PDA

Visualizza versione completa : W32.lirva.c



ais001[db]
09-01-2003, 22.16.31
In queste ore si sta diffondendo rapidamente sulla rete e anche in Italia un worm le cui caratteristiche distruttive non sono al momento preoccupanti. Si tratta di una variante del meno noto W32.Lirva.A e attacca la piattaforma Windows-Outlook. Le sue caratteristiche sono cosi' particolari che e' senz'altro opportuno farne la conoscenza.
La sua capacita' di diffusione non va comunque sottostimata e il Symantec Security Response ha infatti gia' portato a 2 il livello di attenzione su questo worm, un livello che potrebbe pero' aumentare nel corso delle prossime ore.


COME SI DIFFONDE
----------------
A differenza di altri worm, W32.Lirva non si diffonde solo via posta elettronica ma anche attraverso le chat IRC e ICQ nonche' il network peer-to-peer di KaZaa e di WinMX e su tutte le reti aperte di cui faccia parte un computer infetto.
Il nome del file infetto cosi' come il soggetto dell'email che trasporta il worm puo' variare ampiamente e talvolta riportare il nome della celebre popstar Avril Lavigne.
Se non si aggiorna Microsoft Outlook da piu' di un anno l'email puo' infettare quando viene aperta, anche se non viene lanciato l'allegato (vedi piu' sotto, Come Difendersi).


GLI EFFETTI DEL WORM
--------------------
Qualora si venga colpiti dal worm, Lirva tenta di:
- disabilitare i sistemi antivirus e firewall presenti sul computer
- inviare le password di accesso ad internet al creatore del virus
- collegarsi al sito web.host.kz e scaricare il programma di attacco BackOrifice che viene lanciato e che puo' consentire al creatore del virus di accedere al computer colpito
- nei giorni 7, 11 e 24 del mese il worm re-indirizza il browser dell'utente sul sito www.avril-lavigne.com e sul desktop di Windows pone immagini animate.

Contestualmente il worm si autoinvia a tutti gli indirizzi che trova nella rubrica di Windows e nei file con estensione dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch e idx.


COME DIFENDERSI
---------------
La prima regola per la difesa e' come sempre quella di tenere aggiornati i propri sistemi antivirus e di non aprire email inattese o non richieste. Chi possiede Norton Antivirus puo' facilmente aggiornare il software utilizzando LiveUpdate.

Qualora non si fosse provveduto ad aggiornare il proprio Outlook e' bene ricorrere alla patch resa disponibile da Microsoft al seguente indirizzo:
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp


ULTERIORI INFORMAZIONI
----------------------
Per conoscere tutti i dettagli del nuovo worm questa e' la URL da seguire:
http://securityresponse.symantec.com/avcenter/venc/data/w32.lirva.c@mm.html

Per saperne di piu' su BackOrifice e' possibile consultare la pagina dedicata del Symantec Security Response:
http://securityresponse.symantec.com/avcenter/venc/data/backorifice.html







http://forum.rebirth.it/images/smilies/closed2.gif

Boe.
10-01-2003, 10.23.59
giusto ieri l'altro un piccì dell'ufficio è stato contagiato da questo virus.
- si è installato all'apertura di outlook (la mia collega non lo aggiorna da tempo)
- cita la sign.na avril lavigne (ma che è pubblicità gratuita? :D)
- tenta di bloccare gli antivirus (ho risolto facendo uno scan on line con panda)

Mi sono accorto della sua esistenza in quanto tentava di connettersi al web in background e il picci macinava di continuo ed era rallentato all'inverosibile...

Ho notato che il file .exe si installa sotto win/system ed è un file nascosto. Non è immediata la sua idenfiticazione perchè ha un codice alfanumerico di questo tipo: 5b99f9CG.exe o simili.

Essendo il file nascosto e l'antivirus bloccato l'ho rimosso in automatico dalla cartella windows/system. Ovviamente i file di nascosti e di sistema erano settati come visibili, altrimenti cippalippa che lo beccavo... riavvio...

Non era cambiato nulla perchè il file va ad aggiungere una stringa nel file autoexec.bat:


@win \RECYCLED\5b99f9CG.exe

@win \RECYCLED\eB19D7A4.exe

@win \RECYCLED\b25gcEhD.exe

@win \RECYCLED\566BB64c.exe


@win \RECYCLED\Fbb4h7d7.exe

@win \RECYCLED\3e71c23D.exe

@win \RECYCLED\d1f3egbF.exe

@win \RECYCLED\dhG7GFCh.exe


Ovvero ripesca il file dal cestino e lo rinomina... :cool: :D

Ovvio che per risolvere il problema ho rieliminato il file, svuotato il cestino e eliminati i file protetti da norton (il file veniva backuppato in automatico in quanto file nascosto sotto la cartella system)

Spero che la mia personalissima esperienza possa essere d'aiuto... ;)