ALERT: Cartolina di Natale? Un virus

peppoweb

Utente Attivo
UNA NUOVA MINACCIA

Sotto Natale anche quest'anno, come gia' accaduto in anni precedenti, si presentano nuovi worm che cercano di sfruttare la corrispondenza elettronica natalizia per indurre gli utenti ad accedere a file che possono creare non pochi problemi.

In queste ore sta emergendo il nuovo worm Zafi.d (anche chiamato Erkez.D) che si ritiene di origine ungherese e che preoccupa non poco i centri di sicurezza antivirus. Zafi.d puo' colpire tutt ele versioni di Windows, dalla 95 in poi.

COME RICONOSCERE ZAFI.D

Il worm si presenta all'utente all'interno di una email che appare come una cartolina di auguri natalizi ma si diffonde anche attraverso i sistemi di file sharing peer-to-peer. I paesi europei nei quali fino a questo momento e' stata segnalata la massima diffusione sono Germania, Spagna e Francia. SalvaPC ha rilevato diverse infezioni in Italia. Cio' si deve al fatto che l'email puo' arrivare non solo in inglese, come succede con gran parte dei worm, ma anche in molte altre lingue, compreso l'italiano.

Riconoscere il nuovo worm non e' facile ma, nella versione italiana, si presenta con un subject esplicito: "Re: Buon Natale!" oppure "Fw: Buon Natale!", o anche "Buon Natale!".

Nel testo del messaggio, nella versione italiana, si legge:
"* Buon.... ....Natale! *
:) (NOME UTENTE)"

In allegato si trovano diversi tipi di file che hanno per estensione pif, .cmd, .bat, .com o .zip ma che in ogni caso nel nome fanno riferimento ad una cartolina di auguri natalizia, ad esempio "cartoline.christmas.index.jpg3051.zip".

Il mittente del messaggio ancora una volta non e' il PC infetto quanto invece uno degli indirizzi trovati da Zafi.d sui computer infettati ed utilizzati per l'invio delle email infette.

I DANNI DI ZAFI.D

Trend Micro e F-Secure ritengono Zafi.d piuttosto insidioso. Una volta avviato il file infetto, il worm si inserisce nel registro di Windows in modo tale da assicurarsi di essere sempre attivo quando il PC viene riavviato.
Inoltre copia se stesso con il nome di "winamp 5.7 new!.exe" o "ICQ 2005a new!.exe" nelle cartelline del PC il cui nome comprenda i termini "share", "upload" o "music".

Per ottenere gli indirizzi a cui inviare il proprio codice malevolo, Zafi.d scansiona una quantita' di file diversi sul PC nonche' tutta la rubrica di Windows, dopodiche' si autospedisce a tutti gli indirizzi trovati. Sfruttando un proprio motore SMTP, Zafi.d cerca di impedire che l'utente si accorga dell'invio dei messaggi abusivi.

Per cercare di non essere rilevato dalle societa' di sicurezza antivirus e dai grandi portali web, Zafi.d non viene inviato ad indirizzi che contengano tutta una serie di nomi noti, da "hotm" (che sta per Hotmail) a "kasper" (che sta per Kaspersky Labs).

Non contento, Zafi.d cerca di disattivare tutte le applicazioni antivirus e di sicurezza attive sul PC infettato. Non solo, installa anche una backdoor sulla porta 8181 che consente dall'esterno di accedere al PC, cancellare dati o importarvene di nuovi.

COME DIFENDERSI

Come sempre in presenza di un worm di questo tipo e' necessario non aprire l'allegato. In questo caso e' ancora piu' necessario perche' non tutti i centri antivirus hanno gia' sviluppato un aggiornamento dei propri sistemi di protezione ed e' dunque necessaria la massima cautela.

Uno scanner antivirus che colpisce Zafi.d e' stato messo a punto da Trend Micro ed e' disponibile all'indirizzo:
http://it.trendmicro-europe.com/enterprise/products/housecall.php

Qualora si sia individuato Zafi.d sul proprio computer e' necessario seguire una procedura complessa di rimozione, come descritto ancora da Trend Micro:
- aprire il file di registro (regedit da "Esegui" del menu' avvio)
- aprire la chiave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
- sulla destra cercare e cancellare le chiavi:
Wxp4 = "SYSTEM\Norton Update.exe" ("SYSTEM" va sostituita con il percorso della cartella di sistema di Windows ("system" appunto) che varia a seconda della versione di Windows o delle preferenze dell'utente.
Attenzione pero', modificare il registro senza sapere esattamente cosa si sta facendo puo' rendere il computer inservibile.

ULTERIORI INFORMAZIONI

Per ora sono disponibili le seguenti pagine di approfondimento.
SSR:
http://www.sarc.com/avcenter/venc/data/[email protected]
F-Secure:
http://www.f-secure.com/v-descs/zafi_d.shtml
Trend Micro:
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_ZAFI.D
Fonte: SalvaPC News
 
Discussioni simili
Autore Titolo Forum Risposte Data
E Alert non viene mostrato PHP 1
M Inviare dati nel db dopo risposta alert PHP 0
M Lanciare alert se il codice fiscale è già presente nel db e lasciare la scelta di inserire all'utente PHP 42
felino Bootstrap alert: usare lo stesso div per due messaggi consecutivi jQuery 1
M [Javascript] Copia incolla con alert Javascript 0
M [PHP] Visualizzare nell'alert il calcolo PHP 4
spider81man [PHP] Alert Box per confermare Inserimento o Cancellazione dato. PHP 4
A [Javascript] Alert su Pulsante Esci Javascript 0
M alert dopo aggiornamento automatico pagina php PHP 4
M Javascript/Php. Stringa di testo a capo con alert Javascript 7
P [Javascript] alert con formattazione Javascript 1
F Alert selezione checkbox jQuery 6
M Indirizzare ad una pagina con alert Javascript 5
M alert nasconde la schermata sottostante PHP 1
D Valore alert nel div Javascript 1
G validazione form con div tipo alert jQuery 0
Creatt Visualizzare un immagine al mopmento di un messaggio di alert Javascript 7
G Post dopo alert HTML e CSS 1
Monital Dopo un alert non si vede il div PHP 0
S problema alert con eclipse Javascript 2
otto9due Alert con PHP PHP 2
A Alert con collegamento a pagina Javascript 1
M Alert con campo php PHP 6
Devil-94 visualizzare alert con una sequenza di tasti Javascript 6
W Attivare un alert di un app Sviluppo app per Android 1
H Alert Scadenze PHP 0
P Alert ad apertura di pagina? Javascript 2
E PHP + alert PHP 3
A Jquery Validation e Alert di errore jQuery 1
F alert per browser obsoleti WordPress 2
A un'alternativa agli alert? Javascript 2
S Alert in c# Javascript 2
Shyson Non si colora il campo alert Javascript 5
Shyson Personalizzare window.alert Javascript 1
valient13 aprire un alert per cancellare Javascript 1
voldemort Alternative al alert() con jQuery jQuery 0
A form registrazione + php + alert javascript Javascript 6
P Creare un sistema di alert PHP 6
F alert con asp Classic ASP 1
grottafelix Finestra Alert prima di delete Classic ASP 0
S Pop up o alert di uscita HTML e CSS 7
peppoweb ALERT VIRUS: Netsky.X e Y Sicurezza e Virus 0
peppoweb ALERT WORM: Sober.C, worm contro il P2P Sicurezza e Virus 3
peppoweb ALERT VIRUS: Due nuove versioni del virus MiMail Sicurezza e Virus 0
peppoweb ALERT: Worm/ Falsa email da Microsoft Sicurezza e Virus 0
B editare messaggi di alert Javascript 3
peppoweb ALERT!: Si fa vedere il worm dell'11 Settembre Sicurezza e Virus 6
peppoweb ALERT: Dumaru si fa largo su Internet Sicurezza e Virus 1
peppoweb ALERT: Nuovo worm/virus in diffusione Sicurezza e Virus 0
peppoweb ALERT Virus: Sophos segnala W32/Jantic-B Sicurezza e Virus 0

Discussioni simili