Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Sicurezza&Privacy

Notices

Rispondi
 
Strumenti discussione
Vecchio 12-08-2003, 10.50.35   #1
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
W32.Blaster.A - Rischio 5 - Update



09:56 VIRUS: SOPHOS SEGNALA W32/BLASTER-A

(ASCA) - Roma, 12 ago - Un virus identity file (Ide) che
fornisce protezione e' disponibile sul sito di Sophos e sara'
incluso nella versione di settembre 2003 di Sophos
Anti-Virus. Sophos ha ricevuto varie segnalazioni sul worm
W32/Blaster-A o sui suoi alias W32/Lovsan.worm,
W32.Blaster.Worm, WORM_MSBLAST.A.
Maggiori informazioni su W32/Blaster-A sono disponibili
all'indirizzo
http://www.sophos.com/virusinfo/anal...2blastera.html E'
possibile scaricare il file Ide da
http://www.sophos.com/downloads/ide/blastera.ide Informazioni
su come usare i file Ide sono disponibili all'indirizzo
http://www.sophos.com/downloads/ide/using.html.


Aliases:
WORM_MSBLAST.A (Trend Micro), W32/Blaster (Panda Software), W32/Lovsan.worm (McAfee), W32.Blaster.Worm (Symantec), I-worm.Lovsan (Kaspersky (viruslist.com)), Troj/Msblas (PerAntivirus), WIN32/LOVSAN.A (Enciclopedia Virus (Ontinent)), W32/Blaster-A (Sophos), Win32.Poza (Computer Associates), W32/Blaster (Hacksoft)


Effetti:
W32.Blaster.Worm is a worm that will exploit the DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026) using TCP port 135. This worm will attempt to download and run the Msblast.exe file.
Block access to TCP port 4444 at the firewall level, and then block the following ports, if they do not use the applications listed:

TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"

The worm also attempts to perform a Denial of Service (DoS) on windowsupdate.com. This is an attempt to prevent you from applying a patch on your computer against the DCOM RPC vulnerability.


Info:
http://www.microsoft.com/technet/tre...n/MS03-026.asp
http://www.srnmicro.com/virusinfo/blaster.htm
http://www.symantec.com/avcenter/ven...ster.worm.html
http://vil.mcafee.com/dispVirus.asp?virus_k=100547
http://www.trendmicro.com/vinfo/viru...WORM_MSBLAST.A
http://www.pandasoftware.es/virus_in...&idvirus=40369
http://www.perantivirus.com/sosvirus...mo/msblast.htm
http://vil.nai.com/vil/content/v_100547.htm
http://www.f-secure.com/v-descs/msblast.shtml
http://www.ciac.org/ciac/bulletins/n-133.shtml
http://www.hacksoft.com.pe/virus/w32_blaster.htm


Utility per rimuovere il Virus:
http://securityresponse.symantec.com...r/FixBlast.exe
http://www3.ca.com/Files/VirusInform...on/ClnPoza.zip
http://updates.pandasoftware.com/pq/...r/pqremove.com
ftp://ftp.f-secure.com/anti-virus/tools/f-lovsan.zip
http://www.nod32.it/cgi-bin/mapdl.pl?tool=LovsanA

Ultima modifica di Giorgius : 16-08-2003 alle ore 11.53.44
Giorgius non è collegato   Rispondi citando
Vecchio 12-08-2003, 11.25.11   #2
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Info gallery:












Si sta propagando rapidamente in rete sempre tramite le solite E-Mail infette...


14/08/03 Update: L'infezione potrebbe avvenire anche tramite alcuni Siti Web (Server) infetti dal Virus in precedenza ("CodeRed_Reloaded")

Ultima modifica di Giorgius : 14-08-2003 alle ore 08.42.36
Giorgius non è collegato   Rispondi citando
Vecchio 12-08-2003, 11.33.57   #3
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Update utility per rimuovere il Virus:

Stinger v1.8.0
BackDoor-AQJ Bat/Mumu.worm IPCScan
IRC/Flood.ap IRC/Flood.bi IRC/Flood.cd
NTServiceLoader PWS-Sincom W32/Bugbear@MM
W32/Deborm.worm.gen W32/Elkern.cav W32/Fizzer.gen@MM
W32/FunLove W32/Klez W32/Lirva
W32/Lovgate W32/Lovsan.worm W32/Mimail@MM
W32/MoFei.worm W32/Mumu.b.worm W32/Nimda
W32/Sdbot.worm.gen W32/SirCam@MM W32/Sobig
W32/SQLSlammer.worm W32/Yaha@MM
http://download.nai.com/products/mca...rt/stinger.exe

BitDefender removing utility:
http://bitdefender.com/html/virusinf...id=1&v_id=148#

Proland Software Blaster Free Cure:
http://www.pspl.com/download/cleanbl.exe

Ultima modifica di Giorgius : 14-08-2003 alle ore 08.42.04
Giorgius non è collegato   Rispondi citando
Vecchio 12-08-2003, 11.37.39   #4
davlak
Guest
 
Messaggi: n/a
l'ho beccato ieri.
A me non é entrato a mezzo mail, uso pop-peeper e ho cancellato dai server tutta la posta sospetta.
Immagino abbia anche altre vie di diffusione.

Io non uso alcun firewall, ma mi sà che questa é la volta buona.
  Rispondi citando
Vecchio 12-08-2003, 11.42.42   #5
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
(Y)


TeleVideo RAI 12/08 06:25
Internet, Usa: virus attacca Microsoft

Un virus informatico sta attaccando uno dei siti della Microsoft sfruttando un difetto del sistema operativo windows, quello più ampiamente diffuso. Secondo esperti americani citati dall'agenzia Ap,il virus riesce in modo misterioso a riusare i computer infettati attraverso Internet e a farli ripartire all'attacco contro uno dei siti del colosso informatico. Non ci sarebbero per ora grandi disagi sulla rete Web.Il virus,battezzato LovSan, è giudicato preoccupante dalle autorità americane.


12 ago 06:41 Internet: virus attacca sito Microsoft, gli esperti di sicurezza informatica brancolano nel buio

WASHINGTON - Un virus riesce a superare tutti i sistemi di protezione del sistema operativo Windows, il piu' diffuso al mondo, e a ritorcere contro il sito della software house americana Microsoft l'attacco dei terminali infettati. A riferirlo sono esperti del settore che ancora brancolano nel buio. L'attacco, si e' appreso finora, e' stato lanciato da un gruppo di hacker a partire da sabato, quando sono iniziate le prime disfunzioni del sito www.windowsupdate.com che mette a disposizione gli aggiornamenti destinati a Win. Il virus ha gia' un nome. E' stato battezzato "Lovsan", per il messaggio che lascia sui terminali infettati: ''I just want to say LOVE YOU SAN''. Piu' nascosto un messaggio rivolto direttamente a Bill Gates, a capo del colosso Microsoft, che intima il magnate dei computer a smettere di pensare solo ai profitti e investire maggiormente nella difesa dei suoi sistemi operativi. (Agr)

Ultima modifica di Giorgius : 14-08-2003 alle ore 08.46.20
Giorgius non è collegato   Rispondi citando
Vecchio 12-08-2003, 11.59.48   #6
Daniela
Gold Member
 
Registrato: 18-01-2001
Loc.: Ancona
Messaggi: 2.210
Daniela promette bene
Non riesco a liberarmene
___________________________________


Non credo nel destino, ma le cose sanno quando accadere, e sanno scegliere il tempo giusto
Daniela non è collegato   Rispondi citando
Vecchio 12-08-2003, 12.01.33   #7
Doomboy
WT Odate Buta
Top Poster
 
L'avatar di Doomboy
 
Registrato: 11-04-2002
Loc.: Roma
Messaggi: 8.782
Doomboy promette bene
Quota:
Originariamente inviato da davlak

Io non uso alcun firewall, ma mi sà che questa é la volta buona.

Mi sa che è la cosa migliore.

Oggi dopo il lavoro devo andare a disinfestare due pc di amici che non avevano firewall e stanno always on con le dsl...

So già che quando dirò loro che sarebbe meglio formattare, mi sputeranno entrambi in un occhio...se ho fortuna mireranno entrambi allo stesso occhio, così manterrò almeno la vista bidimensionale

Comunque qui in ufficio ho usato su un portatile di un collega il tool della Symantec e non ho avuto alcun problema.

___________________________________

"God's in his heaven. All's right with the world".

"Anche un maiale può arrampicarsi su un albero quando viene adulato".
Doomboy non è collegato   Rispondi citando
Vecchio 12-08-2003, 12.11.19   #8
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Dani prova anche con l'utility "Stinger" se quello del Panda non funzionasse

Mi raccomando di disabilitare l'opzione su "Sistema" del "Ripristino Configurazione di Sistema" (only WINXP)

Altrimenti si perde un sacco di tempo inutile per rimuovere il Virus.
Giorgius non è collegato   Rispondi citando
Vecchio 12-08-2003, 12.15.34   #9
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
La traccia del Virus sul registro di Windows è questa:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \windows auto update
Giorgius non è collegato   Rispondi citando
Vecchio 12-08-2003, 12.20.51   #10
Daniela
Gold Member
 
Registrato: 18-01-2001
Loc.: Ancona
Messaggi: 2.210
Daniela promette bene
Ecco... mi è ricomparsa la finestra del menga
___________________________________


Non credo nel destino, ma le cose sanno quando accadere, e sanno scegliere il tempo giusto
Daniela non è collegato   Rispondi citando
Vecchio 12-08-2003, 12.22.57   #11
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
....
Giorgius non è collegato   Rispondi citando
Vecchio 12-08-2003, 12.27.46   #12
Daniela
Gold Member
 
Registrato: 18-01-2001
Loc.: Ancona
Messaggi: 2.210
Daniela promette bene
Impossibile eseguire le patch e fare l'update di windows.

Corrotto il file update.inf
___________________________________


Non credo nel destino, ma le cose sanno quando accadere, e sanno scegliere il tempo giusto
Daniela non è collegato   Rispondi citando
Vecchio 12-08-2003, 13.16.48   #13
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene


ADVISORY

Potential For Significant Impact On
Internet Operations Due To Vulnerability
In Microsoft Operating Systems

Worm Spreading on the Internet

August 12, 2003
THIS IS THE SECOND UPDATE TO THE DEPARTMENT OF HOMELAND SECURITY (DHS) JULY 24, 2003 ADVISORY ON MICROSOFT OPERATING SYSTEMS. The DHS/ Information Analysis and Infrastructure Protection (IAIP) National Cyber Security Division (NCSD) is issuing this advisory in consultation with the Microsoft Corporation to heighten awareness of potential Internet disruptions resulting from the possible spread of malicious software exploiting a vulnerability in popular Microsoft Windows operating systems.
http://www.nipc.gov/warnings/advisor...ate8122003.htm


... Il virus è stato soprannominato "LovSan" a causa di un messaggio lasciato sui Pc infetti, che recita: "I just want to say LOVE YOU SAN". I ricercatori hanno poi scoperto un secondo messaggio nascosto nel virus che si rivolge direttamente a Bill Gates sbeffeggiandolo così: "Bill Gates, com'è possibile? Smetti di far soldi e produci del software migliore!"...

Ultima modifica di Giorgius : 12-08-2003 alle ore 13.59.19
Giorgius non è collegato   Rispondi citando
Vecchio 12-08-2003, 13.22.38   #14
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Info italiana sulle Patch Microsoft
http://www.microsoft.com/italy/techn...y/ms03_026.asp

Patch MS consigliate:

- Blaster Worm: Critical Security Patch for Windows XP - Italiano
http://download.microsoft.com/downlo...80-x86-ITA.exe

- Advanced Networking Pack per Windows XP Sp1 KB817778
Advanced Networking Pack per Windows XP è un aggiornamento consigliato per Window XP SP1.
Include una nuova versione dello stack IPv6, un firewall IPv6 e un'infrastruttura peer-to-peer.
http://download.microsoft.com/downlo...78-x86-ITA.exe

- Blaster Worm: Critical Security Patch for Windows 2000 - Italiano
http://download.microsoft.com/downlo...80-x86-ITA.exe

- Blaster Worm: Critical Security Patch for Windows Server 2003 - Italiano
http://download.microsoft.com/downlo...80-x86-ITA.exe

- Blaster Worm: Critical Security Patch for Windows NT 4.0 - Italiano
http://download.microsoft.com/downlo...a_Q823980i.exe

Ultima modifica di Giorgius : 14-08-2003 alle ore 14.31.52
Giorgius non è collegato   Rispondi citando
Vecchio 12-08-2003, 13.44.52   #15
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Un ulteriore controllo, pulite le directory temporanee di Windows XP:

C:\windows\temp

e

C:\Documents and Settings\**\Impostazioni locali\Temp

Se avete installato utility come "PeerGuardian" e "Zone Alarm", disabilitatele prima, perchè nella cartella dei file temporanei risiedono alcuni files di queste utility.


** = il nome che avete dato al vostro Windows


Verificate che in C:\Windows o C:\Windows\System32
non vi siano traccie di eseguibili come "msblast.exe" e "anti_blaster.exe"

Ultima modifica di Giorgius : 14-08-2003 alle ore 08.56.01
Giorgius non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
AutoPatcher Vista June 2007 giancarlof Segnalazioni Web 4 07-08-2007 21.16.05
Bios Updates Billow Archivio News Web 0 08-11-2004 09.28.25
Bios Updates Billow Archivio News Web 0 04-10-2004 17.04.22
Bios Updates Billow Archivio News Web 0 17-09-2004 10.37.53
Bios Updates Billow Archivio News Web 1 15-09-2004 00.08.01

Orario GMT +2. Ora sono le: 17.11.51.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.