C'e' un virus/troian in giro che non viene riconosciuto da Norton Antivirus

[pilovis]

Attenzione c'e' un virus/troian in giro che non viene riconosciuto da Norton Antivirus anche se aggiornato.

Una versione del virus arriva come un finto file PDF e l'altra invece apre in automatico una connessione con Windows Media Player.

Mi sono appena arrivate tre e-mails infette dalla Registration Authority Italiana, se i loro computer si sono infettati allora significa che il problema e' grosso.

Il nome del file allegato e' 2002.pdf.exe

[pilovis]

Queste sono alcune delle cose che chiama il virus quando parte (l'ho salvato come ascii e l'ho aperto)

KERNEL32.DLL
ADVAPI32.dll
MPR.dll
MSVCRT.dll
USER32.dll
WSOCK32.dll
LoadLibraryA
GetProcAddress
ExitProcess
RegCloseKey
WNetOpenEnumA
putc
SetTimer

[pilovis]

Ho avuto conferma telefonica dalla Registration Autority Italiana che sono effettivamente stati colpiti da virus.

Quello che e' grave e che stanno sparando mails a mezzo mondo (nel loro archivi hanno oltre 100.000 indirizzi e-mails) che oltre a contenere il virus trasmettono anche dati riservati.

Io ne ho gia' ricevute 5 di cui 2 di queste contenevano dati riservati.

Come ho gia' detto prima questi virus (l'ultimo era un file excel modificato) non vengono riconosciuti dagli antivirus per cui temo che nelle prossime ore ci sia una infezione diffusa sulla rete Italiana

[pilovis]

Ho chiesto alla Registration Authority Italiana di chiudere tutte le porte della loro posta in uscita (SMTP e quant'altro).

Spero abbiano il buon senso di farlo.

P.S.: nella ultima loro mail con virus c'erano almeno 200 indirizzi e-mails in chiaro.

Se vi potesse interessare questi sono i mailservers dai quali partono i virus:

mx2.isti.cnr.it [146.48.80.4]
mail.nic.it [193.205.245.4])
scorpio.nic.it [193.205.245.67]

[pilovis]

Il file e' lungo 72192 bytes, non riesco a vedere l'estensione perche' Zonealarm me la modifica in automatico in "zlo" e "zlq", credo sia un exe.

[Teknospeed]

Oggi ho affrontato un'emergenza di virus tramite mail, vediamo se è lo stesso.

Usa come mittenti indirizzi "rubati" dall'agenda di outlook e praticamete ricicla mail esistenti, nel senso che copia un messaggio già inviato e ci mette l'allegato infetto che figura di 73,2 KB (o 72,3, non ricordo). Il nome del file varia e anche l'estensione (pif, scr, exe). Sembra una mail già ricevuta da un collega, un doppione che però contiene un allegato infetto.

In parole povere se io con indirizzo mail@dominio.it ho inviato in passato una mail con oggetto "ciao a tutti" e con scrtto nel messaggio "siete belli" il virus invia una mail con uguale oggetto e messaggio ma con l'allegato infetto. Questo è il poco che ho capito analizzando una ventina di mail particolari. Domani mattina forse ne saprò di più.

Il prolema è iniziato intorno alle 13.00 di oggi, ed è precipitato dopo le 14.30.

[pilovis]

OK il virus e' questo:

http://securityresponse.symantec.com...bear.b@mm.html

nel link ci sono anche le indicazioni per scaricare un aggiornamento beta del Virus Definitions di Norton Antivirus che lo individua.

[tittula]

Ciao pilovis, la cosa si fa seria anche barney ha aperto un 3d su questo nuovo bug bear.

Senti ma si installa anche senza aprire l'allegato?

[pilovis]

Per chi ha mcafee

http://vil.mcafee.com/dispVirus.asp?virus_k=100358

[pilovis]

Indicazioni della presenza del Virus:

- Presenza di strani file .exe nella cartella STARTUP
- Attivita sulla porta TCP 1080