In questi giorni un nuovo worm, W32.MyDoom.M@mm, si sta diffondendo rapidamente nella rete. Si consiglia di aggiornare le firme del proprio antivirus. *Aliases:WORM_MYDOOM.M (Trend Micro), W32/MyDoom-O (Sophos), Win32.MyDoom.M (Bit Defender), W32/Mydoom.o@MM (McAfee), Win32.Mydoom.O (Computer Associates), I-Worm.Mydoom.m (Kaspersky (viruslist.com)).

I maggiori produttori di antivirus informano del ritorno di Bagle con delle nuove variati AF (o AB a seconda delle denominazioni). In rischio è di livello medio-alto e sono a rischio tutti i sistemi operativi Windows 2000, Windows 9x, Windows Me, Windows NT, Windows XP.
Il worm Bagle.AF arriva generalmente via e-mail sottoforma di file zip protetto da password (quest’ultima è inclusa nel testo del messaggio) oppure all’interno di un’immagine. Il PC può essere infettato anche attraverso l’uso di programmi peer-to-peer (P2P).
L’oggetto del messaggio è variabile e può includere le seguenti frasi: Re: Msg reply, Re: Hello, Re: Thank you!, Re: Document, Re: Incoming Message, Notification, Site changes e altri ancora.
Anche il testo del messaggio può variare: Read the attach, Your file is attached, See attach, Your document is attached, Please, read the document, See the attached file for details, Here is the file sono fra i più diffusi.
Il virus fa una copia di se stesso nella cartella di sistema sotto il nome di sysxp.exe e aggiunge la seguente chiave nel registro di Windows: HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run "key" = "C:\WINNT\SYSTEM32\sysxp.exe". In seguito il worm cerca di aprire la porta 1080 in ascolto di comandi per l’esecuzione di codice maligno da remoto.

Nuova diffusione in Rete di un componente maligno un trojan Download.Ject (conosciuto anche come. JS.Scob.Trojan, Scob, e JS.Toofeer) Il trojan si diffonde attraverso i server web semplicemente visitando - con il browser Internet Explorer - una pagina "infetta".
Infatti una volta che un server web facente uso di Microsoft IIS 5.0 è stato infettato, ad ogni pagina che viene generata e proposta al visitatore, viene aggiunto uno speciale codice JavaScript che richiede il download del trojan da un server remoto (russo).
Il problema riguarda tutti i server web Windows 2000 Server ai quali non è stata applicata la patch 835732, divenuto popolare dopo la diffusione del virus Sasser.
Il trojan Download.Ject, una volta infettato il sistema, registra tutti i dati gestiti (password comprese) ed apre una porta sul sistema, sfruttabile da qualunque utente malintenzionato, interessato a recuperare informazioni personali o semplicemente a far danni.
Dopo i problemi causati in tutto il mondo, il sito dal quale veniva prelevato il trojan è oggi offline. La Microsoft ha pubblicato un bollettino rivolto agli amministratori alle prese con Download.Ject. L'artico di cui si consiglia la consultazione è: Articolo Microsoft Knowledge Base - 871277 Un sistema infettato si evince dalla presnza di due file kk32.dll e surf.dat.

Una cartilina virtuale pericolosa - Una nuova infezione virale pericolosa, con il nome di Zafi.B Alias: Win32/Zafi.B, W32/Zafi-B, I.worm.zafi.B@mm, W32/Zafi.B@mm, I-Worm.Zafi.b, W32.Erkez.B@mm,Win32/Zafi.B, si sta diffondendo rapidamente via mail. Per propagarsi via mail cercherà tutti gli indirizzi cui allegarsi nei files con estensione: .adb .asp .dbx .eml .htm .mbx .php .pmr .sht .tbb .txt .wab evitando però, di allegarsi ad indirizzi aventi questi nomi: admi cafee google help hotm info kasper micro msn panda sopho suppor syma trend use vir webm win yaho. Il testo del messaggio può essere scritto in diverse lingue: ungherese, inglese, italiano, russo, spagnolo, tedesco e francese. Zafi.B è capace di propagarsi anche via P2P andandosi a copiare nelle cartelle contenenti le denominazioni "share" ed "upload". Il corpo del messaggio contiene un falso link ad una cartolina virtuale: cliccandolo viene eseguito il codice virale del worm. E' possibile ricevere, sul proprio account di posta elettronica, anche una serie infinita di notifiche (mittenti: Postmaster; System administrator e simili) provenienti dai sistemi verso i quali Zafi ha tentato di propagarsi. Questo è dovuto dal fatto che Zafi è in grado di spedire messaggi dalle macchine infette indicando come mittente un indirizzo e-mail reperito, nella Rubrica del client di posta o nel corpo delle e-mail in archivio. I sistemi interessati sono: Win9x/ME/NT/2000/XP, si consiglia tutti l'effettuazione di una scansione antivirus completa con uno dei seguenti software gratuiti come - McAfee Stinger - Avast! Virus Cleaner che potete trovare nella sezione sicurezza.
IMPORTANTE: Prima della procedura di rimozione ricordarsi che su sistemi operativi WinME e WinXP si consiglia di disabilitare il Ripristino di configurazione del sistema (System Restore). Procedure per il Ripristino di configurazione del sistema: Su Sistemi Operativi WinME: Click su Start, da Impostazioni click su Pannello di Controllo, doppio click su Sistema e cliccate sulla scheda Prestazioni. Click su File System quindi sulla scheda Risoluzione dei problemi e selezionate Disattiva ripristino configurazione di sistema, date OK quindi cliccate su Chiudi, vi verrà chiesto di riavviare il computer. Su Sistemi Operativi WinXP: Click su Start, click con il tasto dx del mouse su Risorse del Computer poi su Proprietà. Click sulla scheda Ripristino configurazione di sistema mettere la spunta su Disattiva Ripristino configurazione di sistema o su Disattiva Ripristino configurazione di sistema su tutte le unità, click su Applica click su Sì e poi su OK, riavviare. N.B. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema.

Allarme per la rapida diffusione della nuova variante la F del virus Korgo che come Sasser sfrutta la vulnerabilità LSASS di Windows per propagarsi; vulnerabilità è stata risolta con la patch Microsoft MS04-011 - (KB835732) ormai più di un mese fa, lascia intendere che sono ancora diversi i PC a rischio.

Il nuovo worm Korgo (nella varianti A, B e C) come Sasser sfrutta la vulnerabilità LSASS di Windows per propagarsi; vulnerabilità è stata risolta con la patch Microsoft MS04-011 - (KB835732) ormai più di un mese fa. Il worm conosciuto anche come Padobot, non arriva via e-mail ma fa una scansione di indirizzi IP a caso alla ricerca di computer senza la patch installata. Una volta trovati, Korgo apre diverse porte TCP fra cui le 113, 445, 2041, 3067 e 6067 in qualità di backdooor e si mette in attesa di comandi da parte di chi ha scritto il virus. Secondo Symantec, il worm è in grado anche di aprire una backdoor, attraverso la quale un utente malintenzionato potrebbe accedere remotamente al sistema senza autorizzazione. La soluzione è quella di installare la pach di Microsoft MS04-011 - (KB835732) "vedi TIPS per verificare la presenza della patch nel tuo sistema". I sistemi operativi a rischio di contagio sono Windows XP, 2000 e 2003 Server.