okkei lo so.. non siete ilsito della mcafee... però cavoli io l'inglese lo mastico propriomale... qualcuno mi dice oltre all'aggiornamento che cosa devo cancellare dal sysedit o regedit? e che file devo sostituire???? sigh..

...qui trovi la cura....

http://www.nai.com/

tra l'altro e' segnalato nelle news...:)

ehmmm mi sono spiegata male.. ho già il super dat 4161, solo che ci sono file da sostituire (riched20.dll per esempio) e chievi da togliere dal sysedit... poichè non riesco a tradurre e mettere in sequenza le istruzioni... chiedevo aiuto (esempio devo installare la patch del 15 agosto 2001?

Prima di tutto scarica il dat 4162 come espressamente consigliato nel sito NAI.
Ecco il link : http://www.mcafeeb2b.com/naicommon/download/dats/find.asp

E questa è una traduzione veloce e approssimativa della pagina
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209 (meglio di niente ;) )

Caratteristiche Del Virus
Le informazioni fornite qui sono a partire da 3:00pm PDT il 20 settembre, 2001.
Questa minaccia può infettare tutti gli utenti non protetti di Win9x/NT/2000/ME.

Il relativo obiettivo principale è semplicemente di estendere per il Internet ed il Intranet, infettando il maggior numero possibile di utenti e creando così tanto traffico da rendere le reti virtualmente inutilizzabili.

A tutti gli utilizzatori finali ed amministratori che fanno funzionare il Microsoft Internet Explorer (ver 5,01 o 5,5 senza SP2 ), si raccomanda di installare questa patch per l' intestazione errata del MIME possono indurre lo IE ad eseguire la vulnerabilità del collegamento di E-mail .

Tutti gli amministratori di IIS (e gli utenti di Win2K che non potrebbero non sapere che stanno facendo funzionare IIS) , o che già non lo hanno fatto, dovrebbero anche installare questa patch (il 15 agosto, patch cumulativa 2001 per IIS)


Questo è una worm, che egualmente si diffonde via le parti della rete, la vulnerabilità trasversale del dispositivo di piegatura di Web del Microsoft (anche usata da W32/CodeBlue) e una vulnerabilità errata dell' intestazione del MIME del Microsoft. Egualmente tenta di creare le parti della rete ed utilizza la backdoor creato dal worm W32/CodeRed.c

L'oggetto della mail varia, il corpo di messaggio è in bianco ed il nome del collegamento varia e può usare l' icona per un documento del HTML del Internet Explorer.

I metodi più significativi della propagazione sono come segue:


I messaggi del email creati dal worm specificano un tipo di audio/x-wav e contengono un allegato eseguibile. Così quando un messaggio è aperto, l'allegato può essere eseguito senza l'assenso dell' utente. Semplicemente osservare la pagina in Outlook o nella anteprima di Outlook Express può infettare. Altri clients di posta possono tranquillamente ricevere questi messaggi del email, ma doppio-click sull'allegato sarebbe richiesto per eseguire il virus.

Nell' infettare, collega i documenti del ASP, del HTM e del HTML e gli archivi chiamati INDEX, MAIN e DEFAULT, con il codice di Javascript che contiene le istruzioni per aprire un nuovo Window di browser che contiene il messaggio contagioso in se del email (preso dall' archivio caduto README.EML). Così quando questo Web page infettato è raggiunto (localmente o a distanza) la macchina che osserva la pagina è infettata. Cioè semplicemente visitare un Web site che si compromette può infettare il vostro calcolatore.

Nell' infettare, crea le parti della rete per ogni azionamento locale come % di $ (dove % = la lettera dell' azionamento che sta ripartenda). Sul sistema di Win9x/ME questo è configurato come parte completa senza la parola d'accesso. Sul sistema di WinNT/2K l' OSPITE dell' utente è dato il permesso alla parte ed è aggiunto agli AMMINISTRATORI del gruppo così come gli OSPITI. Un reboot è richiesto nell' ordine per queste parti ottenere creato. Quando il virus trova una parte aperta, si copia in ogni cartella all'avvio nel formato del EML come descritto più tardi in questa descrizione. Ciò può includere l' INIZIO della cartella.

Il worm esplora gli indirizzi del IP che cercano i server di IIS per infettare via il dispositivo di piegatura che di Web la vulnerabilità trasversale trasmettendo un deforme OTTIENE la richiesta. Ciò induce le macchine vulnerabili ad iniziare una sessione di TFTP per trasferire ADMIN.DLL dal sistema centrale verso i satelliti dalla macchina che ha trasmesso la richiesta. Una volta che trasferito il sistema a distanza è incaricato di eseguire il DLL che infetta quella macchina. Nel caso in cui la sessione di TFTP non riesca a collegare, gli archivi multipli (TFTP *) sono creati nell' indice di temperatura di WINDOWS. Questi archivi sono semplicemente copie del worm. Egualmente prova ad usare il backdoor creato da W32/CodeRed.c per infettare.

Gli archivi del EXE prepended con il codice del worm.

Gli indirizzi del email sono raccolti estraendo gli indirizzi del email dai messaggi di MAPI nella anteprima di Outlook e di Outlook Express, così come dai documenti di HMTL e del htm. Il worm allora si trasmette a questi indirizzi con nessun oggetto o una riga tematica che contiene un percorso parziale di una chiave di registro.
Una volta che è infettato, il vostro sistema è usato per cercare altri da infettare sul il Web. Poichè questo crea una ampia scansione di porte, questo può causare un rallentamento del traffico sulla rete.

Può copiarsi all' indice del SISTEMA di WINDOWS come LOAD.EXE e creare un' entrata di SYSTEM.INI per caricarsi alla partenza:
Shell=explorer.exe load.exe - dontrunold

Le informazioni supplementari:

- una versione messa MIME del worm è creata in ogni cartella di sistema (spesso come README.EML o DESKTOP.EML, possono anche essere gli archivi dei NWS). Ciò può creare il a.lot degli archivi ed in alcuni casi persino riempire in su un disco rigido.
- l' archivio di WININIT.INI può essere usato per cancellare gli archivi specifici della vite senza fine su reboot:
NUL=C:\WINDOWS\TEMP\MEP52b0.TMP.exe
- i valori chiave di registrazione sono created/changed per nascondere gli archivi:


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion \
Explorer\Advanced\HideFileExt
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion \
Explorer\Advanced\Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion \
Explorer\Advanced\ShowSuperHidden

- un ramo di tasto di registrazione è cancellato per rimuovere la sicurezza di parte sotto WinNT/2K
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es \
lanmanserver\Shares\Security

- la vite senza fine salva una copia di se al: \, di C \, di D e di E: \ come ADMIN.DLL
Nota: un ADMIN.DLL valido esiste e fa parte della funzionalità di Extentsions del server del Microsoft FrontPage

- i nomi di schedario per la vite senza fine includono: ADMIN.DLL, LOAD.EXE, MMC.EXE, README.EXE, RICHED20.DLL, MEP*.TMP.EXE

Nota: applicazioni che utilizzano il formato di testo ricco, quali la parola del Microsoft e Wordpad, chiamata questo archivio di RICHED20.DLL. Come tali, la vite senza fine è eseguita quando un programma dipendente è funzionato. Ci è tipicamente un archivio valido di RICHED20.DLL nell' indice del SISTEMA di WINDOWS, ma questo è overwriten dal virus.

Nota: MMC.EXE è il nome per l' applicazione della sezione comandi della gestione del Microsoft. È stato segnalato che la vite senza fine può in effetti scrivere sopra questo archivio.

Il virus contiene la stringa: Virus Di Concetto (Cv) V.5, Copyright (c) 2001 R.P.China


Parte superiore della pagina

Sintomi
Presenza degli archivi C:\ADMIN.DLL, D:\ADMIN.DLL ed E:\ADMIN.DLL
Presenza dell' archivio README.EML
Sorprendentemente aprire le parti della rete


Parte superiore della pagina

Metodo Di Infezione
Questa minaccia sfrutta le varie vulnerabilità del Microsoft. È contractible via il Web che passa in rassegna, leggente un messaggio del email, o facente funzionare semplicemente il web server di IIS.

Parte superiore della pagina

Istruzioni Di Rimozione
La rimozione della questa minaccia richiede parecchi punti come descritto sotto. Ciò include l'aggiornamento dei sistemi vulnerabili , le parti inabilitanti della rete ed usando gli ultimi archivi di DAT. Non può essere rimossa manualmente.
Quelli che usando le versioni più iniziali del DATS (<4162), Extra.dat, or SuperExtra dovrebbero aggiornare agli ultimi DATs disponibili e rimuovono tutti gli archivi di EXTRA.DAT che possono usare. Questi archivi correnti di DAT riparano un problema con determinati archivi infettati del EXE che sono cancellati quando dovrebbero essere riparati.

I sistemi infettati devono:

applicare le patch qui sotto
chiudere tutte le parti della rete prima di pulizia
uscire tutte le applicazioni correnti
Arrestare un server di funzionamento IIS
Esplorare e pulire ogni azionamento
Ristabilire il RICHED20.DLL e gli archivi di MMC.EXE se fossero sovrascritti dal virus e cancellato dal dispositivo d'esplorazione.
L' omissione di intraprendere queste azioni può provocare la reinfezione.

Applicazione delle patch

Tutti gli utilizzatori finali ed amministratori che fanno funzionare il Microsoft Internet Explorer (ver 5,01 o 5,5 senza SP2 ), si raccomandano di installare questa zona del Microsoft per l' intestazione errata del MIME possono indurre lo IE ad eseguire la vulnerabilità del collegamento di E-mail.

Tutti gli amministratori di IIS (e gli utenti di Win2K che non possono conoscerli stanno facendo funzionare IIS) , che già non ha fatto così, dovrebbero anche installare questa zona del Microsoft (il 15 agosto, patch cumulativa 2001 per IIS)

Scanning/Removal

In alcuni casi gli utenti con VirusScan e Netshield 4,5 e 4,51 avranno bisogno di seguente pacchetto di esaminare gli archivi con le estensioni più notevolmente di 3 caratteri ed è richiesto per rilevazione completa di questa minaccia in questi ambienti.
Zona di EXTFIX1.EXE . Rivedere prego l' archivio di README.TXT in primo luogo.

Come sempre, AVERT suggerisce che gli utenti configurano VirusScan per esaminare tutti gli archivi . Se questa non è un' opzione nel vostro ambiente, la lista di estensione predefinite ("file di programma" o "file predefiniti") dovrebbe essere usata.

La rilevazione e la rimozione è negli archivi correnti di DAT . Ciò include la rilevazione e la rimozione per gli archivi infettati del ASP, del DLL, del EML, del EXE, del HTM, del HTML e dei NWS (con TUTTI GLI archivi che sono esplorati).

Si noti che quando ripara gli archivi infettati del ASP, del HTM e del HTML, sono troncati correttamente per rimuovere la chiamata contagiosa di Javascript. Le copie cadute del worm sono cancellate e gli archivi eseguibili infettati sono riparati pure.

Tool di rimozione

Prego la nota Virusscan ed i prodotti di Netshield rileveranno e rimuovere il virus e gli archivi che collegati il virus interessa. Non rimuoverà le parti della rete create o il cliente dell' ospite creato da W32/Nimda@MM .

Gli utenti che vorrebbero fare questi rimuovere automaticamente cambiamenti possono usare il programma di EVIT NimdaScan (versione corrente 1.0f) situato alla pagina degli strumenti di EVIT . Seguire prego le istruzioni nel README.TXT quando usando il programma.

Il programma può essere usato per controllare se c'è l' infezione e se l' infezione è trovata rimuove l' infezione - poichè VirusScan basterà e cancellerà le parti create dal virus, rimuoverà il cliente dell' ospite e rimuoverà tutti i tasti di registrazione connessi con le parti create.


Window Supplementari Me Info :
NOTA: I Window ME utilizza un programma di utilità di riserva che sostiene automaticamente gli archivi selezionati al dispositivo di piegatura di C:\_Restore. Ciò significa che un archivio infettato potrebbe essere memorizzato là come archivio di riserva e VirusScan non potrà cancellare questi archivi. Queste istruzioni spiegano come rimuovere gli archivi infettati dal dispositivo di piegatura di C:\_Restore.

Inabilitare il programma di utilità di restore

1. Giusto scatto la mia icona del calcolatore sul tavolo.
2. Scattare sopra la tabulazione di prestazioni.
3. Scattare sopra il tasto del sistema di archivio.
4. Scattare sopra la tabulazione di analisi guasti.
5. Mettere un contrassegno di controllo vicino " ai Di *** TRANSLATION ENDS HERE ***sable System Restore".
6. Click the Apply button.
7. Click the Close button.
8. Click the Close button again.
9. You will be prompted to restart the computer. Click Yes.
NOTE: The Restore Utility will now be disabled.
10. Restart the computer in Safe Mode.
11. Run a scan with VirusScan to delete all infected files, or browse the the file's located in the C:\_Restore folder and remove the file's.
12. After removing the desired files, restart the computer normally.

lo so, dovrei attrezzarmi per l'inglese... ma rimando sempre cmq grazie di cuore...