Virus Bugbear.B, è allarme

Si sta diffondendo rapidamente su Internet

Roma - Ormai sono tantissimi gli utenti che stanno segnalando alla redazione i problemi causati da questo worm di cui ha parlato ieri SalvaPC News.

Riportiamo dunque il numero di SalvaPC per quanti non sono ancora iscritti al supplemento gratuito sulla sicurezza di Punto Informatico.

----------------------------------------------------------------------
SalvaPC News - sicurezza per tutti N. 54 di giovedì 5 giugno 2003
Supplemento a Punto Informatico
----------------------------------------------------------------------

UN VOLTO NOTO
-------------

Una nuova versione di un celebre worm ha iniziato a diffondersi con una certa virulenza nelle ultime ore. Alla redazione di SalvaPC stanno pervenendo numerose segnalazioni del worm e i principali osservatori anti-virus parlano di una diffusione in rapida crescita. E' quindi opportuno sapere con cosa questa volta si ha a che fare.

BUGBEAR.B
---------

Come il primo Bugbear, anche Bugbear.B unisce alle sue capacità di diffusione via email e attraverso reti condivise anche quelle di piazzare una porta di accesso nascosta al computer infetto (backdoor) e di registrare i pulsanti premuti sulla tastiera del PC colpito (keylogging). In più tenta di disabilitare i programmi antivirus e firewall presenti sul computer.

Ad essere colpiti sono potenzialmente tutti i sistemi Windows.

COME FUNZIONA
-------------

Bugbear.b è dotato di notevoli capacità di mascheramento che non ne rendono facile l'immediato riconoscimento da parte dell'utente.

I messaggi di posta elettronica con cui si diffonde, infatti, hanno un mittente casuale, che puo' essere un indirizzo email del tutto fasullo oppure pescato dal worm in mezzo agli indirizzi trovati sul computer infetto.

Aggredendo la privacy dell'utente, il worm puo' anche utilizzare messaggi di posta elettronica presenti sul computer infetto e inoltrarli a terzi aggiugendovi un allegato nel quale infila una copia di sè stesso. Questo significa che dal computer colpito possono diramarsi informazioni confidenziali senza che l'utente ne sia consapevole.

Il soggetto del messaggio puo' dunque variare grandemente mentre l'estensione del file infetto allegato all'email puo' essere.pif,.exe o.scr.
Le capacità del worm gli consentono pero' di utilizzare come nomi di file da allegare alle email anche nomi di file che si trovano nelle cartelline "Documenti" di Windows. Questo significa che un file infetto potrebbe avere ulteriori estensioni e non limitarsi alle tre suddette.

PARTICOLARE ATTENZIONE
----------------------

Questo worm richiede un'attenzione particolare agli utenti di sistemi Windows. Tutte le email che arrivano con allegato in queste ore dovrebbero essere analizzate prima di essere aperte e, soprattutto, prima di aprire il file allegato.

Poichè il worm si diffonde anche sulle reti di condivisione è senz'altro importante non indugiare nell'aggiornare i propri software antivirali.

ULTERIORI DIFESE
----------------

Sophos (www.sophos.com) raccomanda di accertarsi che i propri Outlook e Outlook Express siano aggiornati alle ultime versioni. Come altri worm, anche Bugbear.B puo' sfruttare vulnerabilità delle versioni più vecchie di questi software.

Chi dispone delle ultime versioni e ha adeguatamente protetto il proprio sistema con antivirus e firewall dovrebbe comunque non abbassare la guardia e monitorare le email provenienti in queste ore.

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)
email: redazione@salvapc.com
Url: http://salvapc.com/
----------------------------------------------------------------------
TAG: sicurezza
39 Commenti alla Notizia Virus Bugbear.B, è allarme
Ordina
  • Salve, vi scrivo per segnalarvi un episodio,
    oggi mi sono giunte 2 e-mail sospette, e come avevo immaginato da subito si tratta di due e-mail contenenti virus, per l'esattezza il famoso w32/bugbear.

    Fin qui nulla di eccezionale, la cosa che volevo segnalarvi era un'altra, ovvero a chi fossero destinate le e-mail. Si tratta evidentemente di messaggi indirizzati a sostenitori e simpatizzanti del movimento no-global, ed il mittente è ovviamente italiano, visti i subject e i testi nel corpo dei messaggi. Il mittente e' un utente dialup di tiscali come si evince dal tracert di 62.11.111.131 (ppp-21-11-111-131.dialup.tiscali.it).


    le riporto qui sotto e sarà tutto molto piu' chiaro, e nel frattempo vi saluto...

    Gianluca

    **********
    email n° 1

    mittente: Kyoto club segreteria (segreteria@aepdc.org) vedi nota in fondo*

    subject: chi dorme a palermo
    testo:
    Riepilogo:

    Edo Ronchi non viene al convegno

    Gianni Vernetti non viene al convegno

    Fabrizio Giovenale non viene al convegno

    Enzo Naso arrive

    Allegato: cartel1.xls.pif (70kb)

    Header:

    Return-Path:
    Received: from smtp7.libero.it (193.70.192.90) by ims3a.libero.it (7.0.012)
            id 3EF75E650002285B; Tue, 24 Jun 2003 09:47:43 +0200
    Received: from mail-2.tiscali.it (195.130.225.148) by smtp7.libero.it (7.0.012)
            id 3EEC0A3E00D91BED; Tue, 24 Jun 2003 09:47:42 +0200
    Received: from server (62.11.111.131) by mail-2.tiscali.it (6.7.016)
            id 3EE069FD00AF6E78; Tue, 24 Jun 2003 09:41:25 +0200
    Date: Tue, 24 Jun 2003 09:41:25 +0200 (added by postmaster@mail-2.tiscali.it)
    Message-ID: (added by postmaster@mail-2.tiscali.it)
    From: Kyoto Club Segreteria
    Subject: chi dorme a Palermo
    MIME-Version: 1.0
    Content-Type: multipart/mixed; boundary="----------KFXZ8EU0N0K952"

    ***********

    ***********

    seconda e-mail:



    mittente: sbilanciamoci! (sbilanciamoci@aol.com)

    subject: seminario: Economia a mano armata!

    testo:

    Segnaliamo il seminario del 3 maggio che si terra' a Padova, all'interno di Civitas, sugli intrecci tra industria, finanza e spese militar

    allegato: cartel1.xls.scr (70kb)

    header:

    Return-Path:
    Received: from smtp5.libero.it (193.70.192.55) by ims3a.libero.it (7.0.012)
            id 3EF2EDD0000AC576; Mon, 23 Jun 2003 10:41:59 +0200
    Received: from mail-7.tiscali.it (195.130.225.153) by smtp5.libero.it (7.0.012)
            id 3EEC0B2100C4D3EF; Mon, 23 Jun 2003 10:41:58 +0200
    Received: from server (62.11.113.1) by mail-7.tiscali.it (6.7.016)
            id 3EE04F5C00A7EBB3; Mon, 23 Jun 2003 10:37:52 +0200
    Date: Mon, 23 Jun 2003 10:37:52 +0200 (added by postmaster@mail-7.tiscali.it)
    Message-ID: (added by postmaster@mail-7.tiscali.it)
    From: Sbilanciamoci!
    Subject: Seminario - ECONOMIA A MANO ARMATA
    MIME-Version: 1.0
    Content-Type: multipart/mixed; boundary="----------A8JL4DP0XM9O5B"

    **********

    *)
    Domain ID:D50193001-LROR
    Domain Name:AEPDC.ORG
    Created On:27-Dec-2000 12:28:47 UTC
    Last Updated On:27-Dec-2002 10:06:53 UTC
    Expiration Date:27-Dec-2004 12:28:47 UTC
    Sponsoring Registrar:R63-LROR
    StatusSorpresaK
    Registrant ID:63-C
    Registrant Name:SEE SPONSORING REGISTRAR
    Registrant Street1:Whois Server:whois.networksolutions.com
    Registrant Street2:Referral URL:www.networksolutions.com
    Registrant City:N/A
    Registrant Postal Code:N/A
    Registrant Country:CA
    Registrant Email:not@available.org
    Admin ID:63-C
    Admin Name:SEE SPONSORING REGISTRAR
    Admin Street1:Whois Server:whois.networksolutions.com
    Admin Street2:Referral URL:www.networksolutions.com
    Admin City:N/A
    Admin Postal Code:N/A
    Admin Country:CA
    Admin Email:not@available.org
    Billing ID:63-C
    Billing Name:SEE SPONSORING REGISTRAR
    Billing Street1:Whois Server:whois.networksolutions.com
    Billing Street2:Referral URL:www.networksolutions.com
    Billing City:N/A
    Billing Postal Code:N/A
    Billing Country:CA
    Billing Email:not@available.org
    Tech ID:63-C
    Tech Name:SEE SPONSORING REGISTRAR
    Tech Street1:Whois Server:whois.networksolutions.com
    Tech Street2:Referral URL:www.networksolutions.com
    Tech City:N/A
    Tech Postal Code:N/A
    Tech Country:CA
    Tech Email:not@available.org
    Name Server:NS2.SARENET.ES
    Name Server:NS1.SARENET.ES
    non+autenticato
  • mi sapete indicare/suggerire come toglierlo dal pc? ho usato il kit della mcafee ma non lo rileva...
  • il mio fido (nel senso che va da cane... fido per l'appunto) XP (acronimo di xplode, imho), ha iniziato l'altro giorno a fare le bizze.

    Il monitor cambiava risoluzione, il nero mi ha detto che l'exe è stato alterato a causa di un virus e che dovevo reinstallarlo... e il mio antivirus ha iniziato a segnalare "probabile infezione da virus di tipo sconosciuto".

    Tutti gli indizi facevano pensare ad un virus.

    Ho quindi aggiornato l'antirus (per la cronaca era l'AVP), ma niente, non rilevava il virus. Ho allora acquistato il norton (mai soldi furono spesi in modo peggiore), e norton adirittura non rilevava nulla.

    Allora mi sono messo il cuore in pace e ho riformattato l'hd...

    ...e durante l'installazione di XP il sistema ha eseguito un reboot!

    Allora mi sono insospettito: ho scaricato memtest86, preparato il floppy, riavviato... e i miei confermi erano corretti: era la RAM bacata (era completamente marcia, completamente!!)!!! Ora il PC funziona perfetto (con una RAM nuova)... e confermo che non c'era nessun virus (tutti i miei cd li ho scansionati e sono puliti).

    Morale della storia: state attenti ai virus, ma non fate come me che preso dalla fobia ho formattato! Aggiornate il vostro fido (nel senso che anche quelli vanno fa cani) anvirus, e se non riconosce nulla... beh, mettetevi il cuore in pace, non è un virus, è un problema hardware, o winzozz stesso (che non è un virus ma peggio).
    non+autenticato
  • Sono le ore 03:08 di mattina e non tenendo niente da fare scarico la solita posta.........norton rileva il virus bugbear.b
    Tramite l'email di salva Pc News conosco il virus......norton lo mette in quarantena uaaaa::
    Vorrei sapere perche questa gente si diverte a mettere questi virus in circolazione!Impara l'arte e mettila da parte e non impara l'arte e rompi il pc d'altri!!!!
    ciao e spero che il worm sia di minima diffusione!!
    Raga mi raccomando:::sempre attenti ehhh!!!

  • - Scritto da: Eraser
    > Sono le ore 03:08 di mattina e non tenendo
    > niente da fare scarico la solita
    > posta.........norton rileva il virus
    > bugbear.b
    > Tramite l'email di salva Pc News conosco il
    > virus......norton lo mette in quarantena
    > uaaaa::
    > Vorrei sapere perche questa gente si diverte
    > a mettere questi virus in
    > circolazione!Impara l'arte e mettila da
    > parte e non impara l'arte e rompi il pc
    > d'altri!!!!
    > ciao e spero che il worm sia di minima
    > diffusione!!
    > Raga mi raccomando:::sempre attenti ehhh!!!

    Minima diffusione?
    Ha creato quasi il panico!!!
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Eraser
    > > Sono le ore 03:08 di mattina e non tenendo
    > > niente da fare scarico la solita
    > > posta.........norton rileva il virus
    > > bugbear.b
    > > Tramite l'email di salva Pc News conosco
    > il
    > > virus......norton lo mette in quarantena
    > > uaaaa::
    > > Vorrei sapere perche questa gente si
    > diverte
    > > a mettere questi virus in
    > > circolazione!Impara l'arte e mettila da
    > > parte e non impara l'arte e rompi il pc
    > > d'altri!!!!
    > > ciao e spero che il worm sia di minima
    > > diffusione!!
    > > Raga mi raccomando:::sempre attenti
    > ehhh!!!
    >
    > Minima diffusione?
    > Ha creato quasi il panico!!!

    ma quale panico, qui il panico c'è l'hanno quelli che non hanno capito che questo worm è una bufala come chi lo ha creato. Una cretinata da Guinnes!
  • ho avuto una macchina infettata quest'oggi, risultato 2 min di infezione e tanti saluti,
    si si ha cercato di bloccare il firewall, ma al suddetto firewall gli ho detto allow e poi un bel deny
    risultato il virus, non chiudeva più il fw e non si connetteva verso l'esterno,
    Un eradicate durato 2 minuti, ed è sparito
    di questo default.scr
    esso crea secondo un apertura del malefico
    bugbear@mm
    3 tipi di files
    per tre versioni di windows
    PQXI
    PQXI (VERSIONE DUE)
    PQXI (VERSIONE 3)
    LA PRIMA E PER LE VERSIONI 95 E 98
    LA SECONDA E PER LE VERSIONI 2000 NT
    la terza versione riguarda il tipo di macchine probabilmente xp home e professional
    Per quanto riguarda chi usa firewall casalinghi come ad esempio zonealarm, basta metterlo nell' append e poi negargli le uscite verso internet
    e li si ferma.
    Semplicemente aggiornando il vostro antivirus, e scansionandolo esso viene cancellato definitivamente.
    in realtà tale virus è molto tipo un trojan horse, con qualità shadow
    Certo che se uno usa linux, credo che l'aiuto riportato non serva A bocca aperta
    comunque, i files infetti sono pqxi.exe
    e un .pf nei classica cartella prefetch
    xp
    esso si nasconde quindi non è rintracciabile tramite msconfig
    o il winini classico, e questo indica che esso non si duplica ma si limita a disabilitare i programmi che lo potrebbero scocciare.
    Ma il furbo (un "intelligentone" sicuramente, il programmatore non si replica e non blocca nessun antivirus attivo)
    ma fa crashare ad-aware. che reinstallato funziona una meraviglia anche con l'infezione.
    record di cancellamento 2 min 35 sec e 15'
    voto del virus 2--
    il jerusalem mi faceva più danni se mi entrava.
    A bocca aperta

    E qui prego Punto informatico di non creare il panico per queste monnezzette.
    Aguro all'idiota di programmatore che lo ha prodotto di essere preso al più presto rilasciato per seminfermità mentale e di finire a chiedere oboli per la strada con un cartello con su scritto:
    "sono quel deficiente di programmatore che ha fatto il bugbear lasciate un obolo grazie"

    Elwood
  • ah aggiungo che non è un singolo eseguibile ma ne contiene tre
    i PXXI
    dove le x indicano la versione di windows che uno ha
    questo idiota di programmatore, non è nemmeno riuscito a fare un eseguibile universale.
    Ho anche il sospetto che abbia già lavorato per qualche casa sofware che produca programmi commerciali, si riconosce l'incapacità mentale di creare un singolo exe universale.
    Se i virussatori saranno tutti così posso dormire sonni tranquillissimi
    ciauz

  • - Scritto da: Elwood_
    > ah aggiungo che non è un singolo eseguibile
    > ma ne contiene tre
    > i PXXI
    > dove le x indicano la versione di windows
    > che uno ha
    > questo idiota di programmatore, non è
    > nemmeno riuscito a fare un eseguibile
    > universale.
    > Ho anche il sospetto che abbia già lavorato
    > per qualche casa sofware che produca
    > programmi commerciali, si riconosce
    > l'incapacità mentale di creare un singolo
    > exe universale.
    > Se i virussatori saranno tutti così posso
    > dormire sonni tranquillissimi
    > ciauz

    grazie delle informazioni
    ciao
    non+autenticato

  • - Scritto da: Elwood_

    > Aguro all'idiota di programmatore che lo ha
    > prodotto di essere preso al più presto
    > rilasciato per seminfermità mentale e di
    > finire a chiedere oboli per la strada con un
    > cartello con su scritto:
    > "sono quel deficiente di programmatore che
    > ha fatto il bugbear lasciate un obolo
    > grazie"

    Auguro l'equivalente al team di sviluppo di Outlook...
    Spero che prima o poi vi rendiate conto che per una cosa innocua, elementare e banale come l'email sprecate più tempo ed impegnate più risorse di quante comunemente non ne servano per proteggere un'intera infrastruttura composta da numerosi application, web e mail server.
    Quando vi renderete conto di ciò (e sarà sempre troppo tardi!), smetterete di usare Outlook e vivrete una vita serena e normale.

    Ciao.
    non+autenticato


  • > Auguro l'equivalente al team di sviluppo di
    > Outlook...
    > Spero che prima o poi vi rendiate conto che
    > per una cosa innocua, elementare e banale
    > come l'email sprecate più tempo ed impegnate
    > più risorse di quante comunemente non ne
    > servano per proteggere un'intera
    > infrastruttura composta da numerosi
    > application, web e mail server.
    > Quando vi renderete conto di ciò (e sarà
    > sempre troppo tardi!), smetterete di usare
    > Outlook e vivrete una vita serena e normale.
    >
    > Ciao.

    concordo ma aggiungo come nell'articolo che se si fosse usata un sistema non ntfs o win32 il virus non avrebbe avuto sorta ed effetto.
    Cambiare posta elettronica, e continuando ad usare windows
    non cambia le cose.
    Se l'attach lo apri (non per mero masochismo del sottoscritto per vedere il pauroso virusse)
    Puoi usare tutto quello che vuoi, non cambia di fatto la questione, il primo antivirus, naturale è USARE IL CERVELLO.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > se si fosse usata un sistema non ntfs o
    > win32 il virus non avrebbe avuto sorta ed
    > effetto.

    sistema ntfs o win32?
    ma che vuoi dire?

  • - Scritto da: godzilla
    >
    > - Scritto da: Anonimo
    > >
    > > se si fosse usata un sistema non ntfs o
    > > win32 il virus non avrebbe avuto sorta ed
    > > effetto.
    >
    > sistema ntfs o win32?
    > ma che vuoi dire?

    capisco che per te e cosa difficile da capire, ma prova a sforzarti, che effetto avrebbe avuto su una ext2.
    Se non capisci ti consiglio un link
    http://www.comtel.it/abc-a.html
    A bocca aperta
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: godzilla
    > >
    > > - Scritto da: Anonimo
    > > >
    > > > se si fosse usata un sistema non ntfs o
    > > > win32 il virus non avrebbe avuto sorta
    > ed
    > > > effetto.
    > >
    > > sistema ntfs o win32?
    > > ma che vuoi dire?
    >
    > capisco che per te e cosa difficile da
    > capire, ma prova a sforzarti, che effetto
    > avrebbe avuto su una ext2.
    > Se non capisci ti consiglio un link
    > http://www.comtel.it/abc-a.html
    > A bocca aperta

    allora, le cose sono due: o sei tu che confondi il sistema operativo col filesystem - e con aria di supponenza vieni ad insegnarmi cos'è il filesystem ext2 - o sono io che sono totalmente rincoglionito.

    che dici, vediamo chi la vince?

    saluti
    godzilla
  • aggiungo: al limite potevi parlare di FAT32, non win32 come hai scritto.
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)