora per alcuni mesi.

Ci preme segnalare che Vir.IT eXplorer Professional rimuove correttamente Win32.MTX, visto che questa è una domanda ricorrente che viene posta ai ricercatori del C.R.A.V.

Se per Voi non è il caso di rischiare oltre il lavoro contenuto nei computer della Vs. azienda  ordina ora Vir.IT eXplorer Professional o richiedici un preventivo personalizzato, i software e i servizi che Vi verranno offerti non temono la concorrenza di nessuno dei software che avete utilizzato fino ad oggi! 

Settembre 2000 - Virus Win32.MTX colpisce anche l'Italia
Win32.MTX è un virus da alta infettività costituito da 3 componenti, il "verme", il "virus" e il "backdoor".

Il codice virale infetta i file eseguibili Win32 e si diffonde grazie all'invio di un file attach, contenente il codice infettivo, ai messaggi di posta elettronica. Questa operazione viene effettuata dalla parte del codice denominata worm. Le 3 componenti di Win32.MTX vengono mandate in esecuzione come programma autonomi dalla parte principale cioè dal "virus" che risulta essere in forma non compressa, mentre il "verme" e il "backdoor" risultano essere in formato compresso così da poter sfuggire ai controlli per il rilevamento dei virus di nuova generazione.

La struttura di Win32.MTX è simile a quella che riportiamo di seguito:

Codice del Virus

Routine di installazione
ed infezione

Questa parte di codice se eseguita opera l'installazione nel sistema del Verme e del Backdoor che cercano ed infettano files eseguibili Win32.

Codice del Verme

(Compresso)

Questa parte di codice viene decrittografata (decompressa) ed eseguita come un programma autonomo

Codice del Backdoor

(Compresso)

Questa parte di codice viene decrittografata (decompressa) ed eseguita come un programma autonomo

Il codice del Verme non contiene necessariamente tutte le routine per infettare il sistema durante l'invio come un file attach quando "infetta" un messaggio e-mail. Il file "Verme" è infettato dal virus come un file ordinario quando viene inviato. 

Il codice del Virus contiene il seguente testo:

SABIÁ.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us
Visit us at:
http://www.coderz.net/matrix

Il codice del Verme contiene il seguente testo:

Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix

Il codice del Backdoor contiene il seguente testo:

Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas

 

Tecnologie utilizzate nel codice del Virus

Le routine che costituiscono il Virus utilizzano la tecnologia EPO (Entry Point Obscuring) per infettare i files. Questo significa che il virus non modifica l'entry code (l'inizio del codice), ma inserisce un salto alle istruzioni del virus in qualunque punto in mezzo al file infetto. Questo rende le procedure di identificazione e rimozione molto complesse. In questo modo il virus può attivarsi solamente quando il programma infetto va ad eseguire l'istruzione che il codice virale ha modificato (inserito).

Win32.MTX risulta anche essere anche crittografato.

Successivamente il virus installa le sue componenti nella directory di Windows:

IE_PACK.EXE: Codice del verme per modificare il file WSOCK32.DLL

WIN32.DLL: Codice del verme infetto dal virus Win32.MTX

MTX_.EXE: Backdoor

 

Tecnologie utilizzate nel codice del Verme

Per inviare messaggi "infetti" la componente Verme utilizza la stesse tecnologia che venne utilizzata per la prima volta dal virus Happy99/Ska (Virus/Verme diffuso anche in Italia). Il Verme modifica il file WSOCK32.DLL nella directory Windows\System appendendo delle componenti del suo codice alla fine del file che permettono di monitorare le routine di invio. Il risultato è che il Verme in questo modo è in grado di controllare tutti i dati inviati da un computer infetto in Internet.

Il Verme, controllato i dati inviati in Internet non permette l'invio di messaggi ad alcuni domini, inoltre intercetta i messaggi inviati duplicandoli ed inserendovi l'attach infetto ed inviandoli ad alcuni indirizzi e-mail. In questo modo, all'indirizzo vittima verranno inviati due messaggi, il primo è il messaggio originale scritto dal mittente, il secondo è un messaggio con soggetto e contenuto vuoti, ma con un attach che ha come nome uno dei file dell'elenco. Il nome del file inviato viene selezionato dal Verme in relazione alla data corrente.

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Tecnologie utilizzate nel codice del Backdoor

Durante l'esecuzione del codice di Backdoor questo crea una nuova chiave del registro di sistema che permette al virus di riconoscere che la macchina è già infetta. Nel caso che la chiave già esista, quindi che la macchina sia già infetta, viene saltata la procedura di installazione. Comunque il codice di backdoor si aggiunge alla lista dei programmi in esecuzione automatica.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemBackup=%WinDir%\MTX_.EXE

 

RIMUOVERE Win32.MTX

Per la rimozione del virus Win32.MTX è già disponibile Vir.IT eXplorer Professional 3.6.42 che può essere acquistato compilando il modulo d'ordine presente nella versione Lite, oppure direttamente On Line alla pagina Ordinare On Line.

Settembre 2000 - Virus W97M/Kursk scritto in Italia
Nome Virus: W97M/Kursk
Data scoperta: Settembre 2000
Origine: Italia
Autore: 444543A & 4D41434B (DECJ & MACK)
Descrizione: Macro virus di Word, utilizza un modulo visual basic denominato
KURSK, con le seguenti macro: AUTOOPEN e AUTONEW. Questo codice virale è stato scritto in Italia da persone che si fanno chiamare 444543A & 4D41434B (DECJ & MACK). Il virus cancella i programmi degli antivirus e i relativi file di registro degli scudi, creando un file di testo NOME-ANTIVIRUS.txt con all'interno il seguente testo: "THE KURSK IS DEATH IN THE SEA, BUT ITS GHOST IS IN YOUR COMPUTER". Il virus si attiva casualmente, cancellando il contenuto del disco A: e creando il file KURSK.TXT con il seguente testo:


'***************************************************************************
'* THE KURSK *
'***************************************************************************
'* THE KURSK IS A NUCLEAR POWERED SUBMARINE, IT IS DEATH IN THE BARENT SEA *
'* WE DEDICATE IT AT YOU FOR REMENBER THE CAPTAIN AND ITS SEAMAN THAT NOW *
'* THEY'RE DEATH WHIT THE SUBMARINE *
'* THE KURSK IS NOW A MACRO VIRUS WRITTEN BY 4445434A & 4D41434B *
'* THIS NEW MACRO VIRUS INFECT THE NORMAL TEMPLATE AND THE WORD'S DOCUMENT *
'* THE KURSK DELETE ALL KNOW ANTIVIRUS (NORTON, MCAFEE, PANDA, AVP *
'* AND PC-CILLIN). *
'***************************************************************************
'* AND MANY MORE ++ *
'***************************************************************************

Maggio 2000 - Virus "I Love you" diffuso anche in Italia

Si tratta precisamente di un WORM (verme) dell'e-mail chiamato VBS/LoveLetter. Questo "verme" si trasmette attraverso i messaggi di posta elettronica annidandovi all'interno di un file chiamato LOVE-LETTER-FOR-YOU.TXT.vbs, è utile precisare che se il file non viene aperto (letto) non si corre alcun pericolo. I ricercatori del C.R.A.V. sono a disposizione gratuitamente per ricevere eventuali messaggi che fossero giunti sui vostri computer, e procedere all'analisi del codice virale per l'individuazione di eventuali nuove varianti. Per l'invio delle e-mail portatrici presso il nostro centro ricerche basta semplicemente eseguire l'INOLTRO (FORWARD) del messaggio agli indirizzi tgsoft@tin.it oppure tgsoft@tiscalinet.it 

Queste tipologie di virus si diffondono rapidamente e in questo caso producono danni sui computer dove il file LOVE-LETTER-FOR-YOU.TXT.vbs viene eseguito. Il messaggio che accompagna il file invita subdolamente il destinatario ad eseguire "leggere" il file. E' bene precisare che le estensioni .VBS non sono visibili di default dai sistemi Windows e il file viene confuso come un normalissimo ed ignaro file .TXT.

L'effetto primario che produce il virus è quello che può inviare messaggi di posta elettronica a qualunque indirizzo e-mail contenuto nell'address book della macchina infetta.

Il messaggio di posta elettronica contenente il virus è il seguente:

-----------------------------------------

From: Nome dell'utente infetto
To: Nome casuale contenuto nell'address-book
Subject: ILOVEYOU


kindly check the attached LOVELETTER coming from me.

Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

-------------------------------------

 

Un address books contiene generalmente gruppi di indirizzi, conseguentemente il risultato dell'esecuzione del verme VBS/LoveLetter che dovesse colpire una organizzazione è che il primo utente infetto invierà il messaggio di posta elettronica ILOVEYOU a ognuno degli indirizzi di posta elettronica presente nell'address book. Altri utenti apriranno il file e contribuiranno alla diffusione.

Unitamente a questo il virus "I love you" è in grado di creare dei nuovi script .VBS immagine di file con estensioni .JPG e MP3 e inoltre sovrascrivere gli script presente nel computer e file .HTML che dovessero contenere questo codice.

Il virus contiene il seguente testo:

barok -loveletter(vbe) 
by: spyder / ispyder@mail.com / @GRAMMERSoft 
Group / Manila,Philippines

VBS/LoveLetter è stato scritto con il linguaggio VBScript.Di default i programmi scritti in VBScript
operano solamente sotto Windows 98 and Windows 2000. Comunque Windows 95 and NT 4 sono anch'essi vulnerabili se hanno installato Microsoft Explorer ver. 5

Questo Worm virus sembra aver avuto la sua diffusione dalle Filippine. Le prime segnalazioni della diffusione di questo verme sono giunte giovedì 4 maggio 2000.

Ottobre 1999 - Happy99 di nuovo attivo in Italia

Happy99 e' un cavallo di troia/worm, un programma in formato Win32. Quando il programma viene eseguito, visualizza alcuni fireworks ed esegue alcune  operazioni in background. Happy99 crea 2 files SKA.EXE e SKA.DLL. Dopo di che altera WSOCK32.DLL e il file originale viene salvato come WSOCK32.SKA. La dimensione del cavallo di troia e' 10000 bytes. 

Il file WSOCK32.DLL modificato, contiene delle routines che intercettano i messaggio della posta elettronica e dei newsgroup. Esso invierà una copia del file SKA.EXE rinominato in HAPPY99.EXE ad ogni utente che gli e' stato inviato un messaggio di posta elettronica. Happy99 non invia il messaggio con il file in allegato HAPPY99.EXE due volte allo stesso utente, perche' mantiene aggiornato il file LISTE.SKA, contenente la lista degli indirizzi email e dei newsgroup ai quali questo file e' stato inviato. L'obiettivo di HAPPY99 e' quello di "viaggiare" (diffondersi) attraverso la posta elettronica. La prima apparizione di Happy99 e' datata Gennaio 99. 

Happy99 e' conosciuto come Win32.Ska.a, Ska, Wsock32.ska e Ska.exe.

Ottobre 1999 - W97M/Blaster
Macro virus di Word molto probabilmente scritto in Italia da un virus-writer che si fa chiamare Dream Blaster. W97M/Blaster infetta ogni documento che viene aperto. Il virus si attiva ogni 17 del mese, modificando il file AUTOEXEC.BAT inserendovi come riga l'esecuzione del programma DELTREE per la cancellazione di file e directory dei dischi fissi C:, D:, E: e F:
Settembre 1999 - Zipped Files
Zipped_files è' un cavallo di troia/worm, un programma in formato Win32, che si trasmette attraverso la posta elettronica come file allegato ZIPPED_FILES.EXE lungo 210Kb. Quando il programma viene eseguito, Zipped_files si installa in memoria, ed invia dei messaggi di posta elettronica agli indirizzi di emails trovati in Inbox. Per non farsi notare visualizza a video il seguente messaggio: Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help.
I messaggi di posta elettronica infetti, avranno il seguente corpo: 

 Hi nome della persona  !
 I received your email and I shall send you a reply ASAP.
 Till then, take a look at the attached zipped docs.
 Sincerely.
Con in allegato il file worm Zipped_files.exe 
Il worm Zipped_files è molto pericoloso, perché sovrascrive tutti i files con estensione: .C, .H, .CPP, .ASM, .DOC, .XLS, .PPT. Sovrascrive in particolar modo i documenti di Office, cancellando completamente il loro contenuto. I files vanno recuperati dalle copie di backup.

Ethan
Macro virus che infetta ogni documento di Word che viene aperto.
 
(c) 1999-2002 TG Soft Software House

Last modified: 11/06/2008 07:42:24