admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24474 Messaggi |
Inserito il - 18/09/2002 : 10:05:06
|
COMUNICAZIONE IMPORTANTE SU NUOVO VIRUS: VIRUS ALERT: NIMDA (W32.Nimda.A@mm) ------------------------------------------ 19 settembre 2001: prime notizie sul Virus Nimda è un pericoloso virus "Worm" che si trasmette per posta elettronica ed e' in grado di eseguirsi automaticamente anche dalla finestra di anteprima di Outlook/Outlook Express sfruttando una vulnerabilita' di Windows Explorer, "spacciando" l'allegato README.EXE del messaggio che lo veicola per un file di suono in formato WAV. A causa delle sue caratteristiche di diffusione e di infezione automatica è consigliabile non aprire ne' visualizzare in anteprima alcun messaggio di posta elettronica prima di avere effettuato una scansione della cartella Posta in Arrivo. --- Sintomi dell'infezione Il virus crea numerosi file in formato EML (Outlook e-Mail) nelle cartelle del disco infetto (compresa quindi la cartella "Esecuzione automatica", in modo da aprirsi all'avvio di Windows) molto simili al messaggio vettore, e con lo stesso allegato. Crea poi un file di nome WININIT.INI nella cartella di Windows e cerca di scaricare mediante l'applicazione TFTP.EXE un file di nome ADMIN.DLL. Tenta di condividere il disco C: con il nome C$. Modifica le impostazioni di Explorer in modo che i file nascosti non vengano visualizzati. Il virus cerca di infettare anche le applicazioni registrate nella voce di registro HKLM/Software/Microsoft/Windows/CurrentVersion/App Paths. Può create numerosi file con attributi hidden e system nella cartella TEMP di Windows, aventi il nome nella forma MEP.TMP[.EXE]. --- Windows 9x Il virus si copia nella cartella \WINDOWS\SYSTEM con il nome LOAD.EXE e sostituisce la libreria Microsoft RICHED20.DLL che viene utilizzata da numerosi programmi MS con una versione in grado didiffondere ulteriormente il virus; entrambi i file hanno attributo hidden. Modifica poi il file SYSTEM.INI aggiungendo la linea Shell=explorer.exe load.exe -dontrunold per assicurarsi l'esecuzione ad ogni riavvio. --- Windows NT/2000 Il virus si copia nella cartella \WINNT\SYSTEM32 con il nome LOAD.EXE e crea un utente GUEST con privilegi di Administrator, tentendo mediante questo account di collegarsi ad altri computer in rete aprendo condivisioni mediante la modifica della chiave HKLM/Software/Microsoft/Windows/CurrentVersion/Network/LanMan/[C$->Z$]. --- Disinfezione Aggiornare immediatamente la lista virus ed effettuare una scansione preliminare delle cartelle di posta elettronica, quindi dell'intero sistema. Puo' accadere che file con estensione EML (messaggi di posta elettronica) e NWS (messaggi di newsgroup) salvati sul disco non possano essere disinfettati perchè identificati come file compressi: Se ne consiglia pertanto la cancellazione. Impostare il livello di sicurezza di Internet Explorer al livello massimo (Strumenti->Opzioni->Protezione->LIvello Predefinito->Alta) Impostare Windows Explorer (Esplora Risorse) in modo da escludere l'Active Desktop, mediante la sequenza Strumenti->Opzioni Cartella->Usa Desktop di Windows. Aggiornare i server IIS mediante le patches rilasciate da Microsoft: http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp per IIS 4.0 http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp per IIS 5.0
|
|