Il C.R.A.V. (Centro Ricerche Anti Virus della TG Soft) ha ricevuto dalla Basilicata il nuovo virus Win32.Funlove.4099. I ricercatori della TG Soft sono già al lavoro per analizzare il codice virale ed aggiornare i software che verranno resi disponibili quanto prima.

Il virus infetta i file eseguibili di Windows sui dischi fissi, sui dischi locali e sui dischi di rete. Win32.Funlove.4099 crea il file FLCSS.EXE che contiene solo il codice virale. Questo file viene  eseguito come applicazione nascosta e scandisce tutti i dischi locali dal disco C: al disco Z:, infettando tutti files con estensione .OCX, .SCR e .EXE.

Il virus contiene il seguente testo: Fun Loving Criminal

Ci è stato segnalato da numerosi utilizzatori dei Ns. software antivirus di aver ricevuto messaggi privi di mittente e di oggetto con file attach di tipo eseguibile (.EXE) di 23 kbytes

Il file eseguibile inviato quale attach ha nome diverso ogni volta poichè questo viene generato dal Worm Virus con una successione di caratteri casuali (random).

L'internet Worm virus a cui ci riferiamo e noto con il nome Win32.Hybris.

Riportiamo l'immagine di un messaggio che contiene questo worm virus, per vedere i dettagli di cosa potrebbe giungervi come messaggio di posta elettronica e neccessario clickare per allargare l'immagine.

Naturalmente se dovesse giungervi il messaggio è assolutamente da evitare l'esecuzione e/o il salvataggio su disco del file attach!!!

N.B. Messaggi sospetti contenenti allegati possono essere inviati al C.R.A.V. (Centro Ricerche Anti Virus) inoltrandoli all'indirizzo e-mail tgsoft@tiscalinet.it.

Il C.R.A.V. (Centro Ricerche Anti Virus della TG Soft) ha rilevato che nel mese di novembre numerosi virus informatici si sono diffusi anche in Italia. Tra i virus di nuova generazione che si sono massicciamente diffusi in Italia e che i nostri ricercatori hanno analizzato segnaliamo: Win32.MTX.B (nuova variante del virus Win32.MTX), Win32.Navidad, Win32Hybris, W97M/Arbind2000, W97M/Akuma, X97M/Barisada.

I tre virus Win32 segnalati, si diffondono in modo estremamente rapido poichè sfruttano l'effetto volano dei messaggi di posta elettronica, ai quali si "attaccano" per passare da un computer ad un'altro.

Tecnicamente, l'esecuzione di NAVIDAD.EXE produce la copia del file portatore dell'infezione con nome  WINSVRC.VXD all'interno della directory \Windows\System ed esegue la modifica del file di registro per l'esecuzione del file WINSVRC.EXE. Quindi all'esecuzione di qualsiasi applicazione da una macchina infetta, dal file di registro viene mandato in esecuzione il file WINSVRC.EXE che però non esiste, poichè l'autore del Worm Virus ha chiamato erroneamente il file WINSVRC.VXD. Questo produce come payload il blocco di tutte le applicazioni.

I ricercatori della TG Soft hanno analizzato il codice virale ed hanno aggiornato i software sia per l'identificazione che per la rimozione di Win32.Navidad. La release aggiornata e' la 3.6.42 che può essere richiesta compilando il FORM di RICHIESTA AGGIORNAMENTI STRAORDINARI.

Per la rimozione del virus è già disponibile Vir.IT eXplorer Professional 3.6.42 che può essere acquistato compilando il modulo d'ordine presente nella versione Lite, oppure direttamente On Line alla pagina Ordinare On Line.

Si tratta dell'ennesimo Virus delle Macro di Word. Il virus è stato inviato al C.R.A.V, (Centro Ricerche Anti Virus della TG Soft), poichè è stato segnalato dal Macro Virus Analyser implementato in Vir.IT eXplorer Professional. Segnaliamo che il modulo Macro Virus Analyser è presente anche nella versione Shareware Vir.IT eXplorer Lite che è possibile prelevare nell'area Download Software.

Per la rimozione del virus è già disponibile Vir.IT eXplorer Professional 3.5.41 che può essere acquistato compilando il modulo d'ordine presente nella versione Lite, oppure direttamente On Line alla pagina Ordinare On Line.

Nel mese di ottobre, il C.R.A.V, (Centro Ricerche Anti Virus della TG Soft), ha visto proliferare massivamente nel nostro paese i seguenti virus informatici:

W97M/Onex.E, Win32.MTX, W97M/Overlord.B, W97M/Ethan.A, Happy99, VBS/LoveLetter.Colombia, V_Sign, W97M/Blaster.C, W32.hllw.qax, W97M/KURSK, Backdoor.SubSeven, Worm.FIX2001,  Backdoor.SYSINST.X97M/Triplicate.C, Pretty_Park, torpino, CIH (alias Chernobyl).

Win32.MTX, dalle segnalazioni ricevute è di gran lunga quello maggiormente diffuso, e sulla base delle sue caratteristiche non è difficile prevedere che rimarrà tale ancora per alcuni mesi.

Ci preme segnalare che Vir.IT eXplorer Professional rimuove correttamente Win32.MTX, visto che questa è una domanda ricorrente che viene posta ai ricercatori del C.R.A.V.

Se per Voi non è il caso di rischiare oltre il lavoro contenuto nei computer della Vs. azienda  ordina ora Vir.IT eXplorer Professional o richiedici un preventivo personalizzato, i software e i servizi che Vi verranno offerti non temono la concorrenza di nessuno dei software che avete utilizzato fino ad oggi! 

Il codice virale infetta i file eseguibili Win32 e si diffonde grazie all'invio di un file attach, contenente il codice infettivo, ai messaggi di posta elettronica. Questa operazione viene effettuata dalla parte del codice denominata worm. Le 3 componenti di Win32.MTX vengono mandate in esecuzione come programma autonomi dalla parte principale cioè dal "virus" che risulta essere in forma non compressa, mentre il "verme" e il "backdoor" risultano essere in formato compresso così da poter sfuggire ai controlli per il rilevamento dei virus di nuova generazione.

La struttura di Win32.MTX è simile a quella che riportiamo di seguito:

Il codice del Verme non contiene necessariamente tutte le routine per infettare il sistema durante l'invio come un file attach quando "infetta" un messaggio e-mail. Il file "Verme" è infettato dal virus come un file ordinario quando viene inviato. 

Il codice del Virus contiene il seguente testo:

SABIÁ.b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz: All VX guy in #virus and Vecna for help us
Visit us at:
http://www.coderz.net/matrix

Il codice del Verme contiene il seguente testo:

Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on #virus channel and Vecna
Visit us: www.coderz.net/matrix

Il codice del Backdoor contiene il seguente testo:

Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas

Tecnologie utilizzate nel codice del Virus

Le routine che costituiscono il Virus utilizzano la tecnologia EPO (Entry Point Obscuring) per infettare i files. Questo significa che il virus non modifica l'entry code (l'inizio del codice), ma inserisce un salto alle istruzioni del virus in qualunque punto in mezzo al file infetto. Questo rende le procedure di identificazione e rimozione molto complesse. In questo modo il virus può attivarsi solamente quando il programma infetto va ad eseguire l'istruzione che il codice virale ha modificato (inserito).

Win32.MTX risulta anche essere anche crittografato.

Successivamente il virus installa le sue componenti nella directory di Windows:

IE_PACK.EXE: Codice del verme per modificare il file WSOCK32.DLL

WIN32.DLL: Codice del verme infetto dal virus Win32.MTX

MTX_.EXE: Backdoor

Tecnologie utilizzate nel codice del Verme

Per inviare messaggi "infetti" la componente Verme utilizza la stesse tecnologia che venne utilizzata per la prima volta dal virus Happy99/Ska (Virus/Verme diffuso anche in Italia). Il Verme modifica il file WSOCK32.DLL nella directory Windows\System appendendo delle componenti del suo codice alla fine del file che permettono di monitorare le routine di invio. Il risultato è che il Verme in questo modo è in grado di controllare tutti i dati inviati da un computer infetto in Internet.

Il Verme, controllato i dati inviati in Internet non permette l'invio di messaggi ad alcuni domini, inoltre intercetta i messaggi inviati duplicandoli ed inserendovi l'attach infetto ed inviandoli ad alcuni indirizzi e-mail. In questo modo, all'indirizzo vittima verranno inviati due messaggi, il primo è il messaggio originale scritto dal mittente, il secondo è un messaggio con soggetto e contenuto vuoti, ma con un attach che ha come nome uno dei file dell'elenco. Il nome del file inviato viene selezionato dal Verme in relazione alla data corrente.

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Tecnologie utilizzate nel codice del Backdoor

Durante l'esecuzione del codice di Backdoor questo crea una nuova chiave del registro di sistema che permette al virus di riconoscere che la macchina è già infetta. Nel caso che la chiave già esista, quindi che la macchina sia già infetta, viene saltata la procedura di installazione. Comunque il codice di backdoor si aggiunge alla lista dei programmi in esecuzione automatica.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemBackup=%WinDir%\MTX_.EXE

RIMUOVERE Win32.MTX

Per la rimozione del virus Win32.MTX è già disponibile Vir.IT eXplorer Professional 3.6.42 che può essere acquistato compilando il modulo d'ordine presente nella versione Lite, oppure direttamente On Line alla pagina Ordinare On Line.

Si tratta precisamente di un WORM (verme) dell'e-mail chiamato VBS/LoveLetter. Questo "verme" si trasmette attraverso i messaggi di posta elettronica annidandovi all'interno di un file chiamato LOVE-LETTER-FOR-YOU.TXT.vbs, è utile precisare che se il file non viene aperto (letto) non si corre alcun pericolo. I ricercatori del C.R.A.V. sono a disposizione gratuitamente per ricevere eventuali messaggi che fossero giunti sui vostri computer, e procedere all'analisi del codice virale per l'individuazione di eventuali nuove varianti. Per l'invio delle e-mail portatrici presso il nostro centro ricerche basta semplicemente eseguire l'INOLTRO (FORWARD) del messaggio agli indirizzi tgsoft@tin.it oppure tgsoft@tiscalinet.it 

Queste tipologie di virus si diffondono rapidamente e in questo caso producono danni sui computer dove il file LOVE-LETTER-FOR-YOU.TXT.vbs viene eseguito. Il messaggio che accompagna il file invita subdolamente il destinatario ad eseguire "leggere" il file. E' bene precisare che le estensioni .VBS non sono visibili di default dai sistemi Windows e il file viene confuso come un normalissimo ed ignaro file .TXT.

L'effetto primario che produce il virus è quello che può inviare messaggi di posta elettronica a qualunque indirizzo e-mail contenuto nell'address book della macchina infetta.

Il messaggio di posta elettronica contenente il virus è il seguente:

From: Nome dell'utente infetto
To: Nome casuale contenuto nell'address-book
Subject: ILOVEYOU


kindly check the attached LOVELETTER coming from me.

Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

-------------------------------------

Un address books contiene generalmente gruppi di indirizzi, conseguentemente il risultato dell'esecuzione del verme VBS/LoveLetter che dovesse colpire una organizzazione è che il primo utente infetto invierà il messaggio di posta elettronica ILOVEYOU a ognuno degli indirizzi di posta elettronica presente nell'address book. Altri utenti apriranno il file e contribuiranno alla diffusione.

Unitamente a questo il virus "I love you" è in grado di creare dei nuovi script .VBS immagine di file con estensioni .JPG e MP3 e inoltre sovrascrivere gli script presente nel computer e file .HTML che dovessero contenere questo codice.

Il virus contiene il seguente testo:

barok -loveletter(vbe) 
by: spyder / ispyder@mail.com / @GRAMMERSoft 
Group / Manila,Philippines

VBS/LoveLetter è stato scritto con il linguaggio VBScript.Di default i programmi scritti in VBScript
operano solamente sotto Windows 98 and Windows 2000. Comunque Windows 95 and NT 4 sono anch'essi vulnerabili se hanno installato Microsoft Explorer ver. 5

Questo Worm virus sembra aver avuto la sua diffusione dalle Filippine. Le prime segnalazioni della diffusione di questo verme sono giunte giovedì 4 maggio 2000.

Happy99 e' un cavallo di troia/worm, un programma in formato Win32. Quando il programma viene eseguito, visualizza alcuni fireworks ed esegue alcune  operazioni in background. Happy99 crea 2 files SKA.EXE e SKA.DLL. Dopo di che altera WSOCK32.DLL e il file originale viene salvato come WSOCK32.SKA. La dimensione del cavallo di troia e' 10000 bytes. 

Il file WSOCK32.DLL modificato, contiene delle routines che intercettano i messaggio della posta elettronica e dei newsgroup. Esso invierà una copia del file SKA.EXE rinominato in HAPPY99.EXE ad ogni utente che gli e' stato inviato un messaggio di posta elettronica. Happy99 non invia il messaggio con il file in allegato HAPPY99.EXE due volte allo stesso utente, perche' mantiene aggiornato il file LISTE.SKA, contenente la lista degli indirizzi email e dei newsgroup ai quali questo file e' stato inviato. L'obiettivo di HAPPY99 e' quello di "viaggiare" (diffondersi) attraverso la posta elettronica. La prima apparizione di Happy99 e' datata Gennaio 99. 

Happy99 e' conosciuto come Win32.Ska.a, Ska, Wsock32.ska e Ska.exe.

 Hi nome della persona  !
 I received your email and I shall send you a reply ASAP.
 Till then, take a look at the attached zipped docs.
 Sincerely.
Con in allegato il file worm Zipped_files.exe 
Il worm Zipped_files è molto pericoloso, perché sovrascrive tutti i files con estensione: .C, .H, .CPP, .ASM, .DOC, .XLS, .PPT. Sovrascrive in particolar modo i documenti di Office, cancellando completamente il loro contenuto. I files vanno recuperati dalle copie di backup.