Ancora allarme in rete scoperte altre due varianti B e C del worm Bobax. Le due nuove varianti sfruttano la vulnerabilità LSASS di Windows per diffondersi. Il funzionamento è tipico di quello di Sasser: difatti il worm scandaglia gli indirizzi IP alla ricerca di PC vulnerabili e una volta scoperti installa una copia del suo codice nella macchina con conseguente buffer underrun che causa il riavvio del sistema stesso.
Bobax non attacca solo le vnerabilità dei sistemi XP e 2000, ma può infettare anche altri computer con sistemi Windows. In questo caso si insedia nel PC solo se l'utente esegue un file che contiene un facsimile di Bobax. Quest’ultimo apre a caso diverse porte di comunicazione trasformando di fatto il PC in un server SMTP per inviare e-mail. Il messaggio dell'e-mail ha le seguenti caratteristiche:
Oggetto: Important news about our soldiers in Iraq!!!
Messaggio: Seven Seven officers were lost today,follow the link to get the full story.
L’indirizzo in effetti fornisce delle informazioni sulla guerra in Iraq, ma se l’utente avvia il file allegato (IMPORTANT INFORMATION.ZIP, che contiene il file IMPORTANT INFORMATION.SCR) installa il virus che cerca di prendere informazioni confidenziali dal PC e inviarle a determinati indirizzi e-mail. Si consiglia, per chi ancora non lo avesse ancora fatto, di scaricare e installare la patch risolutiva (MS04-011 - (KB835732)) "vedi TIPS per verificare la presenza della patch nel tuo sistema". E mantenere il proprio antivirus aggiornato

Dopo il worm Sasser ecco che arriva una nuova minaccia W32/dabber-a che oltre a sfruttare le vulnerabilità dei sistemi operativi o degli applicativi (come Outlook Express o Internet Explorer), sfrutta anche quelle dei virus. Difatti sulla Rete si sta diffondendo il questo nuovo worm che sfrutta una vulnerabilità nel codice di Sasser per installarsi nel PC.
Gli esperti in sicurezza sostengono che un fatto come questo è la prima volta che si verifica, Tecnicamente, Dabber fa una scansione sulle porte 5554 tcp sgi-esphttp SGI ESP HTTP o 9898 tcp monkeycom MonkeyCom alla ricerca di computer infettati con Sasser.
Una volta identificati, i sistemi, il worm installa una copia di se stesso nella cartella System (o System32) sotto il nome di Package.exe e può aggiungere delle chiavi nel registro per autovviarsi. Una volta installato Dabber neutralizza Sasser e apre la porta 9898 come backdoor che quindi può essere usata da parte di utenti malintenzionati per installare altro codice indesiderato nella macchina. Dabber il linee di massima risulta simile a Sasser nel senso che non si ricevono e-mail sospetta con il virus. E’ sufficiente che il PC Windows (XP, 2000 o 2003 Server) non abbia installato la patch (MS04-011 - (KB835732)) "vedi TIPS per verificare la presenza della patch nel tuo sistema" per rischiare il contagio.

Dopo il wom Sasser aumenta la diffusione del virus Wallon, che sfrutta vulnerabilità di recente scoperta nei sistemi operativi Windows.
Le patch che consentono di mettersi al riparo da qualunque problema sono le seguenti:
- Patch cumulativa Internet Explorer MS04-004 - 832894 del 12/04/2004
- Patch cumulativa per Outlook Express MS04-013 - 837009 del 13/04/2004
Si consiglia. per chi non avesse ancora provveduto a installare immediata i due aggiornamenti Microsoft. Per verificare se gli aggiornamenti sono stati avviare Internet Explorer e dalla barra di menu selezionare il simbolo "?" e poi Informazioni su Internet Explorer

Epidemia Sasser in circolazione la variante "E" - Nuove segnalazioni da parte delle società Sophos e Panda Software della variante "E". La nuova variante del virus sfrutta la vulnerabilità LSASS per copiare una copia di se stesso nella directory di Windows.
Il worm crea la seguente chiave nel registro di sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LSASS SVR = lsasss.exe per autoavviarsi al boot di Windows. Il worm causa un riavvio forzato del PC ogni 60 secondi. Come per le precedenti versioni raccomandiamo di scaricare da Microsoft la patch risolutiva (MS04-011 - (KB835732)) "vedi TIPS per verificare la presenza della patch nel tuo sistema".
Il nostro vademecum per eliminare senza problemi Sasser, è disponibile in questa pagina.

Epidemia Sasser (come rimuoverlo) - Come previsto il worm Sasser sta creando scompiglio nei PC di tutto il mondo infatti a già colpito 500.000 le macchine 300.000.000 quelle a rischio. La societa F-Secure afferma che se ci si collega a Internet con un normale computer senza alcuna protezione entro 10 minuti il worm infetta la macchina. Le varianti del nuovo Worm sono arrivate alla D. La Sasser.B coinvolge anche Windows 95 e 98. In tutto questo "bailamme", i creatori del noto virus Netsky (che potrebbero essere gli stessi di Sasser) stanno mandando in giro la variante AC che, spacciandosi per un tool di rimozione di Sasser, rappresenta un'ulteriore fonte di infezione. Attenzione quindi alle e-mail che sembrano arrivare da mittenti quali Sophos, McAfee e Norton! L'infezione da virus Sasser è immediatamente riconoscibile in seguito alla comparsa, sul proprio sistema, di frequenti errori legati al processo LSASS.EXE (maggiori ragguagli fate riferimento al pagina della Symantec).
Poiché il crash di tale processo comporterà il riavvio del sistema dopo pochi secondi, non si avrà il tempo di scaricare patch e "removal tool" per l'eliminazione del virus.
IMPORTANTE! Al momento della comparsa della segnalazione che informa sul riavvio del sistema, cliccate su Start, Esegui... quindi digitate il comando seguente: shutdown -a In questo modo interromperete il "countdown" per il riavvio del personal computer.
A beneficio di molti utenti vi consigliamo di eseguire alcune procedure che permetteranno di rimuovere il worm Sasser e proteggere il proprio PC:
1) Scaricate ed installate la patch risolutiva (MS04-011 - (KB835732)) "vedi TIPS per verificare la presenza della patch nel tuo sistema".
2) Effettuate il download del file FxSasser ed eseguitelo.
Si tratta del W32.Sasser Removal Tool sviluppato da Symantec che consente di riconoscere ed eliminare tutte le varianti (A, B, C, D) del worm. E' possibile utilizzare anche il "removal tool" gratuito Stinger di McAfee che riconosce 41 virus i più recenti oppure Sasser.A and Sasser.B Worm Removal Tool (KB841720) della Microsoft (per installare questa patch occorre aver installato il (Service Pack1 di XP) E' possibile effettuare la scansione del proprio sistema alla ricerca di un'eventuale infezione da Sasser.

E' stata scoperta una nuova variante "B" del pericoloso worm Sasser. Le uniche differenze dalle precedenti "variante A" è il nome dell'eseguibile che si posiziona in C:\%WinDir% ed i due mutex che il worm crea per assicurarsi d'avere un solo processo attivo.
Ricordiamo che la presenza del file win.log in C: e frequenti crash del servizio LSASS.EXE sono sintomo d'infezione da W32.Sasser.B.Worm.
La eEye Digital Security, rilasciato il Retina Sasser Worm Scanner, un programma gratuito che permette di controllare se si è stati infettati dal nuovo worm (nelle varianti A e B) E' possibile scaricare il tool Retina Sasser Worm Scanner direttamente dal sito ufficiale "previa registrazione gratuita". E' possibile utilizzare anche il "removal tool" gratuito Stinger di McAfee oppure Sasser.A and Sasser.B Worm Removal Tool (KB841720) della Microsoft Si consiglia anche di scaricare l'apposita patch risolutiva (MS04-011 - (KB835732)) vedi TIPS per verificare la presenza della patch nel tuo sistema Inoltre la Microsoft ha messo ha disposizione una pagina web dalla quale è possibile effettuare la scansione del proprio sistema alla ricerca di un'eventuale infezione da Sasser.

Alert in tutto il mondo per la repentina diffusione (a partire da quest'oggi) del worm Sasser. Le caratteristiche sono simili a quelle del celeberrimo Blaster che ha colpito l'estate scorsa. Sasser, infatti, sfrutta una vulnerabilità scoperta recentemente nei sistemi operativi Windows e per la quale Microsoft ha rilasciato (il 13 Aprile) un'apposita patch risolutiva (MS04-011). Chi non avesse provveduto, ad installare la patch, lo faccia immediatamente per evitare eventuali blocchi del sistema. Il Worm Sasser scansiona IP casuali attraverso la porta 445 TCP: se trova un sistema non aggiornato copia il file avserve.exe in C:\Windows o in C:\Winnt, crea il file win.log in C: dove vengono memorizzate tutte le informazioni sulla macchina infettata. Per "autoeseguirsi" ad ogni avvio del personal computer, il virus, una volta infettato un sistema si aggiunge alla lista dei programmi in esecuzione automatica (chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run del registro di sistema). Il sistema infetto, mostrerà a video una finestra simile a quella visualizzata in seguito ad un'infezione da worm Blaster si viene avvisati di salvare tutto il lavoro in quanto la macchina - a causa di un'errore in C:\WINNT\system32\lsass.exe - verrà riavviata. Accertarsi di aver installato la patch KB835732 vedi TIPS se non è stata installata provvedete immediatamente (patch risolutiva MS04-011). Ricordiamo che il virus interessa esclusivamente i sistemi Windows 2000, XP, Server 2003