Per chi ama il rischio... informatico

[Enyah]

Grazie. Ora ne so qualcosa di più di prima (sigh). Ingenuità: aprire il file prima di provare un Update di Norton.


Il nome del mittente della mail mi aveva messo in testa una strana sicurezza. Evidentemente anche chi è esperto è pollo.

Spero almeno che il mio errore eviti a qualcuno la stessa ingenuità.

Ho chiuso subito outlook, spero non abbia ancora inviato il virus. Sto staricando gli aggiornamenti, poi farò una scansione del sistema. Poi si riavvia, e che Norton me la mandi buona

Grazie ancora Martin

[Enyah]

Dal sito Norton:

W32.Higuy@mm
Discovered on: June 14, 2002
Last Updated on: June 14, 2002 04:35:08 PM PDT







W32.Higuy@mm is a mass-mailer that sends itself to all contacts in the Microsoft Outlook address book. The email will contain the following characteristics:

Subject line is one of the following:
Incredibile..
Urgente! (vedi allegato)
Qualsiasi cosa fai,falla al meglio.
Incredible..
Attachment can be one of following names:
tettona.exe
euro.exe
tattoo.exe


Also Known As: W32/Higuy-A, W32/Higuy@MM, WORM_HIGUY.A
Type: Worm
Infection Length: 34,716 bytes
Systems Affected: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Systems Not Affected: Macintosh, Unix, Linux


Virus Definitions (Intelligent Updater) *
June 14, 2002


Virus Definitions (LiveUpdate™) **
June 19, 2002


*
Intelligent Updater virus definitions are released daily, but require manual download and installation.
Click here to download manually.

**
LiveUpdate virus definitions are usually released every Wednesday.
Click here for instructions on using LiveUpdate.








Wild

Number of infections: 0 - 49
Number of sites: 3 - 9
Geographical distribution: Low
Threat containment: Easy
Removal: Easy
Threat Metrics


Wild:
Low
Damage:
Low
Distribution:
High




Damage

Payload:
Large scale e-mailing: Sends itself to all contacts in the Microsoft Outlook address book.
Distribution

Subject of email: Incredibile.. OR Urgente! (vedi allegato) OR Qualsiasi cosa fai,falla al meglio. OR Incredible..
Name of attachment: tettona.exe OR euro.exe OR tattoo.exe
Size of attachment: 34,761 bytes


If W32.Higuy@mm is executed, it does the following:

It displays the following fake message,



It copies itself to %Windows%\dllmgr32.exe.

NOTES: %Windows% is a variable. The worm locates the \Windows folder (by default this is C:\Windows or C:\Winnt) and copies itself to that location.

It adds the value

DllManager %WINDOWS%\dllmgr32.exe

to the registry key

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run

so that the worm runs when you start Windows.

The worm looks through the Registy key

HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name

to get the Microsoft Outlook Address Book file name and sends itself to all contacts in the that address book. The email has the following characteristics:


Subject line is one of the following:
Incredibile..
Urgente! (vedi allegato)
Qualsiasi cosa fai,falla al meglio.
Incredible..
Attachment can be one of following names:
tettona.exe
euro.exe
tattoo.exe
Message body is one of the following:
Ciao,
apri subito l'allegato,e' molto interessante.
A presto...
Ciao,
devi assolutamente vedere il file che ti ho allegato.
A presto...
Ciao,
okkio all'allegato ;-)
A presto...
Hello,
see this interesting file.
Bye.






Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.



To remove this worm

1. Update the virus definitions, run a full system scan, and delete all files that are detected as W32.Higuy@mm
2. Delete the value

DllManager %WINDOWS%\dllmgr32.exe

from the registry key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run


Quindi devo togliere "%WINDOWS%\dllmgr32.exe" da DllManager? E come apro quel file visto che in blocco note è illeggibile?

[Martin BK]

Originariamente inviato da Enyah
Grazie. Ora ne so qualcosa di più di prima (sigh). Ingenuità: aprire il file prima di provare un Update di Norton.


Il nome del mittente della mail mi aveva messo in testa una strana sicurezza. Evidentemente anche chi è esperto è pollo.

Spero almeno che il mio errore eviti a qualcuno la stessa ingenuità.

Ho chiuso subito outlook, spero non abbia ancora inviato il virus. Sto staricando gli aggiornamenti, poi farò una scansione del sistema. Poi si riavvia, e che Norton me la mandi buona

Grazie ancora Martin

Figurati...

Credo che il LiveUpdate non contenga ancora le definizioni adatte per quel tipo di worm: sul sito lo danno disponibile dall'aggiornamento del 19 giugno...

C'è un modo per installare le definizioni con IntelligentUpdater (o come cavolo si chiama)... vai al link della symantec che c'è nell'altro thread...

[Martin BK]

La traduzione di tutta quella roba inglese postata da Enyah è qui: http://forum.html.it/forum/showthrea...hreadid=260803

Le istruzioni per la rimozione non le avevo tradotte...

[Martin BK]

Originariamente inviato da Enyah

2. Delete the value

DllManager %WINDOWS%\dllmgr32.exe

from the registry key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run


Quindi devo togliere "%WINDOWS%\dllmgr32.exe" da DllManager? E come apro quel file visto che in blocco note è illeggibile?

No, tevi togliere quel valore dalla chiave di registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
del registro di Windows...

[Enyah]

Vero, stavo aggiungendo ulteriore confusione.
Ho rimosso il tutto, ora avvertirò chi di dovere.

Io DOVREI essere pulito.


Spero che il thread venga spostato nel forum apposito, ho sbagliato a postare qui.

[Martin BK]

Originariamente inviato da Enyah
Vero, stavo aggiungendo ulteriore confusione.
Ho rimosso il tutto, ora avvertirò chi di dovere.

Io DOVREI essere pulito.


Spero che il thread venga spostato nel forum apposito, ho sbagliato a postare qui.

l'ho già chiesto a Saibal...

Comunque appena puoi aggiorna le definizioni dei virus e fai una scansione...

[miao]

Originariamente inviato da Martin BK


Ti ripeto, è un virus: rimuovi anche il link all'exe, per favore...

Il link ora ce l'hai tu pero'

[Martin BK]

Originariamente inviato da miao


Il link ora ce l'hai tu pero'

Hai ragione...