Attenzione alle e-mail di aggiornamento di Microsoft: è un virus - Spacciandosi come patch di sicurezza, il worm mette KO gli antivirus e i firewall personali. Si propaga via e-mail, LAN, IRC o reti KaZaa. I sistemi affetti dal virus sono quasi tutti quelli Windows (da 9x, fino a 2003 Server e XP), mentre il worm non ha effetto sui sistemi DOS, Linux, Unix, Macintosh, Unix, Os/2 e Windows 3.x. Si propaga via e-mail (con attach), KaZaa, IRC e reti locali. I maggiori produttori di antivirus hanno alzato il livello di guardia per il worm W32.Swe.A@MM (alias: I-Worm.Swen, W32/Gibe.e@MM, Win32.HLLM.Gibe.2) la cui distribuzione geografica sta aumentando in modo sensibile. Il worm, come già detto si spaccia, per un aggiornamento di sicurezza Microsoft, con tanto di maschera e loghi ufficiali VISUALIZZA. Il messaggio invita gli utenti a installare una patch cumulativa “which eleminates all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express”, ovvero una patch “che elimina tutti le vulnerabilità” legate al browser e ai programmi di posta di Microsoft. In realtà il virus va ad aggiornare alcune chiavi del registro di sistema e copia il codice virale in una nuova sottodirectory della cartella di sistema. Il worm cerca di disattivare gli antivirus e i firewall presenti sulla macchina.

W32.Sobig.F si diffonde come allegato di posta elettronica (estensione pif o scr) ed è in grado di "auto-spedirsi" agli account e-mail reperiti nella rubrica del client di posta ed all'interno dei file .dbx, .eml, .hlp, .htm, .html, .mht, .wab e .txt memorizzati sul personal computer, grazie al client SMTP integrato. Si consiglia di tenere aggironati le firme virali del vostro antivirus. Attenzione anche al Dumaru che invita all'installazione di una falsa patch di sicurezza Microsoft in realtà si tratta del codice worm vero e proprio. Ricordiamo che Microsoft non invia mai via e-mail le proprie patch di sicurezza. Queste sono scaricabili solo attraverso i propri servizi web

Il worm W32.Dumaru si diffonde attraverso messaggi di posta elettronica che contengono un allegato infetto. Il messaggio si presenta nel seguente modo:
Mittente: "Microsoft" <security@microsoft.com>
Oggetto: Use this patch immediately !
Messaggio:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Allegato: patch.exe
Dettagli tecnici: Quando viene seguito il worm copia se stesso nei seguenti file
%Windir%\dllreg.exe
%Sysdir%\load32.exe
%Sysdir%\vxdmgr32.exe
dove le variabili %Windir% e %Sysdir% rappresentano rispettivamente la cartella predefinita di Windows e quella di sistema.
Il worm crea il file %Windir%\windrv.exe, che ha una lunghezza di 8192 byte e che rappresenta un componente del worm con funzioni di backdoor, pilotabile attraverso IRC (Internet Relay Chat): una volta attivo, questo programma si connette a un canale di un server IRC predefinito in attesa di comandi. Per trovare gli indirizzi e-mail a quali spedire se stesso attraverso un proprio motore SMTP (Simple Mail Transfer Protocol) il worm effettua una scansione in tutti i file che hanno le seguenti estensioni: .abd, .dbx, .htm, .html, .tbb,.wab. Gli indirizzi trovati sono memorizzati all’interno del file %Windir%\winload.log. Per essere eseguito in automatico a ogni avvio del sistema, all’interno del Registro il worm crea il valore load32 = %Windir%\load32.exe nella chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Nei sistemi Windows 9X/ME il worm modifica i file win.ini e system.ini nel modo seguente
WIN.INI
[windows]
run=%Windir%\dllreg.exe
SYSTEM.INI
[boot]
shell=explorer.exe %System%\vxdmgr32.exe

Le varianti di Blaster, nuovo removal tool di Symantec e MS03-026 Scanning di Microsoft - Questo virus sfrutta una vulnerabilità scoperta recentemente nei sistemi operativi Windows e relativa al servizio RPC (Remote Procedure Call). L'infezione da parte del virus si manifesta durante la connessione Internet con degli errori di sistema (NT AUTHORITY\SYSTEM) relativi, appunto, al servizio RPC (Remote Procedure Call). Le porte interessate dall'azione del virus sono TCP:135; TCP:4444 e UDP:69. Di solito il sistema viene automaticamente riavviato. Chi non ha installato la patch risolutiva Microsoft MS03-026 ma ha avuto l'accortezza di installare un buon software firewall si sarà certamente accorto dei tentativi di connessione sulla porta UDP:69. Blaster (alias Lovsan) è un virus che, ha cambiato la concezione del termine virus worm così come esso era sinora concepito. Blaster ha oggi spostato la sua azione anche sull'utenza domestica e sulle realtà aziendali più piccole facendo riflettere tutti su come sia diventato assolutamente indispensabile provvedere ad un periodico aggiornamento dei propri sistemi e, soprattutto, all'installazione della patch di sicurezza. Vi segnaliamo la diffusione di alcune varianti del virus Blaster che sfruttano sempre l'ormai nota vulnerabilità del servizio RPC. Il removal tool FixBlast 1.0.4 rilasciato di Symantec è stato aggiornato per consentire il riconoscimento e la rimozione di tutte le varianti del virus.
Ecco le tre varianti del virus attualmente consosciute (sito Symantec; in inglese):
- W32.Blaster.worm - W32.Blaster.B.Worm - W32.Blaster.C.Worm
La Microsoft ha provveduto a rilasciare un piccolo software particolarmente indicato per gli amministratori di rete: grazie ad esso è possibile verificare su quali personal computer. ll tool si chiama (MS03-026 Scanning Tool for Network Administrators)

Un nuovo worm si sta diffondendo rapidamente in rete. Si stima che abbia già raggiunto i computer di 133 paesi ed abbia infettato già 50 mila macchine. L'italia è tra i paesi più colpiti. Il virus arriva come allegato nella posta elettronica (.mmf .nch .mbx .eml .tbb .dbx .ocsed) è in grado di propagarsi su condivisioni di rete; Il Worm è polimorfico ed è anche in grado di infettare una lista di file eseguibili selezionati. Esso memorizza ciò che viene digitato tramite tastiera; ha funzionalità di backdoor (vale a dire: consente il controllo remoto del computer da parte di terzi) cerca di interrompere i processi di numerosi programmi antivirus e firewall.