• Opsonline.it
  • Facebook
  • twitter
  • youtube
  • linkedin
Pagina 1 di 7 123 ... UltimoUltimo
Visualizzazione risultati 1 fino 15 di 93
  1. #1
    Toni
    Ospite non registrato

    W32.sasser.worm (w32.sasserB.worm)

    Da qualche giorno sta circolando questo virus che disattiva Norton Antivirus e al riavvio del PC presenta questo errore:



    Descrizione virus:
    W32.Sasser.Worm is a worm that attempts to exploit the MS04-011 vulnerability. It spreads by scanning randomly-chosen IP addresses for vulnerable systems.

    Systems Affected: Windows 2000, Windows Server 2003, Windows XP
    Systems Not Affected: Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 95, Windows 98, Windows Me, Windows NT

    Dettagli tecnici (presi dal sito di Norton):
    When W32.Sasser.Worm runs, it does the following:

    1. Attempts to create a mutex called Jobaka3l and exits if the attempt fails. This ensures that no more than one instance of the worm can run on the computer at any time.
    2. Copies itself as %Windir%\avserve.exe. (* avserve2.exe nel caso della variante B)

    Note: %Windir% is a variable. The worm locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
    3. Adds the value:

    "avserve.exe"="%Windir%\avserve.exe" (* come sopra)

    to the registry key:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

    so that the worm runs when you start Windows.

    4. Uses the AbortSystemShutdown API to hinder attempts to shut down or restart the computer.

    5. Starts an FTP server on TCP port 5554. This server is used to spread the worm to other hosts.

    6. Attempts to connect to randomly-generated IP addresses on TCP port 445. If a connection is made to a computer, the worm sends shellcode to that computer which may cause it to run a remote shell on TCP port 9996. The worm then uses the shell to cause the computer to connect back to the FTP server on port 5554 and retrieve a copy of the worm. This copy will have a name consisting of 4 or 5 digits followed by _up.exe (eg 74354_up.exe).

    The IP addresses generated by the worm are distributed as follows:
    + 50% are completely random
    + 25% have the same first octet as the IP address of the infected host
    + 25% have the same first and second octet as the IP address of the infected host.
    The worm starts 128 threads that scan randomly-chosen IP addresses. This demands a lot of CPU time and as a result an infected computer may be so slow as to be barely useable.

  2. #2
    Toni
    Ospite non registrato
    Consigli per la rimozione:

    Innanzitutto si deve scaricare una patch di windows (resa disponibile dal 28 aprile 04)

    Se hai windows XP o Windows Xp SP1 clikka qui:

    Se hai Windows 2000 SP2/3/4 clikka qui:

    Se hai Windows Server 2003 clikka qui:

  3. #3
    Toni
    Ospite non registrato
    Ora dovete scaricare anche un tool di rimozione del virus e cioè:

    Symantec Removal tool

    Ora disabilitate il ripristino configurazione di windows xp seguendo questo link http://service1.symantec.com/SUPPORT...1?OpenDocument

    Ora, una volta scaricata la patch di windows e il tool di rimozione, dovrete avviare il vostro sistema operativo in modalità provvisoria.
    Una volta avviato in modalità provvisoria dovrete eseguire il tool di rimozione e solo dopo aver fatto finire la scansione del tool avviare la patch di windows.

    Un consiglio, visto che ho combattuto con questo virus dal 1 maggio a stamattina, fate una scansione al vostro sistema operativo sempre in modalità provvisoria e cercare i seguenti files:

    avserve.exe
    avserve2.exe
    scvhost.exe
    Lsass.exe

    e cancellateli.

    Sarebbe opportuno anche cancellare questi files dal registro di sistema e anche cancellarli tramite un altro programmino HijackThis
    Ultima modifica di Toni : 03-05-2004 alle ore 14.48.50

  4. #4
    ma scvhost.exe non è un componente di XP?
    [“Tutte le lettere sono d'amore”]>>Yellow Letters

  5. #5
    Toni
    Ospite non registrato

    HijackThis Tutorial

    Non è difficile usare HijackThis, dovete clikkare sull'eseguibile (è un programmino che non si installa) e vi si aprirà questa finestra:



    ora dovete clikkare su SCAN.


    avrete adesso una lista.
    Beh dovete cercare i files avserve.exe, avserve2.exe, scvhost.exe (e non svchost che è di windows!) e Lsass.exe (e non Isass che è di windows!), flaggate (mettete la spunta) e premete su Fix Checked.

    Ora potete installare la patch di windows, alla fine vi dirà di riavviare il pc e, al riavvio, tornerete a windows non + in modalità provvisoria.

    Vi consiglio, come lo consiglia anche il sito della Microzozz, di installare un firewall o abilitare quello di windows (visto che il virus sfrutta delle porte lasciate aperte da windows).
    Per abilitare il firewall di windows non dovete fare altro che andare su Risorse di rete, Visualizza connessioni di rete, alla vs connessione tasto destro e proprietà, vi si aprirà una finestra.
    Andate su Avanzate e spuntate Firewall connessione di internet: Proteggi il computer e la rete limitando o impedendo l'accesso al computer da internet.

    Una volta abilitato anche il firewall, non avrete + problemi.
    Ah... ci potrebbero essere dei rallentamenti di connessione per chi si connette con la chat di questo sito o per chi si connette a IRC, cmq basta attendere circa 1 minuto e la connessione sarà stabilita.

  6. #6
    Toni
    Ospite non registrato
    Originariamente postato da Mia_Wallace
    ma scvhost.exe non è un componente di XP?
    no, lo è svchost. Scvhost è un virus.

  7. #7
    Toni
    Ospite non registrato
    ah, dimenticavo un'altra cosa, il virus crea dei files _up.exe in C:\windows\system32\ e in + crea un file (che ora non mi ricordo bene, win2.log si dovrebbe chiamare) che registra il vostro IP in c:\

  8. #8
    Toni
    Ospite non registrato

  9. #9
    Toni
    Ospite non registrato
    Qualche link utile...

    Antivirus Online

    Norton

    Panda Antivirus

    TrendMicro

    Free removal tools

    Symantec

    Panda Software

    Lista applicazioni in startup di Windows

    Lista applicazioni in startup di Windows
    Ultima modifica di Toni : 03-05-2004 alle ore 14.34.47

  10. #10
    Toni
    Ospite non registrato
    ... da qualche minuto è stato scoperto un nuovo virus sempre Sasser, dopo SasserA, SasserB ecco SasserC

  11. #11
    Toni
    Ospite non registrato

    Internet: allarme rosso globale per baco informatico Sasser

    (ANSA) - ROMA, 3 MAG - Allarme rosso globale per il nuovo baco informatico Sasser, diffuso anche in Italia, specie nella variante B di questo virus. Soltanto domenica, rende noto l'azienda specializzata in sicurezza informatica Trend Micro Italia, era stato diffuso l'allarme di media entita' per la variante A ma e' stata segnalata anche la variante C. Il baco informatico, diffuso in tutto il mondo, specie in America Latina, in Europa e' presente dall'Olanda alla Grecia.

    Virus: Mcafee, Rischio Medio Per w32/sasser.Worm.b
    (ASCA) - Roma, 3 mag - Mcafee Avert (Anti-Virus Emergency Response Team), la divisione di ricerca antivirus di Network Associates, ha scoperto il primo worm auto-eseguibile che sfrutta la vulnerabilita' MS04-011 annunciata da Microsoft in aprile. Mcafee Avert ha elevato la valutazione di rischio a media per il worm W32/SASSER.WORM.B, conosciuto anche come Sasser.b, in seguito alla sua diffusione e alla sua capacita' di diffondersi senza il supporto dell'e-mail. Questo nuovo worm e' un programma auto-eseguibile che si propaga tramite la scansione degli indirizzi Ip casuali dei sistemi vulnerabili. Fino a oggi, Mcafee Avert ha ricevuto parecchi rapporti del worm che ha bloccato o che ha infettato gli utenti in parecchi continenti, anche se la maggior parte dei rapporti proviene dagli Stati Uniti. Il worm Sasser.b e' un worm auto-eseguibile che si propaga sfruttando la vulnerabilita' Microsoft MS04-011 (http://www.microsoft.com/technet/sec.../MS04-011.mspx). Lo scopo primario del worm e' propagarsi su quante piu' macchine vulnerabili possibile sfruttando i sistemi Windows senza le patch piu' recenti, dando loro la capacita' di eseguirlo senza richiedere alcuna azione da parte dell'utente. Una volta attivato, il worm si copia in una cartella della directory di sistema di Windows e aggiunge una chiave di registro che si avvia allo startup del sistema. Dopo essere stato eseguito, Sasser.b esplora gli indirizzi Ip casuali sulla porta Tcp 445 dei sistemi infettati. Quando ne ha trovato uno, il worm sfrutta il sistema vulnerabile generando uno script ed eseguendolo. Questo script da' alla vittima individuata le istruzioni per scaricare ed eseguire il worm dall'host infettato. Poiche' il worm effettua la scansione di indirizzi Ip random, analizza le porte Tcp a partire dalla 1068. Inoltre funge da server Ftp sulla porta Tcp 5554 e genera una shell remota sulla porta Tcp 9996. Informazioni e cure immediate per questo worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo http://vil.nai.com/vil/content/v_125008.htm. Mcafee Avert suggerisce ai propri utenti di aggiornare i sistemi con i file Dat 4356 per proteggersi contro tutte le attuali minacce.

    ---

    altre news:

    http://www.repubblica.it/2003/g/sezi...er/sasser.html

    http://www.ansa.it/fdg02/20040503130...300148278.html

    http://www.ansa.it/fdg02/20040503130...30843_ass.html

    Ultima modifica di Toni : 03-05-2004 alle ore 14.59.54

  12. #12
    Iggy
    Ospite non registrato
    Qualora non aveste il tempo di procedere con le operazioni descritte da Toni, prima che l'infame worm vi riavvii il sistema senza che abbiate scaricato e abilitato quanto necessario, al momento in cui inizia il countdown (ma anche prima, se non volete andare di fretta) andate su Avvio -> Esegui e scrivete shutdown -a. Questo comando impedirà il riavvio dovuto al crash del file lsass.exe, che di default provoca il riavvio del sistema in caso di errore. Non cancellate per nessuna ragione il file lsass.exe, perché è il file che contiene le informazioni sul vostro login di utente Windows.
    Dopo aver avviato il comando sarete costretti a riavviare il PC "fisicamente" (una testata sul case, oppure tramite l'apposito tasto "reset", più efficace ma meno soddisfacente); tutto tornerà come prima all'avvio successivo.
    Non formattate il PC, perché l'allarme lanciato dai provider non è così preoccupante. Semplicemente è un virus con altissima virulenza, ma non crea danni né modifica i files all'interno del PC.
    Vi consiglio vivamente di scaricare il Sygate Personal Firewall, un semplice e gratuito firewall che risolverà il problema impedendo ai worm di questo genere di passare attraverso la porta da loro utilizzata.

  13. #13
    Iggy
    Ospite non registrato
    Ah, un'altra variante del Sasser è chiamata Gaobot. Stessi sintomi, stesse armi per inculCarlo.

  14. #14
    scvhost.exe
    Lsass.exe
    e cancellateli.
    No!
    Quei due file sono file di sistema importanti!
    Alcuni virus creano decoys, e file con questo nome messi in directory come \drivers o \win32 (quando in realtà non dovrebbero esserci quei file in quelle cartelle)
    Prima di cancellare quei file, controllate che la loro lunghezza sia quella indicata nelle descrizioni dei vari virus
    ...but still I am the Cat who walks by himself, and all places are alike to me.

  15. #15
    Iggy
    Ospite non registrato
    Appunto... cancellando quei files farete più danni del worm.

    Comunque, scaricate il firewall che vi ho indicato: è aggiornato proprio per far fronte a questo tipo di worm, e l'efficacia è garantita. Da me

Pagina 1 di 7 123 ... UltimoUltimo

Privacy Policy