mi presento
musica
viaggi
sport
informatica
internet
web weaving
ricette e foto
i luoghi del mio cuore
album fotografico
digiland
collabora
f.a.q. di Alien e Venexian
digifizz
vai in chat
forum
mappa del sito
scrivetemi!
La mia pagina personale ha superato il controllo di qualità html di HTML.it con il punteggio di 60%: evviva, ho preso la sufficienza!
INFORMATICA

DISPACCIONE SUI VIRUS

1- VBS/ANNA ALIAS VBS/SST

Sta circolando in queste ore  l'allarme sul rischio di diffusione del
virus VBS/ANNA tramite allegato ai messaggi di posta elettronica. E'
considerato dai produttori  di software antivirus un virus con capacità
di diffusione alta (High).
L'allegato si presenta come se fosse una foto della tennista Anna
Kournikova.
Il messaggio è il  seguente:

OGGETTO: "Here you have,;o)".
TESTO:  "Hi: Check This!".
FILE ALLEGATO: "AnnaKournikova.jpg.vbs"

Il virus si auto spedisce a tutti gli indirizzi della rubrica di posta
elettronica e crea nelle chiavi di registro i seguenti valori per
controllare se la routine di mailing è già stata effettuata.
HKEY_USERS\.DEFAULT\Software\OnTheFly
HKEY_USERS\.DEFAULT\Software\OnTheFly\mailed=(1 for yes)
Il 26 gennaio tenta di collegarsi al sito http://www.dynabyte.nl.

Il virus, identificato da VirusScan con il nome di  VBS/SST@MM  già da
agosto 2000, viene intercettato a partire dal file dat4092 con engine
minimo 4.0.70.
Si consiglia, nel caso che non sia attivata l'opzione di controllo di
tutti i files,  di inserire l'estensione .VBS nella configurazione dei
programmi da controllare  con VirusScan.
A partire dalla versione del prodotto 4.5 di VirusScan  questa
configurazione è di default.

2 - W32/FUNLOVE

Il W32/Funlove è un  virus parassita residente in memoria che infetta
gli eseguibili a 32-bit di tipo PE (Portable Executable). Il virus non
presenta effetti distruttivi per i dati. Il Funlove è in grado di
diffondersi con estrema rapidità dal momento che infetta eseguibili
presenti sia su drive locali che di rete.  L'infezione si attiva
tramite l'esecuzione di un file infetto (p.e. eseguendo  programmi
scaricati da siti Internet non affidabili).
Il virus contiene il seguente testo
 ~Fun Loving Criminal~

Quando viene eseguito un file infetto il virus crea il file FLCSS.EXE
nella cartella di sistema di Windows, scrive il proprio codice in quel
file e quindi lo esegue. Il file FLCSS.EXE ha formato PE e viene
eseguito dal virus come applicazione nascosta sotto Windows 9x o come
servizio di sistema sotto Windows NT. Questo file ha il compito di
eseguire la routine di infezione.

Nel caso in cui si verifichi un errore durante la creazione del file
FLCSS.EXE il virus esegue la routine di infezione dall'istanza virale
presente nel file infetto. I processi di ricerca file e di infezione
vengono eseguiti in background come thread, in questo modo l'utente che
lancia un file infettato dal Funlove non nota un particolare
rallentamento nell'esecuzione del programma.
La routine di infezione esegue una ricerca su tutti i drive locali, da
C: a Z:, quindi tenta di individuare eventuali risorse di rete. In
entrambi i casi il virus infetta tutti i file con formato PE (Portable
Executable) che hanno estensione .OCX, .SCR e .EXE. Durante l'infezione
di un file il virus scrive il proprio codice nell'ultima sezione del
file quindi modifica il punto di entrata del file ospite inserendo
un'istruzione che ha il compito di trasferire il controllo al codice
virale. Il virus controlla il nome dei file ed evita di infettare i
programmi che hanno i seguenti nomi: ALER*, AMON*, _AVP*, AVP3*, AVPM*,
F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*.
Il virus presenta delle somiglianze con la famiglia di virus "Bolzano",
dal momento che sotto Windows NT modifica il file NTLDR (un programma
eseguito durante l'avvio di Windows NT)  e il file WINNT\System32
\ntoskrnl.exe al fine di consentire a qualsiasi utente di avere pieno
accesso ai file, ignorando i privilegi e le restrizioni impostati sul
sistema; questo accorgimento consentirà al Funlove di infettare tutti i
file, compresi quelli protetti sotto NTFS.
I file modificati devono essere ripristinati usando una loro copia
originale.
(Analisi a cura di Paolo Monti e Eugene Kaspersky)
A causa della capacità del virus di infettare velocemente i drive di
rete,  l'operazione di bonifica potrebbe risultare  particolarmente
complessa e lunga.
Dettagliate istruzioni per la rimozione del virus sono presenti sul
sito di Network Associates all''indirizzo:
http://vil.nai.com/vil/virusSummary.asp?virus_k=10419.
Il virus viene intercettato dall'ultimo  engine 4.1.20 a con file  dat
4119. Per una corretta pulizia  del virus  viene consigliato
l'utilizzo di VirusScan Ver. 4.5.

3 - DI NUOVO! MA E' SEMPRE LOVE LETTER!

Con l'approssimarsi del giorno di San Valentino di stanno diffondendo
notizie di un possibile ritorno del Virus LoveLetter (si veda
Bollettino di Informazioni n. 213 ) e  delle sue varianti tra le quali
una recente variante italiana  il cui messaggio ha le seguenti
caratteristiche:

OGGETTO:  "C'è una cartolina per te"
TESTO DEL MESSAGGIO:  "Ciao, un tuo amico ti ha spedito una cartolina
virtuale... mooolto particolare!"
FILE ALLEGATO:    "Cartolina.vbs".

Il virus si auto invia agli indirizzi della rubrica di Outlook e poi
modifica l'indirizzo della prima pagina del browser facendolo puntare
ad un sito italiano di musica.

Il virus viene intercettato a partire dal file dat 4114 con engine
4.0.70. 

4 - VIRUS W32/MAGISTR

Si tratta di un internet worm molto pericoloso (i worm sono particolari tipi di virus che si diffondono nelle reti di computer) a 32 bit. Residente in memoria e combinato con routine di infezione tipiche di un virus. Si diffonde via internet tramite messaggi che contengono allegati infetti, inoltre è in grado di infettare eseguibili Windows a 32 bit e diffondersi attraverso reti locali. Il virus possiede un payload (effetto distruttivo) altamente pericoloso: a seconda di certe condizioni cancella i dati su disco rigido, nella memoria CMOS e nel Flash BIOS in modo simile al virus Win95. Il virus presenta la seguente "firma" nel proprio codice: ARF! ARF! I GOT YOU! Virus: Judges Disemboweler. By: The Judges Disemboweler. Written in Malmo (Sweden).

Magister è un programma costruito direttamente in Assembly, di circa 30 Kb di lunghezza, fatto considerevole considerato che il virus è scritto in linguaggio macchina. Le ragguardevoli dimensioni del virus sono giustificate dalla presenza di un algoritmo utile all'infezione dei file .EXE a 32 bit, di routine usate per diffondersi via posta elettronica e in rete locale, di motori polimorfi (il virus ne possiede due), di routine del payload e di molti espedienti anti-debugging usati dal virus per rendere più difficili analisi, identificazione e disinfezione. Alla luce di questi dati si può affermare che Magister è uno dei virus più complessi conosciuti al momento.

 

Scarica il manuale di informatica per principianti, che dico, principiantissimi (l'ho concepito per mia madre!!) - formato zip, 27,04KB