·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-··-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·
[ i n f o s a p e r e ] - newsletter di informazione - numero 24
·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-··-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·
· Sito internet http://infosapere.altervista.org
· Blog: http://infosapere.blogspot.com
· Informazioni sulla deiscrizione dalla newsletter sono al fondo pagina.
[ numero speciale - virus W32.Blaster.Worm - infosapere ]
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Ho messo solo qualche news quando mi sono reso conto di essere stato
infettato dal virus W32.Blaster.Worm e siccome le modalità di infezione ne
permettono la sua rapida diffusione su qualsiasi macchina che utilizzi
Windows XP o Windows 2000 non patchate, vi invio alcuni articoli che ho
trovato in internet in modo che possiate capire se siete rimasti infetti e
come rimuoverlo. O semplicemente come applicare la patch al vostro sistema,
visto che qualsiasi sistema non "patchato" è vulnerabile a futuri attacchi
da parte di questo o altri virus. Segue qualche riga che ho scritto per
amici e ho inoltrato loro via e-mail. Non è un articolo, è scritto con
l'intento nel comunicare loro l'info nel + breve tempo possibile, segue:
Da un paio di giorni il mio computer con sopra installato Windows XP
aggiornato al Service Pack 1 quando mi connettevo ad internet SENZA il
firewall alzato, mi segnalava che si sarebbe riavviato entro 60 secondi...
pensavo fosse quasi quasi dovuto al caldo, visto che il mio pc è in
mansarda nel sottotetto... (!!) invece è un virus davvero cattivo nella sua
propagazione...
Informazioni in italiano dal sito Symantec
In pratica se avete Windows95, Windows98, Millenium, Linux, non avete
problemi di infezione. Se invece avete WindowsXP e WIndows 2000 vi sono
alte possibilità di infezione, perchè vi potete "infettare" semplicemente
connettendovi ad internet e stando in rete. Come avviene l'infezione?
Sfrutta una falla dei protocolli di connessione di internet e in
particolare delle varianti Microsoft a questi protocolli (guarda caso...).
Prova ad autoinviarsi su di una certa porta, la 135 a degli indirizzi
"casuali" ip esempio 116.118.225.012 ad esempio che è un "indirizzo
internet" e potrebbe essere l'indirizzo internet del vostro pc. Le
possibilità di infezione in queste ora stanno salendo esponenzialmente
perchè siccome sempre più computer infetti vengono contagiati, più computer
tentano di infettare altri computer provando degli indirizzi a caso che
abbiano la porta 135 accessibile grazie a quell'errore di protocollo, se
non avete applicato la patch. Il rischio è grave e reale perchè se anche
oggi non avete il computer infetto, un domani lo stesso virus o un altro
virus che utilizzi lo stesso sistema, può infettare il vostro computer.
Quindi per chi ha WIndows2000 e WindowsXP direi che la verifica se avete il
Virus e l'installazione della patch per evitare future infezioni, sono
obbligatorie. Ci si mette un attimo. Per vedere se avete il virus è
sufficiente eseguire il file eseguibile che vi ho allegato che è stato
scaricato dal sito Symantec, Norton Antivirus. In ogni modo, sia se avete o
meno il virus, che va ad installarsi in:
c:\windows\system32\msblast.exe dovete installare la patch per chiudere
questa GRAVE falla nella sicurezza di Windows, perchè anche se oggi non
siete infetti, un domani sfruttando questa falla, un altro virus potrebbe
infettarvi con danni ben maggiori.
Ecco gli indirizzi delle patch in Italiano:
Windows XP ITA
Windows 2000 ITA
Quindi potete ANCHE cercare sull'hard-disk se avete il file msblast.exe
andando in START/CERCA/FILE O CARTELLE/Tutti i file o cartelle e mettere
msblast.exe
Io infatti andando in Start/Esegui e digitando Msconfig e poi andando nella
linguetta Avvio, avevo notato questo msblast che mi pareva strano e che
avevo disabilitato. Ed essendo un virus al successivo riavvio, in qualche
modo si è riabilitato. E per fortuna che ho capito che attivando il
firewall, PERMETTEVA di connettersi ad internet. Perchè altrimenti
impedirebbe la connessione ad internet resettando il pc entro 2 minuti
dall'avvio e impedendo quindi di aggiornare l'antivirus o di cercare patch,
informazioni, ecc. in internet e anche questo è confermato negli articoli
che ho letto. Intere università americane hanno dovuto distaccare i propri
computer. Può darsi che nei prossimi giorni i giornali ne parleranno di
questo virus che in pratica sfruttando questa falla va ad eseguire del
codice sul vostro pc.
Se avete WindowsXP o Windows2000, aggiornate il pc mi raccomando. E' il
virus più brutto che abbia visto da anni e non prendevo un virus, se non
ricordo male, da... forse una decina d'anni, anzi 12! E per chi avesse
qualche dubbio o problema, mi scriva, ciao ciao.
Ps: seguono alcuni articoli che descrivono la cosa meglio di come ho fatto io.
by Paolo
[ sorridere - infosapere ]
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
· Un tizio fa ad un amico:
- Hanno rapito mia suocera!
- Accidenti! - fa l'amico - E cosa è successo? Hanno chiesto dei soldi?
- Si - dice lui - 500 mila euro!
- E allora?
- Glieli ho dati, ma sono preoccupato...
- Perché?
- Ne vogliono ancora!
- Altrimenti?
- Altrimenti me la riportano...
[ primo piano - infosapere ]
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
· Da www.corriere.it: MILANO - Automobilisti indisciplinati, occhio ai
punti. Sono quelli della nuova patente, approvata in via definitiva al
Senato lo scorso 31 luglio. Venti «crediti» di base da conservare con cura:
finiti «sotto zero» bisognerà rifare l'esame entro 30 giorni dal ritiro del
documento.
NUOVE REGOLE - Più attenzione ai semafori rossi (6 punti), alle cinture
slacciate (5 punti), guai a parlare con il telefonino, in auto, senza
auricolare (5 punti). Chi è in «zona rossa» potrà frequentare corsi di
recupero per risalire la china e riportarsi a quota venti.
BUONA CONDOTTA - Non mancano i premi per «buona condotta». Agli
automobilisti dotati di patente «immacolata» verranno regalati 2 punti ogni
due anni trascorsi senza infrazioni. Chi invece ha già «subito»
decurtazioni ritornerà a venti se non trasgredirà il codice sempre per 24
mesi. Tra dubbi e perplessità ecco il prontuario di Corriere.it.
[ domanda & risposte - infosapere ]
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
· primo articolo, tratto da:
Vi è comparso questo avviso e il tuo pc si è riavviato?
L'avviso e' il risultato di un bug di Windows XP che permette qualche
utente 'malintenzionato' di disabilitare il servizio RPC, utilizzando un
programma, detto "worm", noto come W32.Blaster.Worm.
Nt/Authority/System ci comunica che il servizio RCP è stato disabilitato e
per protezione il sistema verrà riavviato. Probabilmente siete vittima di
una attacco informatico esterno.
Microsoft riepiloga in questi termini il bug (vedi:
Destinatari: utenti di Microsoft Windows
Effetti della vulnerabilità: esecuzione di codice non autorizzato
Livello di gravità: critico
Raccomandazioni: si consiglia agli amministratori di sistema di applicare
immediatamente la patch
Software interessati:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0, Terminal Server Edition
Microsoft Windows 2000· Microsoft Windows XP
Microsoft Windows Server 2003
Versioni del software non interessate: Microsoft Windows Millennium Edition
Un altro errore strettamente collegato è: Generic Host Process for win32
Services ha causato un errore... o qualcosa del genere...
Se è capitato, la prima cosa che si pensa di fare è disabilitare il
servizio RPC. Non fatelo mai!!!! Capiremo più avanti perchè.
Potete accertarvi di essere infetti collegandovi al sito della Symantic a
questo indirizzo dove trovate maggiori informazioni e potete scaricare
un'utility (FixBlast.exe, 164 kb) per la rimozione del worm, o direttamente
QUI.
RPC???
Il componente RPC (Remote Procedure Call) permette ad una applicazione in
esecuzione sul computer locale di eseguire alcune routine su un computer di
Rete, locale o remoto, e viceversa. In parole semplici, il componente RPC
presente nel vostro pc aspetta su determinate porte un messaggio RPC di
esecuzione codice: una volta ricevuto, lo analizza, e se è autorizzato
manda in esecuzione codice. Costruendo un messaggio RPC in modo
particolare, un utente ostile potrebbe mandare in esecuzione codice a
proprio piacimento superando ogni controllo, permettendo, di fatto, di
prendere pieno controllo del vostro sistema e il computer non sarà quasi
più in grado di rispondere ai nostri comandi!!!
E adesso? (questa parte ti interessa solo se hai disabilitato manualmente
il servizio RPC altrimenti prosegui la lettura al punto b)
a) Se unazione di hacking fa in modo che questa applicazione (RPC) non
dovesse caricarsi, il computer semplicemente rimarrebbe inchiodato in fase
di caricamento oppure, nonostante il sistema operativo venga caricato
correttamente, la gran parte delle funzioni del PC non sarebbe disponibile
(errore tipico: memoria insufficiente per l'esecuzione del programma
avviato). La soluzione sarebbe di accedere alla schermata dei Servizi e
ripristinare le sue impostazioni originali: il problema nasce qui!
Ripristinare il servizio alle impostazione di default (che sono Tipo di
avvio: Automatico e Stato del servizio: Avviato) diviene impossibile. E'
necessario in questo caso intervenire manualmente sul registro
(start>esegui>regedit) impostando i seguenti valori:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RpcSs\Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\RpcSs\Start = 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Start = 2
Questa soluzione, valida per Windows 2000 Pro e Server, sembra non
funzionare con Windows XP (ho verificato personalmente: avevo
istintivamente disabilitato l'RPC e non c'è stato modo di riabilitarlo
dalla schermata dei servizi, nè dal registro; riavviando il computer WinXp
rimaneva impallato sulla schermata "caricamento in corso...").
Per 2000 Pro e Server il valore 2 indica al servizio di avviarsi
automaticamente, di fatto risolvendo il nostro imbarazzante problema.
In WinXP, invece, tali chiavi possono continuare a mostrare il valore 2
sebbene accedendo ai servizi, il RPC rimanga disabilitato. Si può provare
riavviando scegliendo tra le opzioni di boot (F8 all'avvio della macchina)
"ultima configurazione sicuramente funzionante" (così ho risolto il
problema del caricamento: poi ho installato la patch e rimosso il worm con
FixBlast.exe della Symantec e tutto è tornato alla normalità).
b) Come risolvere:
1) Eliminare il worm malefico con il programma apposito: FixBlast.exe;
2) Installare la pach Microsoft: (WindowsXP-KB823980-x86-ITA.exe, circa
1,23 mb) che può essere scaricata a questi indirizzi:
Windows XP ITA
Windows 2000 ITA
Windows 2003 Server ITA
N.B.: la patch non elimina il virus ma "previene" da potenziali e ulteriori
infezioni.
A me è andata bene, ma per maggiore sicurezza ho provveduto ad installare
un firewall. Speriamo bene...
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
· secondo articolo, tratto da:
Aiuto... il computer si riavvia da solo! RPC e virus Lovsan (W32.Blaster) -
martedì 12 agosto 2003
di Michele Nasi Discuti questa notizia!
Da ieri 11 Agosto, è iniziata la massiccia diffusione del virus
W32.Lovsan.Worm (altrimenti detto W32.Blaster.Worm).
Questo virus sfrutta una vulnerabilità scoperta recentemente nei sistemi
operativi Windows e relativa al servizio RPC (Remote Procedure Call). Nelle
scorse settimane avevamo già avuto modo di segnalarvi il problema (ved.
questa nostra news) e di invitarvi alla tempestiva installazione della
patch risolutiva (ved. questa news).
L'infezione da parte del virus (o comunque la sua azione da remoto) si
manifesta con il susseguirsi - durante la connessione Internet - di errori
di sistema (NT AUTHORITY\SYSTEM) relativi, appunto, al servizio RPC (Remote
Procedure Call). Di solito il sistema viene automaticamente riavviato.
Il virus Lovsan, sfrutta proprio la vulnerabilità del servizio RPC: esso va
infatti alla ricerca di sistemi vulnerabili (ossia sistemi Windows sui
quali non si è provveduto ad installare la patch risolutiva Microsoft
rilasciata il 16 Luglio scorso) effettuando una scansione casuale di gruppi
di indirizzi IP collegati ad Internet.
Le porte interessate dall'azione del virus sono TCP:135; TCP:4444 e UDP:69.
Una volta trovato un sistema vulnerabile, il virus tenta di scaricare ed
eseguire il file MSBLAST.EXE. Ciò avviene attraverso l'apertura di una
connessione UDP (porta 69) utilizzando il protocollo TFT (Trivial File
Transfer protocol).
Chi non ha installato la patch risolutiva Microsoft MS03-026 ma ha avuto
l'accortezza di installare un buon software firewall (ad esempio, Outpost
Firewall), si sarà certamente accorto di tentativi di connessione sulla
porta UDP:69.
Per risolvere il problema comportatevi come segue:
- scaricate il removal tool di Symantec per il virus Lovsan (W32.Blaster)
cliccando qui (165 KB)
- eseguite il file FixBlast.exe, appena prelevato
- scaricate ed installate la patch Microsoft MS03-026 per il servizio RPC:
sarete così al sicuro da ulteriori infezioni e risolverete definitivamente
il problema del riavvio automatico del personal computer. La patch
Microsoft è prelevabile da questa pagina. Scorrete la pagina fino a trovare
il paragrafo Patch availability quindi provvedete a scaricare la patch per
la versione di Windows in uso. Assicuratevi, inoltre, di selezionare la
lingua italiana (Italian) se fate uso di una versione di Windows italiana.
Ci preme ricordare, comunque, che qualora il removal tool di Symantec non
vi abbia segnalato la presenza del virus Lovsan (W32.Blaster) ma il vostro
sistema si riavvii automaticamente, significa che il vostro personal
computer non è stato infettato ma che ha subìto un attacco remoto da parte
di una macchina "vittima" di questo virus worm.
Se utilizzate Windows XP, vi suggeriamo caldamente prima di eseguire il
removal tool di Symantec di disattivare il Ripristino della configurazione
di sistema (alias System Restore) altrimenti il programma per la rimozione
di Lovsan non avrà modo di eliminare il virus da tutte le cartelle. Per
disattivare l'utlità Ripristino della configurazione di sistema fate clic
con il tasto destro su Risorse del computer, selezionate la scheda
Ripristino della configurazione di sistema quindi attivite la casella
Disattiva ripristino della configurazione di sistema su tutte le unità.
Per maggiori informazioni, fate riferimento ai link seguenti:
- descrizione del removal tool Symantec per il virus Lovsan (W32.Blaster)
- cliccando qui potete controllare (sul sito di Steve Gibson) se la porta
135 (la porta principale usata dal virus per diffondersi) risulta aperta
(dovrebbe invece risultare Closed o - meglio ancora - Stealth).
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
· terzo articolo tratto da:
Msblast è anomalo, più resistente del previsto
ROMA - E' ancora alto in tutto il mondo l'allarme per il super-virus
Lovesan, o MSBlast, dopo la scoperta che, contrariamente agli altri bachi
informatici finora noti, riesce a bloccare il sistema operativo anche
quando e' installata la patch, ossia il programma che risolve le debolezze
del sistema sfruttate dal virus. Lovesan e' anche il primo worm che riesce
ad attaccare 20 sistemi alla volta, con un intervallo di soli 1,8 secondi
fra un attacco e l'altro. In altre parole, ad ogni attacco ha una
possibilita' di colpire 20 volte superiore rispetto a tutti gli altri virus
informatici. E' quanto emerge dalle prime analisi, ha detto l'esperto di
sicurezza informatica Fulvio Berghella, responsabile di Securitynet e
vicedirettore generale della Euros Consulting. Avere installato la patch,
disponibile dal 16 luglio, non da' dunque la sicurezza di poter evitare gli
effetti del virus Lovesan. Per chi riaccende il computer soltanto adesso
dopo un periodo di ferie, o per chi lo fara' nei prossimi giorni al ritorno
dalle vacanze, il consiglio degli esperti e' non connettersi in rete.
''Sono molte - ha detto Berghella - le segnalazioni giunte da utenti che
hanno avuto problemi nonostante avessero installato la patch. Il consiglio
- ha aggiunto l'esperto - e' accendere il pc senza collegarsi in rete e
andare subito a controllare nella directory di Windows se e' presente il
file MSBlast''. In questo caso il computer e' stato colpito dal virus.
Bisogna cancellare il file MSBlast, quindi provare a connettersi per
caricare l'antivirus e installare la patch. Va inoltre chiusa con una
fire-wall la porta 135, che e' quella utilizzata dal worm per entrare nel
sistema operativo. Lovesan e' un virus di Ferragosto, che cerca di
diffondersi sfruttando la settimana in cui in tutto il mondo la maggior
parte delle aziende sono chiuse o funzionano a ranghi ridotti. Dai primi
test condotti finora, ha detto ancora Berghella, Lovesan e' gia' riuscito a
infettare molti siti italiani, anche se le prime stime numeriche saranno
possibili soltanto dopo questo periodo di ferie. Sono molti gli aspetti
ancora misteriosi di questo super-virus. Ad esempio, osserva Berghella,
''non era mai successo finora che un virus riuscisse ad agire su patch
cosi' recenti e a trovare, per esse, ulteriori meccanismi di inganno''. Una
novita', questa, che suggerisce l'ipotesi di una possibile azione comune
degli hacker, dopo il congresso mondiale di Las Vegas che si e' concluso
pochi giorni fa. Un altro punto oscuro, infine, e' la parola ''San''
contenuta nel messaggio che accompagna il virus. E' un termine che potrebbe
suggerire una provenienza orientale di questo worm e che confermerebbe
quindi i timori, diffuse nelle ultime settimane, di un possibile attacco
informatico dall'oriente.
(Ansa)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Altri articoli:
Ulteriori informazioni alle seguenti pagine:
[ far conoscere - infosapere ]
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
· Se hai apprezzato questa newsletter gratuita e ritieni, puoi inoltrarla o segnalarla a qualche tuo amico/a, grazie! La pagina per iscriversi e': <http://infosapere.altervista.org>.
· E' anche possibile iscriversi inviando un messaggio di posta elettronica vuoto a: <mailto:infosapere-subscribe@yahoogroups.com> Grazie per l'eventuale iscrizione!
[ deiscriversi - infosapere ]
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
· Se desideri deiscriverti da questa newsletter, dovresti inviare un messaggio di posta elettronica vuoto a: <mailto:infosapere-unsubscribe@yahoogroups.com>
[ infosapere - numero 24 © by Software & Works on the Web ]
Nessun commento:
Posta un commento