News
2001
Funlove.4099
Win32.Hybris
Virus a pioggia
Win32.Navidad
W97M/eight941.D
JS/KakWorm
Win32.MTX
|
Dicembre 2000 Win32.Funlove.4099 diiffuso
anche in Italia |
Il C.R.A.V. (Centro Ricerche Anti
Virus della TG Soft) ha ricevuto dalla Basilicata il nuovo virus Win32.Funlove.4099.
I ricercatori della TG Soft sono già al lavoro per analizzare il codice
virale ed aggiornare i software che verranno resi disponibili quanto prima.
Il virus infetta i file eseguibili
di Windows sui dischi fissi, sui dischi locali e sui dischi di rete. Win32.Funlove.4099
crea il file FLCSS.EXE che contiene solo il codice virale. Questo file
viene eseguito come applicazione nascosta e scandisce tutti i dischi
locali dal disco C: al disco Z:, infettando tutti files con estensione .OCX,
.SCR e .EXE.
Il virus contiene il seguente testo:
Fun Loving Criminal
|
Novembre 2000 Win32.Hybris
diffusissimo in Italia |
Ci è stato segnalato da numerosi
utilizzatori dei Ns. software antivirus di aver ricevuto messaggi privi di
mittente e di oggetto con file attach di tipo eseguibile (.EXE) di 23 kbytes Il
file eseguibile inviato quale attach ha nome diverso ogni volta poichè questo
viene generato dal Worm Virus con una successione di caratteri casuali (random). L'internet
Worm virus a cui ci riferiamo e noto con il nome Win32.Hybris. Riportiamo
l'immagine di un messaggio che contiene questo worm virus, per vedere i
dettagli di cosa potrebbe giungervi come messaggio di posta elettronica e
neccessario clickare per allargare l'immagine.
 Naturalmente
se dovesse giungervi il messaggio è assolutamente da evitare l'esecuzione e/o
il salvataggio su disco del file attach!!! N.B.
Messaggi sospetti contenenti allegati possono essere inviati al C.R.A.V.
(Centro Ricerche Anti Virus) inoltrandoli all'indirizzo e-mail tgsoft@tiscalinet.it.
|
Virus a pioggia in novembre |
Il C.R.A.V. (Centro Ricerche Anti
Virus della TG Soft) ha rilevato che nel mese di novembre numerosi virus
informatici si sono diffusi anche in Italia. Tra i virus di nuova generazione
che si sono massicciamente diffusi in Italia e che i nostri ricercatori hanno
analizzato segnaliamo: Win32.MTX.B (nuova variante del virus
Win32.MTX), Win32.Navidad, Win32Hybris, W97M/Arbind2000,
W97M/Akuma, X97M/Barisada. I
tre virus Win32 segnalati, si diffondono in modo estremamente rapido poichè
sfruttano l'effetto volano dei messaggi di posta elettronica, ai quali si
"attaccano" per passare da un computer ad un'altro.
|
Novembre 2000 Win32.Navidad diffuso
massivamente in Italia |
Win32.Navidad
è un Internet Worm virus che si trasmette attraverso l'invio del file
NAVIDAD.EXE come attach a tutti i messaggi di posta elettronica inviati da una
macchina infetta. Il virus che è giunto presso il Ns. centro di ricerca, e
che sta circolando nel nostro paese, ha però un bug. Dopo l'infezione di una
macchina, che avviene solamente se l'utente manda in esecuzione il file
NAVIDAD.EXE che ha ricevuto in allegato, tutti i files eseguibili della
macchina vengono disattivati rendendo la macchina inutilizzabile poichè le
applicazioni non vengono più eseguite.
Tecnicamente, l'esecuzione di
NAVIDAD.EXE produce la copia del file portatore dell'infezione con nome
WINSVRC.VXD all'interno della directory \Windows\System ed esegue la modifica
del file di registro per l'esecuzione del file WINSVRC.EXE. Quindi
all'esecuzione di qualsiasi applicazione da una macchina infetta, dal file di
registro viene mandato in esecuzione il file WINSVRC.EXE che però non esiste,
poichè l'autore del Worm Virus ha chiamato erroneamente il file WINSVRC.VXD.
Questo produce come payload il blocco di tutte le applicazioni.
I ricercatori della TG Soft hanno
analizzato il codice virale ed hanno aggiornato i software sia per
l'identificazione che per la rimozione di Win32.Navidad. La release aggiornata
e' la 3.6.42 che può essere richiesta compilando il FORM
di RICHIESTA AGGIORNAMENTI STRAORDINARI.
Per
la rimozione del virus è già disponibile Vir.IT
eXplorer Professional 3.6.42 che può essere acquistato compilando il
modulo d'ordine presente nella versione Lite, oppure direttamente On Line alla
pagina Ordinare On Line.
|
Novembre 2000 W97M/eight941.D
diffuso in Italia |
Si
tratta dell'ennesimo Virus delle Macro di Word. Il virus è stato inviato al C.R.A.V,
(Centro Ricerche Anti Virus della TG Soft), poichè è stato segnalato dal
Macro Virus Analyser implementato in Vir.IT eXplorer
Professional. Segnaliamo che il modulo Macro Virus Analyser è
presente anche nella versione Shareware Vir.IT eXplorer Lite che è possibile
prelevare nell'area Download Software. Per
la rimozione del virus è già disponibile Vir.IT
eXplorer Professional 3.5.41 che può essere acquistato compilando il
modulo d'ordine presente nella versione Lite, oppure direttamente On Line alla
pagina Ordinare On Line.
|
Novembre
2000 JS/KakWorm
attivo in Cina |
Si
tratta di un Java Script Virus. La versione inviata al C.R.A.V,
(Centro Ricerche Anti Virus della TG Soft), funziona esclusivamente su Win
95/98 con Outlook Express 5.0 in lingua Inglese e Francese sfruttando un baco
del programma Microsoft suddetto. Il virus si propaga sfruttando un baco di
Outlook Express che permette l'esecuzione di Script Java dalla sola
visualizzazione del contenuto di un messaggio di posta elettronica nel preview
pane, creando il file KAK,hta nella directory di esecuzione automatica di
Windows. Al successivo riavvio del computer infetto, essendo il file posto tra
quelli in esecuzione automatica, questo verrà eseguito automaticamente ed
opererà la sostituzione del file AUTOEXEC.BAT rinominandolo AE.KAK in C:\ e
la cancellazione del file contenente il verme posto precedentemente nella
directory di esecuzione automatica (KAK.hta). Inoltre JS/KakWorm va a
modificare la firma personalizzata dei messaggi di posta elettronica di
Outlook Express 5.0 (la firma può essere un testo o un file) ponendo come
file/firma predefinito il file infetto KAK.HTM. A questo punto ogni messaggio
che viene inviato conterrà come firma il JS/KakWorm. |
Ottobre 2000 - Virus
& ancora Virus |
Nel mese di ottobre, il C.R.A.V,
(Centro Ricerche Anti Virus della TG Soft), ha visto proliferare
massivamente nel nostro paese i seguenti virus informatici: W97M/Onex.E,
Win32.MTX, W97M/Overlord.B, W97M/Ethan.A, Happy99, VBS/LoveLetter.Colombia,
V_Sign, W97M/Blaster.C,
W32.hllw.qax, W97M/KURSK, Backdoor.SubSeven, Worm.FIX2001, Backdoor.SYSINST.X97M/Triplicate.C,
Pretty_Park, torpino, CIH (alias Chernobyl). Win32.MTX,
dalle segnalazioni ricevute è di gran lunga quello maggiormente diffuso, e
sulla base delle sue caratteristiche non è difficile prevedere che rimarrà
tale ancora per alcuni mesi. Ci
preme segnalare che Vir.IT eXplorer Professional rimuove
correttamente Win32.MTX, visto che questa è una domanda ricorrente
che viene posta ai ricercatori del C.R.A.V. Se
per Voi non è il caso di rischiare oltre il lavoro contenuto nei computer
della Vs. azienda ordina ora Vir.IT
eXplorer Professional o richiedici un preventivo
personalizzato, i software e i servizi che Vi verranno offerti non temono
la concorrenza di nessuno dei software che avete utilizzato fino ad
oggi!
|
Settembre 2000 - Virus Win32.MTX
colpisce anche l'Italia |
Win32.MTX
è un virus da alta infettività costituito da 3 componenti, il
"verme", il "virus" e il "backdoor".
Il codice virale infetta i file
eseguibili Win32 e si diffonde grazie all'invio di un file attach, contenente
il codice infettivo, ai messaggi di posta elettronica. Questa operazione viene
effettuata dalla parte del codice denominata worm. Le 3 componenti di
Win32.MTX vengono mandate in esecuzione come programma autonomi dalla parte
principale cioè dal "virus" che risulta essere in forma non
compressa, mentre il "verme" e il "backdoor" risultano
essere in formato compresso così da poter sfuggire ai controlli per il
rilevamento dei virus di nuova generazione.
La struttura di Win32.MTX è simile
a quella che riportiamo di seguito:
Codice del Virus
Routine di
installazione
ed infezione |
Questa parte di
codice se eseguita opera l'installazione nel sistema del Verme e del
Backdoor che cercano ed infettano files eseguibili Win32. |
Codice del Verme
(Compresso) |
Questa parte di
codice viene decrittografata (decompressa) ed eseguita come un programma
autonomo |
Codice del Backdoor
(Compresso) |
Questa parte di
codice viene decrittografata (decompressa) ed eseguita come un programma
autonomo |
Il codice del Verme non contiene
necessariamente tutte le routine per infettare il sistema durante l'invio come
un file attach quando "infetta" un messaggio e-mail. Il file
"Verme" è infettato dal virus come un file ordinario quando viene
inviato.
Il codice del Virus contiene
il seguente testo:
SABIÁ.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us
Visit us at:
http://www.coderz.net/matrix
Il codice del Verme contiene
il seguente testo:
Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix
Il codice del Backdoor
contiene il seguente testo:
Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas
Tecnologie utilizzate nel codice
del Virus
Le routine che costituiscono il
Virus utilizzano la tecnologia EPO (Entry Point Obscuring) per infettare i
files. Questo significa che il virus non modifica l'entry code (l'inizio del
codice), ma inserisce un salto alle istruzioni del virus in qualunque punto in
mezzo al file infetto. Questo rende le procedure di identificazione e
rimozione molto complesse. In questo modo il virus può attivarsi solamente
quando il programma infetto va ad eseguire l'istruzione che il codice virale
ha modificato (inserito).
Win32.MTX risulta anche essere anche
crittografato.
Successivamente il virus installa le
sue componenti nella directory di Windows:
IE_PACK.EXE:
Codice del verme per modificare il file WSOCK32.DLL
WIN32.DLL: Codice del verme infetto dal virus
Win32.MTX
MTX_.EXE: Backdoor
Tecnologie utilizzate nel codice
del Verme
Per inviare messaggi
"infetti" la componente Verme utilizza la stesse tecnologia che
venne utilizzata per la prima volta dal virus Happy99/Ska (Virus/Verme diffuso
anche in Italia). Il Verme modifica il file WSOCK32.DLL nella directory
Windows\System appendendo delle componenti del suo codice alla fine del file
che permettono di monitorare le routine di invio. Il risultato è che il Verme
in questo modo è in grado di controllare tutti i dati inviati da un computer
infetto in Internet.
Il Verme, controllato i dati inviati
in Internet non permette l'invio di messaggi ad alcuni domini, inoltre
intercetta i messaggi inviati duplicandoli ed inserendovi l'attach infetto ed
inviandoli ad alcuni indirizzi e-mail. In questo modo, all'indirizzo vittima
verranno inviati due messaggi, il primo è il messaggio originale scritto dal
mittente, il secondo è un messaggio con soggetto e contenuto vuoti, ma con un
attach che ha come nome uno dei file dell'elenco. Il nome del file inviato
viene selezionato dal Verme in relazione alla data corrente.
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif
Tecnologie utilizzate nel codice
del Backdoor
Durante l'esecuzione del codice di
Backdoor questo crea una nuova chiave del registro di sistema che permette al
virus di riconoscere che la macchina è già infetta. Nel caso che la chiave
già esista, quindi che la macchina sia già infetta, viene saltata la
procedura di installazione. Comunque il codice di backdoor si aggiunge alla
lista dei programmi in esecuzione automatica.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemBackup=%WinDir%\MTX_.EXE
RIMUOVERE Win32.MTX
Per
la rimozione del virus Win32.MTX è già disponibile Vir.IT
eXplorer Professional 3.6.42 che può essere acquistato compilando il
modulo d'ordine presente nella versione Lite, oppure direttamente On Line alla
pagina Ordinare On Line.
|
Settembre 2000 - Virus W97M/Kursk
scritto in Italia |
Nome Virus: W97M/Kursk
Data scoperta: Settembre 2000
Origine: Italia
Autore: 444543A & 4D41434B (DECJ & MACK)
Descrizione: Macro virus di Word, utilizza un modulo visual basic denominato
KURSK, con le seguenti macro: AUTOOPEN e AUTONEW. Questo codice virale è
stato scritto in Italia da persone che si fanno chiamare 444543A & 4D41434B
(DECJ & MACK). Il virus cancella i programmi degli antivirus e i relativi
file di registro degli scudi, creando un file di testo NOME-ANTIVIRUS.txt con all'interno il seguente testo:
"THE KURSK IS DEATH IN THE SEA, BUT ITS GHOST IS IN YOUR
COMPUTER". Il virus si attiva casualmente, cancellando il contenuto del disco A: e creando il file KURSK.TXT con il seguente testo:
'***************************************************************************
'* THE KURSK *
'***************************************************************************
'* THE KURSK IS A NUCLEAR POWERED SUBMARINE, IT IS DEATH IN THE BARENT SEA *
'* WE DEDICATE IT AT YOU FOR REMENBER THE CAPTAIN AND ITS SEAMAN THAT NOW *
'* THEY'RE DEATH WHIT THE SUBMARINE *
'* THE KURSK IS NOW A MACRO VIRUS WRITTEN BY 4445434A & 4D41434B *
'* THIS NEW MACRO VIRUS INFECT THE NORMAL TEMPLATE AND THE WORD'S DOCUMENT *
'* THE KURSK DELETE ALL KNOW ANTIVIRUS (NORTON, MCAFEE, PANDA, AVP *
'* AND PC-CILLIN). *
'***************************************************************************
'* AND MANY MORE ++ *
'***************************************************************************
|
Maggio 2000 - Virus "I Love
you" diffuso anche in Italia |
Si tratta precisamente di un WORM
(verme) dell'e-mail chiamato VBS/LoveLetter. Questo "verme" si
trasmette attraverso i messaggi di posta elettronica annidandovi all'interno di
un file chiamato LOVE-LETTER-FOR-YOU.TXT.vbs,
è utile precisare che se il file non viene aperto (letto) non si corre alcun
pericolo. I ricercatori del C.R.A.V. sono a disposizione gratuitamente per
ricevere eventuali messaggi che fossero giunti sui vostri computer, e procedere
all'analisi del codice virale per l'individuazione di eventuali nuove varianti.
Per l'invio delle e-mail portatrici presso il nostro centro ricerche basta
semplicemente eseguire l'INOLTRO (FORWARD) del messaggio agli indirizzi tgsoft@tin.it
oppure tgsoft@tiscalinet.it
Queste tipologie di virus si
diffondono rapidamente e in questo caso producono danni sui computer dove il
file LOVE-LETTER-FOR-YOU.TXT.vbs
viene eseguito. Il messaggio che accompagna il file invita subdolamente
il destinatario ad eseguire "leggere" il file. E' bene precisare che
le estensioni .VBS non sono visibili di default dai sistemi Windows e il file
viene confuso come un normalissimo ed ignaro file .TXT.
L'effetto primario che produce il
virus è quello che può inviare messaggi di posta elettronica a qualunque
indirizzo e-mail contenuto nell'address book della macchina infetta.
Il messaggio di posta elettronica
contenente il virus è il seguente:
-----------------------------------------
From: Nome dell'utente
infetto
To: Nome casuale contenuto nell'address-book
Subject: ILOVEYOU
kindly check the attached LOVELETTER coming from me.
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
-------------------------------------
Un address books contiene
generalmente gruppi di indirizzi, conseguentemente il risultato dell'esecuzione
del verme VBS/LoveLetter che dovesse colpire una organizzazione è che il primo
utente infetto invierà il messaggio di posta elettronica ILOVEYOU a ognuno
degli indirizzi di posta elettronica presente nell'address book. Altri utenti
apriranno il file e contribuiranno alla diffusione.
Unitamente a questo il
virus "I love you" è in grado di creare dei nuovi script .VBS
immagine di file con estensioni .JPG e MP3 e inoltre sovrascrivere gli script
presente nel computer e file .HTML che dovessero contenere questo codice.
Il virus contiene il
seguente testo:
barok -loveletter(vbe)
by: spyder / ispyder@mail.com / @GRAMMERSoft
Group / Manila,Philippines
VBS/LoveLetter è stato scritto con il linguaggio VBScript.Di default i
programmi scritti in VBScript
operano solamente sotto Windows 98 and Windows 2000. Comunque Windows 95 and NT 4
sono anch'essi vulnerabili se hanno installato Microsoft Explorer ver. 5
Questo Worm virus sembra
aver avuto la sua diffusione dalle Filippine. Le prime segnalazioni
della diffusione di questo verme sono giunte giovedì 4 maggio 2000.
|
Ottobre 1999 - Happy99
di nuovo attivo in Italia |
Happy99 e' un cavallo di troia/worm, un programma
in formato Win32. Quando il programma viene eseguito, visualizza alcuni
fireworks ed esegue alcune operazioni in background. Happy99 crea
2 files SKA.EXE e SKA.DLL. Dopo di che altera WSOCK32.DLL e il file originale
viene salvato come WSOCK32.SKA. La dimensione del cavallo di troia e' 10000
bytes.
Il file WSOCK32.DLL modificato, contiene delle routines
che intercettano i messaggio della posta elettronica e dei newsgroup. Esso
invierà una copia del file SKA.EXE rinominato in HAPPY99.EXE ad ogni utente
che gli e' stato inviato un messaggio di posta elettronica. Happy99 non
invia il messaggio con il file in allegato HAPPY99.EXE due volte allo stesso
utente, perche' mantiene aggiornato il file LISTE.SKA, contenente la lista
degli indirizzi email e dei newsgroup ai quali questo file e' stato inviato.
L'obiettivo di HAPPY99 e' quello di "viaggiare" (diffondersi) attraverso
la posta elettronica. La prima apparizione di Happy99 e' datata Gennaio
99.
Happy99 e' conosciuto come Win32.Ska.a, Ska, Wsock32.ska
e Ska.exe. |
Ottobre
1999 - W97M/Blaster |
Macro virus di Word molto probabilmente scritto in Italia
da un virus-writer che si fa chiamare Dream Blaster. W97M/Blaster
infetta ogni documento che viene aperto. Il virus si attiva ogni 17 del
mese, modificando il file AUTOEXEC.BAT inserendovi come riga l'esecuzione
del programma DELTREE per la cancellazione di file e directory dei dischi
fissi C:, D:, E: e F: |
Settembre 1999 - Zipped
Files |
Zipped_files è' un cavallo di troia/worm, un programma
in formato Win32, che si trasmette attraverso la posta elettronica come
file allegato ZIPPED_FILES.EXE lungo 210Kb. Quando il programma viene eseguito,
Zipped_files si installa in memoria, ed invia dei messaggi di posta elettronica
agli indirizzi di emails trovati in Inbox. Per non farsi notare visualizza
a video il seguente messaggio: Cannot open file: it does not appear
to be a valid archive. If this file is part of a ZIP format backup set,
insert the last disk of the backup set and try again. Please press F1 for
help.
I messaggi di posta elettronica infetti, avranno il seguente
corpo:
Hi nome della persona !
I received your email and I shall send you a
reply ASAP.
Till then, take a look at the attached zipped
docs.
Sincerely.
Con in allegato il file worm Zipped_files.exe
Il worm Zipped_files è molto pericoloso, perché
sovrascrive tutti i files con estensione: .C, .H, .CPP, .ASM, .DOC, .XLS,
.PPT. Sovrascrive in particolar modo i documenti di Office, cancellando
completamente il loro contenuto. I files vanno recuperati dalle copie
di backup. |
Ethan |
Macro virus che infetta ogni documento di Word che viene
aperto. |
|