Aumenta l'impatto del bufalovirus Microsoft

Occhio all'email fasulla confezionata in modo da essere scambiata per una email inviata dall'azienda di Redmond, che però non c'entra niente. In allegato non c'è una patch ma un virus. Su cui Symantec aumenta al'attenzione. I dettagli

Aumenta l'impatto del bufalovirus MicrosoftRoma - La prima delle segnalazioni a Punto Informatico risale a due giorni fa mentre ieri si sono moltiplicate con il passare delle ore: anche da noi sta girando un messaggio in inglese in apparenza inviato da Microsoft, che però non ha nulla a che vedere con esso, e che porta con sé un virus spacciato come patch. Del virus che genera il messaggio già si sapeva ma il suo livello di diffusione non aveva mai destato preoccupazione: nelle ultime ore però le cose sono un po' cambiate.

L'email che aggredisce i sistemi Windows è confezionata ad arte e, come si può vedere dal testo pubblicato nella terza pagina di questo articolo, è chiaramente pensata per trarre in inganno un alto numero di utenti. Chi attiva il file allegato all'email (Q216309.exe) non solo viene infettato da un virus ma diventa a sua volta "ripetitore" del virus stesso che si auto-invia in giro per la rete.

Il messaggio invoglia l'utente a cliccare sull'allegato sostenendo che l'attachment sarebbe una patch cumulativa di tutte le vulnerabilità note in programmi ad altissima diffusione come il browser Internet Explorer e Outlook Express. In più, spiega il messaggio-bufala, applicando la "patch" si risolveranno tutta una serie di altri problemi descritti in un bollettino di sicurezza Microsoft.
Il link al sito Microsoft e al bollettino di sicurezza, che si occupa naturalmente di queste materie relative ai prodotti Microsoft, sono inseriti nel messaggio proprio per indurre ancora di più l'utente a credere alla bontà di quanto vi è scritto. Il mittente del messaggio, inoltre, è ben pensato: "Microsoft Corporation Security Center". Il subject è: "Internet Security Update".

Dando un'occhiata ai newsgroup internazionali non è difficile notare come la stessa bufala infetta sia arrivata in diversi paesi europei oltreché negli States, segno di un aumento nella diffusione del virus che il messaggio contiene in allegato. Non è un caso che Symantec nelle scorse ore abbia deciso di portare da livello 2 a livello 3 la soglia di attenzione per il worm che, nato il 4 marzo, sembra avere le carte in regola per diffondersi ancora molto.

Di interesse notare, per quanto riguarda il messaggio-bufala, che vi sono alcune lievi differenze nei vari testi diffusi in rete, come le date delle patch fasulle a cui fanno riferimento. Differenze che sono un segno probabile della circolazione di più versioni dello stesso worm.

Ma ecco quali sono le caratteristiche del virus diffuso dalla "bufala Microsoft".
14 Commenti alla Notizia Aumenta l'impatto del bufalovirus Microsoft
Ordina
  • hai ahi 26/11/2003

    da un email di gruppo yahoo ed msn è arrivata di nuovo In lacrime

    è dura ad morireDeluso

    ciao
    non+autenticato
  • Una delle persone alle quali il NAV ha intercettato il virus, sa dirmi la dimensione dell'exe ?

    Come controllo sommario, caso mai il mio sia platealmente diverso.

    q216309.exe   122823 bytes

    Burp!
    non+autenticato
  • Ok, ho capito.
    non+autenticato
  • Se la gente prima di diffondere cavolate si informasse VAGAMENTE di ciò che c'è scritto, forse saprebbe distinguere le catene dalle robe vere.
    Mr.Wolf
    www.hackerzine.org
    non+autenticato


  • - Scritto da: MrWolf
    > Se la gente prima di diffondere cavolate si
    > informasse VAGAMENTE di ciò che c'è scritto,

    "Chi attiva il file allegato all'email (Q216309.exe) non solo viene infettato da un virus ma diventa a sua volta "ripetitore" del virus stesso che si auto-invia in giro per la rete."

    > forse saprebbe distinguere le catene dalle
    > robe vere.

    Non e' una "catena", si inoltra da solo.

    Burp
    non+autenticato
  • ...che programma di mmerla...

    ...ben gli sta....

    Pino Silvestre
    non+autenticato
  • Non che sia un fan di BillG, al contrario, ma se ti inviano un exe e tu lo lanci (o se te lo scarichi dalla rete, o se lo fai inviare via IRC, o se te lo passa la tua ex su dischetto), non c'è programma che tenga, scritto bene o o scritto male. è ovvio che se vuoi massimizzare l'impatto del tuo maledetto virus/worm lo scrivi per un programma diffuso, non certo per un oscuro client di posta (magari molto meglio di Outlook) che usiamo solo io e mio cugino.
    non+autenticato

  • - Scritto da: Luigi Sandon
    > Non che sia un fan di BillG, al contrario,
    > ma se ti inviano un exe e tu lo lanci (o se
    > te lo scarichi dalla rete, o se lo fai
    > inviare via IRC, o se te lo passa la tua ex
    > su dischetto), non c'è programma che tenga,
    > scritto bene o o scritto male. È ovvio che
    > se vuoi massimizzare l'impatto del tuo
    > maledetto virus/worm lo scrivi per un
    > programma diffuso, non certo per un oscuro
    > client di posta (magari molto meglio di
    > Outlook) che usiamo solo io e mio cugino.

    e chi ti dice che devi lanciarlo questo .exe?
    se certi utenti avessero un minimo d'esperienza...forse certe cavolate si potrebbero evitare.
    e poi chi ti dice che sei obbligato ad utilizzare windows e i pc con i suoi famosi .exe
    avete voluto i pc? beh questo e molto altro fa parte del "pacco" regalo dallo Zio bill.
    non+autenticato
  • Proprio oggi mi e' arrivata l'email citata nell'articolo.

    Il NAV 2001, con le definizioni aggiornate all'8 Marzo, l'ha fatto passare senza fare una piega.

    Complimenti, vabe'. Mano male che oltre all'antivirus software c'e' anche il buon senso che dovrebbe farsi fregare meno facilmente.

    Infatti leggendo il messaggio e la provenienza "millantata" ci si dovrebbe rendere conto all'istante che si tratta di una baggianata.

    Inoltre anche l'header del messaggio rende possibile capire che la provenienza non e' certo da un dominio microsoft, almeno nel mio caso.

    Anche guardando l'exe con un editor che consenta il dump esadecimale e' possibile accorgersi che si tratta di un prg in visual basic 6.0 e quindi tutt'altro che una patch Microsoft (ancora non sono arrivati a scriverle in VB6).

    Pensate che addirittura all'interno c'e' traccia del nome del progetto visual basic che conteneva il sorgente del programma sull'hard disk dell'autore: C:\Saves\ProjectVirus\Install Part\q216309.vbp

    Mah, poteva almeno comprimerlo e crittografarlo.

    Burp!
    non+autenticato
  • Ho controllato che nell'elenco aggiornato all'8 marzo dei virus da cui NAV dovrebbe proteggere c'è il W32.GIBE@mm in questione.
    Qualcuno sa dire perché non è stato intercettato nel caso dell'utente di cui sopra?
    Grazie
    non+autenticato
  • aveva l'antivirus disattivato !!
    non+autenticato


  • - Scritto da: elementare watson
    > aveva l'antivirus disattivato !!

    ... oppure solo il motore di scansione della posta elettronica (traffico POP e SMTP): io ho il NAV 2001 7.07.23D versione Server, firme del 08 marzo e al momento della ricezione con Outlook, il msg e' stato immediatamente bloccato.

    Comunque, io non mi fido mai troppo dei .exe ricevuti via mail con proprieta' taumaturgiche per i sistemi M$ : di norma, controllo anche sul sito ufficiale e su WindowsUpdate, e' piu' igienico... per quanto possibile ! Occhiolino

    Buona caccia !!
    non+autenticato


  • - Scritto da: guzman70
    > - Scritto da: elementare watson
    > > aveva l'antivirus disattivato !!

    Ovviamente no.

    > ... oppure solo il motore di scansione della
    > posta elettronica (traffico POP e SMTP): io
    > ho il NAV 2001 7.07.23D versione Server,
    > firme del 08 marzo e al momento della
    > ricezione con Outlook, il msg e' stato
    > immediatamente bloccato.

    Il mio, NAV 2001 7.07.23D, e' impostato in modo da controllare il traffico pop.
    L'ha controllato e' l'ha lasciato passare.

    Inoltre ho "scannato" l'exe una volta sull'HD, e' per lui risulta ancora totalemente innocente.

    Burp!

    non+autenticato


  • - Scritto da: Burp
    >
    >
    > - Scritto da: guzman70
    > > - Scritto da: elementare watson
    > > > aveva l'antivirus disattivato !!
    >
    > Ovviamente no.
    >
    > > ... oppure solo il motore di scansione
    > della
    > > posta elettronica (traffico POP e SMTP):
    > io
    > > ho il NAV 2001 7.07.23D versione Server,
    > > firme del 08 marzo e al momento della
    > > ricezione con Outlook, il msg e' stato
    > > immediatamente bloccato.
    >
    > Il mio, NAV 2001 7.07.23D, e' impostato in
    > modo da controllare il traffico pop.
    > L'ha controllato e' l'ha lasciato passare.
    >
    > Inoltre ho "scannato" l'exe una volta
    > sull'HD, e' per lui risulta ancora
    > totalemente innocente.
    >
    > Burp!
    >

    Minchia che sfiga...
    ... e' quasi un caso da passare alla Symantec (evvai con le patch... Occhiolino
    Sorry, non intendevo infierire, pero' a me funzia !
    Ciao!
    non+autenticato