|
|
| BUONGIORNO! Come si dice dalle mie parti, piove sul bagnato! Arriva cioè un altro virus, per giunta uno dei più aggressivi mai apparsi: non è più necessario aprire un allegato per essere infettati, basta leggere un file. Il worm si replica tramite email, connessioni di rete lasciate aperte e, novità, tramite i servizi Microsoft per Internet (IIS), per cui basta visualizzare una pagina WEB di un server infetto. In questo caso, viene richiesto di scaricare una file .eml --email di MSOE-- che ha il worm in allegato, lungo 57344 BYTE; basta disabilitare il download automatico dei file per erigere una barriera fra il worm e noi; non è protezione totale ma è già un grosso passo avanti.- L'allegato infetto ha nome README.EXE, trovo inconcepibile che si lanci un allegato di posta elettronica di tipo eseguibile, ancora meno se proviene da sonosciuti; ancora una volta: IL PRIMO E PIU' POTENTE ANTIVIRUS SIAMO NOI STESSI.- Unica scusante in questo specifico caso, l'allegato README.EXE può essere invisibile e lanciarsi automaticamente.- La programmazione del worm non è perfetta, per cui non tutte le azioni descritte in seguito possono avere luogo.- Il worm riscrive il file C:\WINDOWS\MMC.EXE e/o crea una copia di se stesso nella cartella C:\WINDOWS\TEMP; poi infetta tutti i file eseguibili, la cui dimensione cresce di circa 57300 BYTE, si copia in formato eml o nws nel file riched20.dll nelle cartelle che contengono file con estensione .DOC; riched20.dll è un file di WIN usato da applicazioni come WORD, per cui ogni volta che si invoca il programma, si esegue il worm.- Il worm cambia le impostazioni di EXPLORER in modo da nascondere i file HIDDEN e le esetensioni dei file noti.- Siccome aggiunge la riga Shell = explorer.exe load.exe -dontrunold al file SYSTEM.INI, è abbastanza facile scovare l'infezione.- Logicamente, il file LOAD.EXE contiene il worm.- Le porte attaccate sono la 25,69,88,137,138,139,445.- Il worm si propaga agli indirizzi contenuti nelle pagine HTML del sistema locale, usa gli indirizzi della rubrica di MSOE per compilare i campi A: e DA: delle mail che crea per autospedirsi, perciò non è possibile determinare l'autore della spedizione.- Dopo l'infezione, il PC potrebbe aver subito accessi non autorizzati come per esempio: -Furto o modifica di password -Furto o modifica di password e/o dati personali -Cancellazione o modifica di file -Uso dei propri indirizzi di email per la spedizione di materiale sconveniente o fuorilegge -Installazione di backdoor -Installazione di sniffer -Riconfigurazione del firewall I LOG file potrebbero essere stati modificati per nascondere le prove dell'accesso non autorizzato.- Si ha la certezza di aver ripulito il sistema solo reinstallando il sistema operativo e ripristinando i file da un supporto certamente sano; l'amministratore di sistema o un esperto potranno dire l'ultima parola in merito.- Per rimuovere manualmente il worm occorre: 1-Editare il file C:\WINDOWS\SYSTEM.INI e sostituite tutto ciò che sta alla destra del segno"=" della riga che inizia per "shell=" con "explorer.exe"; la riga ora deve essere: "shell=explorer.exe" 2-Salvare il file editato 3-Riavviare il PC 4-Lanciate un antivirus aggiornato facendogli esaminare tutti i file 5-Tentate di riparare tutti i file infetti da W32.Nimda.A@mm o W32.Nimda.A@mm (html) 6-Cancellate tutti i file infetti da W32.Nimda.A@mm (dr), W32.Nimda.enc, W32.Nimda.A@mm (dll) 7-Mettete in quarantena i file non riparabili 8-Ripristinate i file Admin.dll e Riched20.dll dal backup o dai file .CAB di OFFICE 9-Rimuovete tutte le condivisioni non necessarie 10-se avete un account GUEST dal gruppo degli amministratori BUON LAVORO..... PNP - P.PENSA pnp@pnpdipensa.com - www.pnpdipensa.com |
|
