PDA

Visualizza versione completa : Attenti a W32.HLLW.Fizzer@mm


davlak
12-05-2003, 19.07.10
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.fizzer@mm.html


l'ho beccato in un allegato di posta mandatomi nientepop˛dimenochŔ...dalla ditta per cui lavoro.

ovviamente ha cominciato a mandare mail a tutta la rubrica.

NAV 2002 aggiornato all'8/maggio non Ú riuscito a bloccarlo.

Dopo l'aggiornamento odierno lo rileva ma non riesce ad eliminarlo.

Attenzione...perchŔ pare che si stia diffondendo a velocitÓ esponenziale (W)

ekerazha
12-05-2003, 19.25.13
Scusa, ma se Ŕ segnalato sul sito della Symantec, mi pare strano che NAV non lo rilevi...

davlak
12-05-2003, 19.37.46
NOTE: Virus definitions dated 5/9/2003 were posted as LiveUpdate definitions on 5/12/2003 in response to the upgrade.


e cmq il mio ultimo agg. era proprio all'8 maggio u.s. ....il fottuto bastardo...(W)

alla terza scansione completa ho rinunciato...non riesce a eliminarlo...ho fatto un bel ghost evvia...proprio un gran figlio di put...:S :anger: (W)

The worm attempts to terminate the process of various antivirus programs if they are found to be active.

Due to the number of submissions received from customers, Symantec Security Response is upgrading this threat from a Category 2 to a Category 3 threat.

exion
12-05-2003, 19.49.47
Proprio un bel virus... un keylogger integrato, connessione in automatico a un server IRC per dare modo di recuperare il keylog, cecchinaggio dei processi dei comuni antivirus.... (W) :S

Grazie per la segnalazione Dav... (Y)

Ma il sistema di infezione qual Ŕ?
Sul sito Symantec parla di allegato exe, pif, com o scr... classico worm "apri&infetta", o c'Ŕ di piu'?

davlak
12-05-2003, 20.11.45
un maledetto doppia estensione doc.pif

the attachment is only for you to look at

il fatto Ú che come prima cosa ho salvato l'allegato (voglio dire: t'arriva un allegato dalla tua ditta...che fai non lo salvi?) inoltre...spesso e volentieri mi scrivono in inglese...certo la brevitÓ del messaggio avrebbe dovuto mettermi in allerta......non l'ho nemmeno lanciato, ho solo guardato nelle proprietÓ.

davlak
12-05-2003, 20.15.35
p.s.: il kerio personal fw mi ha prontamente segnalato il tentativo di connessione di iservc.exe ... ma a quel punto era giÓ bello che fatto il casino.

exion
12-05-2003, 20.28.07
Tutto chiarissimo, grazie :)

Giorgius
12-05-2003, 21.33.26
Mon 12 May 2003 05:06PM BST
Virus Warning: Fizzer takes off
Should we be worried now?
http://www.silicon.com/news/500013/1/4122.html


Kazaa l'infettore? :eek: :D


W32/Fizzer.A. Usa correo e IRC, finaliza antivirus
http://www.vsantivirus.com/fizzer-a.htm

Alias:W32/Fizzer@MM (McAfee), W32/Fizzer-A (Sophos), W32/Fizzer (Panda Software), WORM_FIZZER.A (Trend Micro), W32.HLLW.Fizzer@mm (Symantec), Win32.Fizzer.A@mm (Bit Defender)
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2561

Giorgius
12-05-2003, 21.46.11
Disinfection Instructions

To get rid of the worm it's enough to delete its files from Windows directory and Kazaa shared folders. Please download and run the following Registry patch:

ftp://ftp.europe.f-secure.com/anti-virus/tools/fix_fizz.reg

After applying the patch please restart your system. After restart you can delete the following files from your Windows directory manually:


ISERVC.DLL
PROGOP.EXE
ISERVC.EXE
INITBAK.DAT

davlak
12-05-2003, 21.47.31
"It is received as an executable attachment and requires users to launch the virus through the attachment in order to infect their machine."

e giÓ questo non Ú il mio caso...ripeto che ho solo letto le proprietÓ del .pif
E c'Ú un motivo, non Ú che sia del tutto un fagggianone ;)

Spesso e volentieri l'ingegnere progettista della Azienda per cui lavoro, che condivide con me la passione per la progettazione di sistemi elettroacustici, mi manda dei pif preconfezionati per lanciare dei batch files (rilevamento parametri di small/thiele su altoparlanti :o )...insomma: se il pif me l'avesse mandato che so io...exion :p Giorgius :p Ekerazha :p IRONIAAAAA :p :p :D...col pif...fero che lo avrei salvato su HD...:cool: ...

insomma, a parte scherzi, non saprei...ho appena sentito un paio di amici con lo stesso problema, e loro hanno il NAV2002 come il mio, ma con l'update automatico, ergo avevano le definizioni giuste per bloccare il worm, eppure...

Consiglio a tutti di stare in campana...e munirsi di un bel ghost; a quello che ho letto sul link di Giorgius la cosa Ú alquanto tosta. ;)

davlak
12-05-2003, 21.55.05
Originariamente inviato da Giorgius
Disinfection Instructions

To get rid of the worm it's enough to delete its files from Windows directory and Kazaa shared folders. Please download and run the following Registry patch:

ftp://ftp.europe.f-secure.com/anti-virus/tools/fix_fizz.reg

After applying the patch please restart your system. After restart you can delete the following files from your Windows directory manually:


ISERVC.DLL
PROGOP.EXE
ISERVC.EXE
INITBAK.DAT

Gi˛...ti d˛ 'na brutta notizia: quando ho visto che il NAV non ne voleva sapere, pur trovando ISERVC.EXE e INITBAK.DAT (non segnalava gli altri due per˛)...non ce la faceva proprio a eliminarli...ho provato il metodo manuale...niente da fare, nemmeno da prompt dei comandi e nemmeno (udite udite) da CD service con ntfspro.

Access denied...anche dopo la cancellazione delle voci di registro.

Ergo, credo che sta storia avrÓ un seguito non indifferente.

P.s.: Kazaa non lo uso quasi mai...anzi, su questo XP manco ce l'avevo installato ancora...proprio quel fottutissimo pif

Giorgius
12-05-2003, 21.58.43
Altro metodo per rimuoverlo

As of May 12, 2003, the latest TSC pattern number is 105, and the TSC Engine version is 3.0.
For Users of Trend Micro Products please download the Trend Micro System Cleaner Patch.

http://www.trendmicro.com/ftp/products/tsc/tsc.zip

NOTE:
You must replace the file TSC.EXE in your product folder with the same file contained in this download.

"kIT aNTIVIRUS TrendMicro:" 12/05/03
Si scaricano i due files qui sotto linkati, salvandoli manualmente in una directory c:\trendmicro
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
http://www.trendmicro.com/ftp/products/pattern/lpt532.zip
Si scompatta il file zippato in questa directory e si avvia il programma "sysclean.com". A questo punto dopo aver dato conferma parte la scansione del Sistema.

Giorgius
12-05-2003, 22.02.14
Originariamente inviato da davlak


Gi˛...ti d˛ 'na brutta notizia: quando ho visto che il NAV non ne voleva sapere, pur trovando ISERVC.EXE e INITBAK.DAT (non segnalava gli altri due per˛)...non ce la faceva proprio a eliminarli...ho provato il metodo manuale...niente da fare, nemmeno da prompt dei comandi e nemmeno (udite udite) da CD service con ntfspro.

Access denied...anche dopo la cancellazione delle voci di registro.

Ergo, credo che sta storia avrÓ un seguito non indifferente.

P.s.: Kazaa non lo uso quasi mai...anzi, su questo XP manco ce l'avevo installato ancora...proprio quel fottutissimo pif

Tu sicuramente non avrai Kazaa ma quelli che hanno il tuo indirizzo mail ed usano Kazaa si; Il virus si propaga tramite i contatti E-Mail di Outlook. ;)

Lionsquid
12-05-2003, 22.04.12
Name: Worm/Fizzu.A
Alias: W32/Fizzer.A-mm
Type: Internet Worm
Discovered: May 8, 2003
Size: 220.160KB
Platform: Microsoft Windows 9x/ME/NT/2000/XP


Description:

Worm/Fizzu.A is an Internet worm that spreads through e-mail by using addresses it collects in the Microsoft Outlook Address Book, as well as, in the Windows Address Book. It can also arrive through the file-sharing program Kazaa.

The worm may arrive in via email in the following format:

** Please note that received emails will all have different contents. The attachment name, subject line and body are built from a large list of English and German words.

Subject: Re: You might not appreciate this...
Body: There is only good, knowledgem, and one evil, ignorance
Attachment: Service.scr

or

Subject: Why?
Body: I sent this program (Sparky) from anonymous places on the net
Attachment: Desktop.scr

If executed, the worm copies itself in the \windows\ directory under the filenames "INITBAK.DAT" and "ISERVC.EXE". Additionally, it creates the following new files in the Windows directory, "ISERVC.DLL" (7.680 KB) and "PROGOP.EX"E (15.360 KB)

So that it gets run each time a user restart their computer the following registry key gets added:

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
"SystemInit"="C:\\WINDOWS\\ISERVC.EXE"

Then, the following registry key is modified so that it gets executed each time a text file is ran:

- HKEY_CLASSES_ROOT\txtfile\shell\open\command
@="C:\\WINDOWS\\ProgOp.exe 0 7 'C:\\WINDOWS\\NOTEPAD.EXE %1' 'C:\\WINDOWS\\initbak.dat' 'C:\\WINDOWS\\ISERVC.EXE'"

Worm/Fizzu.A has been seen to terminate applications with the following process names:

- NAV
- SCAN
- AVP
- TASKM
- VIRUS
- F-PROT
- VSHW
- ANTIV
- VSS
- NMAIN

It also has the ability to log keystrokes.

exion
12-05-2003, 23.21.50
Originariamente inviato da davlak
"It is received as an executable attachment and requires users to launch the virus through the attachment in order to infect their machine."

e giÓ questo non Ú il mio caso...ripeto che ho solo letto le proprietÓ del .pif
E c'Ú un motivo, non Ú che sia del tutto un fagggianone ;)

Spesso e volentieri l'ingegnere progettista della Azienda per cui lavoro, che condivide con me la passione per la progettazione di sistemi elettroacustici, mi manda dei pif preconfezionati per lanciare dei batch files (rilevamento parametri di small/thiele su altoparlanti :o )...insomma: se il pif me l'avesse mandato che so io...exion :p Giorgius :p Ekerazha :p IRONIAAAAA :p :p :D...col pif...fero che lo avrei salvato su HD...:cool: ...


si si.... fa minga il furbo ti! :D
Che io l'unico virus che mi son beccato Ŕ stato due anni fa col Nimda dal sito di MyMovies...
Mica come te che salvi le email con la doppia estensione :D :D :D

:)

Comunque Ŕ inquietante quello che dici Dav...
Mi ricorda un virus che si prese una mia amica qualche anno fa... Difficile da scovare, impossibile da rimuovere... e scattava il formattone...

Spero che la Symantec riesca a trovare alla svelta una soluzione affidabile perchÚ a leggere questo 3d non mi sento per nulla tranquillo.

Comunque per un po'... niente kazaa... outlook Ŕ disattivato giÓ da un po'... e massima cautela sulle mail in arrivo. :)

exion
12-05-2003, 23.27.16
Maggiori dettagli sull'uso di IRC & Kazaa da parte del worm:

http://vil.nai.com/vil/content/v_100295.htm

Giorgius
12-05-2003, 23.53.38
Originariamente inviato da exion


si si.... fa minga il furbo ti! :D
Che io l'unico virus che mi son beccato Ŕ stato due anni fa col Nimda dal sito di MyMovies...
Mica come te che salvi le email con la doppia estensione :D :D :D

:)

Comunque Ŕ inquietante quello che dici Dav...
Mi ricorda un virus che si prese una mia amica qualche anno fa... Difficile da scovare, impossibile da rimuovere... e scattava il formattone...

Spero che la Symantec riesca a trovare alla svelta una soluzione affidabile perchÚ a leggere questo 3d non mi sento per nulla tranquillo.

Comunque per un po'... niente kazaa... outlook Ŕ disattivato giÓ da un po'... e massima cautela sulle mail in arrivo. :)


Basta utilizzare il file reg di F-Secure sopradescritto in precedenza e riavviare il computer. Dopo togli quei maledetti files manualmente. (Y) (D) (B)

cippico
13-05-2003, 08.02.02
Originariamente inviato da davlak
un maledetto doppia estensione doc.pif

the attachment is only for you to look at

il fatto Ú che come prima cosa ho salvato l'allegato (voglio dire: t'arriva un allegato dalla tua ditta...che fai non lo salvi?) inoltre...spesso e volentieri mi scrivono in inglese...certo la brevitÓ del messaggio avrebbe dovuto mettermi in allerta......non l'ho nemmeno lanciato, ho solo guardato nelle proprietÓ.

solo guardando le proprieta┤??? :eek:
tra un po┤ bastera┤ solo nominare un virus che si attivera┤... :mad:

non x fare pubblicita┤...viva norton ghost... (Y)

ciaooo

Giorgius
14-05-2003, 11.45.51
Altre Info sul Virus nel Magazine di Tiscali. ;)
http://assistenza.tiscali.it/magazine/

IrONia
14-05-2003, 13.25.15
Originariamente inviato da davlak
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.fizzer@mm.html


l'ho beccato in un allegato di posta mandatomi nientepop˛dimenochŔ...dalla ditta per cui lavoro.

ovviamente ha cominciato a mandare mail a tutta la rubrica.

NAV 2002 aggiornato all'8/maggio non Ú riuscito a bloccarlo.

Dopo l'aggiornamento odierno lo rileva ma non riesce ad eliminarlo.

Attenzione...perchŔ pare che si stia diffondendo a velocitÓ esponenziale (W)


dav ma li vuoi provare proprio tutti;):D:D:D

davlak
22-05-2003, 11.04.43
Ho ricevuto oggi questa mail:

"Il messaggio in allegato e' stato controllato dall'Antivirus,un Servizio di Sicurezza Tin.it!

application.pif era infetto con il virus W32.HLLW.Mankx@mm ed e' stato cancellato perche' il file non poteva essere pulito.


Per maggiori informazioni sull'offerta Tin.it visita http://tin.virgilio.it
per i dettagli sui servizi di sicurezza visita http://help.virgilio.it

This message has been processed by the Brightmail(tm) Anti-Virus Solution using
Symantec's Norton AntiVirus Technology."

L'allegato di cui parlano su, era un Cool screensaver.eml...
il testo Ú il seguente:

All information is in the attached file.

e il .pif l'allegato Ú stato rimosso.


Non sapevo di questo servizio, voi?

davlak
22-05-2003, 11.12.33
aggiungo le proprietÓ del Cool screensaver.eml:

Received: from smtp5.cp.tin.it (192.***.**.***) by ims4d.cp.tin.it (6.5.034)
id 3EC41D5000399205 for *******@tin.it; Wed, 21 May 2003 21:20:01 +0200
Received: from PUPO (80.182.226.177) by smtp5.cp.tin.it (6.7.016)
id 3EC8CD24002FAF7B for *******@tin.it; Wed, 21 May 2003 21:19:59 +0200
Message-ID: <3EC8CD24002FAF7B@smtp5.cp.tin.it> (added by postmaster@virgilio.it)
From: <support@microsoft.com>
To: <*******@tin.it>
Subject: Cool screensaver
Date: Wed, 21 May 2003 21:19:52 +0200
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_00475ECD"

ho sostituito il mio account con ******* e l'IP.

Chi mi sÓ dare qualche delucidazione?

grazie :)

Giorgius
22-05-2003, 11.57.11
Davlak il Virus che ti ha bloccato l'Antivirus Server non Ŕ altri che un Alias del Worm "WORM_SOBIG.B". ;)
http://windows.zdnet.it/forum/newreply.php?action=newreply&threadid=51037

davlak
22-05-2003, 11.59.09
Originariamente inviato da Giorgius
Davlak il Virus che ti ha bloccato l'Antivirus Server non Ŕ altri che un Alias del Worm "WORM_SOBIG.B". ;)
http://windows.zdnet.it/forum/newreply.php?action=newreply&threadid=51037
si, grazie Giorgius, ho visto adesso l'altro 3d ;)

Giorgius
25-05-2003, 15.45.07
Aggiornato il "McAfee AVERT Stinger" per rimuovere il Virus "Fizzer", "W32/Lovgate.j@M through .m@M "

http://download.nai.com/products/mcafee-avert/stinger.exe

Giorgius
26-05-2003, 11.40.31
Il "Panda Quick Remove" rileva e inocula la maggior parte dei Virus recenti...

Win9x/WinMe
http://updates.pandasoftware.com/pq/gen/klezf9x/pqremove.com

Win2k/WinXP
http://updates.pandasoftware.com/pq/gen/klezfnt/pqremove.com

delibero
26-05-2003, 12.49.44
scusate l'intrusione mi sono iscritto da poco, ma mi farebbe comodo questo file, solo che il collegamento per windows98 non si apre, ciao :)

Giorgius
26-05-2003, 13.33.09
Riprova ;)

pholcus
27-05-2003, 11.16.53
Adesso dico la mia, visto che Giorgius ha segnalato 6 virus in un giorno solo:rolleyes::eek:

Non potreste recuperare un pc vecchio e mettere su linux solo per leggere la posta, navigare e scaricare file?!

Lo so che non siete molto x linux pero' a mali estremi...

Ciao

Giorgius
27-05-2003, 11.35.55
E' il periodo Pholcus... :(

Se i Provider italiani (Tin.it in testa) facessero il loro benedetto lavoro, ci sarebbero "Server Mail" pi¨ efficenti nella prevenzione contro i Virus informatici "giornalieri"... ;)

Solo le Aziende private, internamente, adottano Server Mail con protezione software adeguata. (Y)

RNicoletto
27-05-2003, 12.52.57
Originariamente inviato da pholcus
Adesso dico la mia, visto che Giorgius ha segnalato 6 virus in un giorno solo:rolleyes::eek:
GiÓ, davvero un bel casino... :(



SALUDOS Y BESOS !!!

pholcus
27-05-2003, 14.35.51
Originariamente inviato da Giorgius
E' il periodo Pholcus... :(

Se i Provider italiani (Tin.it in testa) facessero il loro benedetto lavoro, ci sarebbero "Server Mail" pi¨ efficenti nella prevenzione contro i Virus informatici "giornalieri"... ;)

Solo le Aziende private, internamente, adottano Server Mail con protezione software adeguata. (Y)


Gia':(

D'altronde se mettessero le cose a posto come si deve, penso troverebbero una scusa in piu' per alzare le tariffe..o per lo meno per non abbassarle..:S

Ciao!