|
300000 depravati 28.1.06 Permalink 23 commenti
Virus Kama Sutra, 300.000 infetti da ripulire entro il 3 febbraio
Questo articolo vi arriva grazie alle gentili donazioni di "franco.t***", "flavio" e "drattellini".
L'articolo è stato aggiornato rispetto alla sua pubblicazione iniziale, correggendo inoltre alcuni errori di HTML indicati dai lettori.
Chi ha aperto sotto Windows l'allegato che prometteva immagini porno e si è trovato infettato dal virus Kama Sutra è in buona compagnia, ma farà meglio a disinfestarsi entro il 3 febbraio prossimo (2006), quando il virus cancellerà tutti i documenti DOC, XLS, PDF e in altri formati presenti nei computer infetti.
Il virus, noto anche come Blackworm, Nyxem, MyWife o Tearec, ha infettato oltre 300.000 sistemi in tutto il mondo (oltre 22700 in Italia), secondo i dati dei contatori che il virus (o meglio worm) usa per contare le proprie vittime. Il grafico in alto a sinistra è tratto da questi dati: gli infetti italiani sono rappresentati dalla fetta azzurra in alto.
Dinsinfestarsi richiede un po' di attenzione. Kama Sutra, infatti, disattiva molti dei più diffusi antivirus, per cui non ci si può fidare che l'antivirus lo debelli. Conviene invece usare uno degli antivirus online, come quelli di Trend Micro e di F-Secure, oppure l'apposito strumento di rimozione offerto da F-Secure. E' presumibile che altri produttori di antivirus offrano servizi analoghi, vista la potenziale gravità del problema.
Va tenuto presente, inoltre, che Kama Sutra si diffonde anche tramite le cartelle condivise, per cui se uno dei PC Windows della vostra rete locale è infetto, potrebbe reinfettare gli altri dopo che li avete disinfettati. In casi come questi conviene isolare dalla rete tutti i computer e disinfettarli tutti prima di riconnetterli.
Sapere se un PC Windows è infetto non è facile, a meno che siate sicuri di aver aperto l'allegato che veicola il virus. Se non ne siete sicuri, Kama Sutra lascia nel Registro delle tracce del proprio passaggio, ma è comunque probabilmente più rapido e prudente eseguire una disinfezione su ogni computer Windows, infetto o meno, per levarsi il dubbio. Trovarsi cancellati i documenti Word, Excel, Powerpoint e Acrobat (giusto per citarne alcuni dei più diffusi) ad opera di Kama Sutra sarebbe davvero spiacevole.
Kama Sutra ha, fra l'altro, una particolarità: quando viene attivato su un PC infetto, contatta un sito che offre contatori per pagine Web (che è estraneo all'attacco) e incrementa un contatore, presumibilmente perché in questo modo il padrone del virus può sapere quante vittime ha fatto. Stando alle informazioni disponibili nei siti antivirus, qualcuno ha deciso di passare al contrattacco alterando i risultati del contatore. La cifra di 300.000 infetti tiene conto di questo contrattacco.
E' davvero guerra, là fuori. Affrontarla senza cautele, o abbandonare le normali cautele soltanto perché allettati da un po' di pornografia, sarebbe da incoscienti.
Articoli che linkano questo articolo:
Commenti:
Fresca mail bufala? Di seguito posto il testo di una mail che mi è appena arrivata. Che ne pensi, Paolo?
---------------------
...Ciao a tutti...
PER FAVORE FAI CIRCOLARE QUESTO AVVISO TRA I TUOI AMICI E CONTATTI.
Nei prossimi giorni dovete stare attenti a non aprire nessun messaggio chiamato
"invitation", indipendentemente da chi lo invia, è un virus che "apre" una
torcia olimpica che brucia il disco duro del pc.
Questo virus verrà da una persona che avete nella lista dei contatti, per
questo dovete divulgare questa mail, è preferibile ricevere questo messaggio 25
volte che ricevere il virus ed aprirlo.
Se ricevete un messaggio chiamato "invitation" non lo aprite e spegnete
immediatamente il pc.
È il peggior virus annunciato dalla CNN classificato da Microsoft come il virus
più distruttivo mai esistito.
Questo virus è stato scoperto ieri pomeriggio da MCAfee è non c'è soluzione
ancora per questo virus.
Questo virus distrugge semplicemente il Settore Zero del disco duro dove
l'informazione vitale è nascosta.
Invia questa mail a chi conosci, copia questa posta e spediscila ai tuoi amici
e contatti e ricorda che se lo invii a tutti loro, ci beneficeremo tutti noi.
Luisanna
--------------------------
---------------------
...Ciao a tutti...
PER FAVORE FAI CIRCOLARE QUESTO AVVISO TRA I TUOI AMICI E CONTATTI.
Nei prossimi giorni dovete stare attenti a non aprire nessun messaggio chiamato
"invitation", indipendentemente da chi lo invia, è un virus che "apre" una
torcia olimpica che brucia il disco duro del pc.
Questo virus verrà da una persona che avete nella lista dei contatti, per
questo dovete divulgare questa mail, è preferibile ricevere questo messaggio 25
volte che ricevere il virus ed aprirlo.
Se ricevete un messaggio chiamato "invitation" non lo aprite e spegnete
immediatamente il pc.
È il peggior virus annunciato dalla CNN classificato da Microsoft come il virus
più distruttivo mai esistito.
Questo virus è stato scoperto ieri pomeriggio da MCAfee è non c'è soluzione
ancora per questo virus.
Questo virus distrugge semplicemente il Settore Zero del disco duro dove
l'informazione vitale è nascosta.
Invia questa mail a chi conosci, copia questa posta e spediscila ai tuoi amici
e contatti e ricorda che se lo invii a tutti loro, ci beneficeremo tutti noi.
Luisanna
--------------------------
Commento pubblicato da 
28/1/06 18:56
28/1/06 18:56
Dimenticavo, l'oggetto è: "leggi virus in circolazione".
Disco duro mi ha fatto molto ridere...magari avra' visto il virus kama sutra :D
Disco duro mi ha fatto molto ridere...magari avra' visto il virus kama sutra :D
Commento pubblicato da 28/1/06 18:57
28/1/06 18:57
Che scemo che sono, avevi già trattato l'argomento e era in bell'evidenza nel mio feed rss. Scusami per la distrazione...sei sempre avanti :D
Commento pubblicato da 28/1/06 19:08
28/1/06 19:08
Paolo, il primo link che hai inserito alla scansione on-line di F-Secure non funziona (almeno sul mio pc). Mi sa che hai inavvertitamente 'toppato' col copia-e-incolla.
Ciao.
Ciao.
Segnalo che il link che dovrebbe portare al sito di F-Secure porta invece alla homepage di La Repubblica.
ciao e grazie. Stefania
ciao e grazie. Stefania
Commento pubblicato da 28/1/06 22:56
28/1/06 22:56
Confermo che il link di F-Secure rimanda al sito di Repubblica, ma sinceramente non riesco a spiegarmi la cosa, il link riportato nel codice html è "http://http://support.f-secure.com/enu/home/ols.shtml" pertanto ci può stare che non funzioni, bisogna vedere come interpreta il browser questa url malformata, però quello che non mi spiego e come mai si vada a finire sul sito di Repubblica... Bah?!?
Comunque ciao e grazie per le tue indagini sempre puntualissime.
Fabio.
Comunque ciao e grazie per le tue indagini sempre puntualissime.
Fabio.
Commento pubblicato da 28/1/06 23:42
28/1/06 23:42
>Segnalo che il link che dovrebbe portare al >sito di F-Secure porta invece alla homepage >di La Repubblica.
Paolo ha scritto due http:// nel link... firefox lo manda a google italia che ti porta alla repubblica (invece firefox in inglese spedisce alla pagina della microsoft).
Paolo ha scritto due http:// nel link... firefox lo manda a google italia che ti porta alla repubblica (invece firefox in inglese spedisce alla pagina della microsoft).
Beh, che dire. Gli italiani evidentemente sono un po', come dire "fessacchiotti": considerando il numero di abitanti in Italia, siamo tra quelli che ci sono cascati di più. (il Perù ci batte... considerando il numero di computer connessi ad Internet in Perù, lì ci sono cascati veramente un po' troppo).
Commento pubblicato da 29/1/06 00:43
29/1/06 00:43
L'aggeggio di F-Secure funziona solo se si usa IE5 e se si hanno attivi gli ActiveX.
Ciao
Ciao
Commento pubblicato da 29/1/06 16:37
29/1/06 16:37
Il dubbio viene legittimo: per qual motivo continui a occuparti di virus, worm, ecc. che infestano gli utenti windows? Sarebbe piu' coerente da parte tua, viste le innumerevoli volte in cui a ragione denigri windows per essere un colabrodo, non farne una trattazione così esauriente ma limitarti a dire che c'è questo virus e sottolineare che con mac e linux non ci sono problemi di sorta. Invece tendi a privilegiare l'aspetto di cronaca senza sottolineare questo aspetto, che a mio avviso non è "un dettaglio" a margine (specie se consideri la pericolosità sempre maggiore di questi virus.
Commento pubblicato da 30/1/06 02:01
30/1/06 02:01
per qual motivo continui a occuparti di virus, worm, ecc. che infestano gli utenti windows?
Perché comunque la maggior parte dei lettori usa Windows e quindi ha bisogno di informazioni riguardanti la sicurezza di Windows. Oltretutto molti non possono passare a Linux o Mac, per questioni di costi o di direttive aziendali o di difficoltà tecnica, quindi io sottolineo ogni volta che Linux e Mac non sono affetti dalla falla specifica e ne consiglio l'uso ove possibile, ma al tempo stesso tengo presente che molti usano tuttora Windows e quindi ne illustro i problemi.
Sono qui per aiutare, non per lanciare strali dal blog-pulpito contro gli ignavi :-)
Ciao da Paolo.
Perché comunque la maggior parte dei lettori usa Windows e quindi ha bisogno di informazioni riguardanti la sicurezza di Windows. Oltretutto molti non possono passare a Linux o Mac, per questioni di costi o di direttive aziendali o di difficoltà tecnica, quindi io sottolineo ogni volta che Linux e Mac non sono affetti dalla falla specifica e ne consiglio l'uso ove possibile, ma al tempo stesso tengo presente che molti usano tuttora Windows e quindi ne illustro i problemi.
Sono qui per aiutare, non per lanciare strali dal blog-pulpito contro gli ignavi :-)
Ciao da Paolo.
Ho scaricato secondo il consiglio di Paolo il tool di secure ma non ho osato farlo eseguire perchè dice che dopo la disinfezione bisogna rifare il boot o qualcosa di simile e altrettanto spaventoso... Non ho ovviamente aperto personalmente nessuno stupido invito porno, ma i miei corrispondenti? Spero che il mio antivirus, che è Kaspersky, sia tra quelli resistenti. E' così?
Adriana
Adriana
Commento pubblicato da 30/1/06 10:58
30/1/06 10:58
Per Adriana:
Usa pure il tool di rimozione, il reboot non è nulla di spaventoso, ma significa semplicemente che devi riavviare il computer alla fine della scansione, visto che usi windows dovrebbe essere un'operazione abbastanza familiare.
Matteo
Usa pure il tool di rimozione, il reboot non è nulla di spaventoso, ma significa semplicemente che devi riavviare il computer alla fine della scansione, visto che usi windows dovrebbe essere un'operazione abbastanza familiare.
Matteo
Commento pubblicato da 30/1/06 11:25
30/1/06 11:25
Ho provato entrambi i tool sia quello del Nod32 che quello della F-Prot, il secondo è decisamente più pesante del primo sia come carico sul processore sia da scaricare, infatti richiede anche una definizione dei virus di circa 8Mb. Ho citato entrambi i tuoi articoli in http://dgrossato.blogspot.com/. Se ci sono problemi con le citazioni rimango a disposizione perchè penso che non sarà l'ultima volta che lo faro'! :D
Piccola osservazione a Paolo:
Quando dici che "il virus si propaga tramite le cartelle condivise"....
ma come fa? Riesce a veicolarsi semplicemente su una cartella condivisa, senza che nessuno esegua alcun eseguibile? allora sì che è da preoccuparsi...
Da quel che ne sapevo io finora, un virus si propaga se qualcuno lo fa eseguire....
qualcuno ha da dare qualche ragguaglio a proposito?
ciao a tutti....
Quando dici che "il virus si propaga tramite le cartelle condivise"....
ma come fa? Riesce a veicolarsi semplicemente su una cartella condivisa, senza che nessuno esegua alcun eseguibile? allora sì che è da preoccuparsi...
Da quel che ne sapevo io finora, un virus si propaga se qualcuno lo fa eseguire....
qualcuno ha da dare qualche ragguaglio a proposito?
ciao a tutti....
Commento pubblicato da 30/1/06 12:48
30/1/06 12:48
Il principio è piuttosto semplice se tu vieni infettato perchè attivi il virus e io e te siamo sulla stessa rete e abbiamo alcune cartelle condivise, infetti anche me, anche se io non ho cliccato niente...io posso addirittura non avere neanche la posta ...
Quoto:
> oppure l'apposito strumento di rimozione offerto da F-Secure.
questo pero' richiede anche - come ha detto anche dgrossato- il file
http://download.f-secure.com/latest/latest.zip
di notevoli dimensioni ( 9MB) perche' contiene molte definizioni di virus , non solo il nominato Kama Sutra..
Forse va integrata quindi la info con il secondo link.
Cordiali saluti.
> oppure l'apposito strumento di rimozione offerto da F-Secure.
questo pero' richiede anche - come ha detto anche dgrossato- il file
http://download.f-secure.com/latest/latest.zip
di notevoli dimensioni ( 9MB) perche' contiene molte definizioni di virus , non solo il nominato Kama Sutra..
Forse va integrata quindi la info con il secondo link.
Cordiali saluti.
Commento pubblicato da 30/1/06 16:42
30/1/06 16:42
qui: http://securityresponse.symantec.com/avcenter/FixBmalE.exe c'è lo strumento di rimozione di Symantec
Vale56
Vale56
Commento pubblicato da 31/1/06 11:59
31/1/06 11:59
A me oggi è arrivata questa mail da zonealarm:
Security Alert: Stop the malicious BlackWorm from infecting your computer
Upgrade your ZoneAlarm® Today and be Protected from BlackWorm on Feb. 3
ZoneAlarm® Antivirus will protect you against the BlackWorm (MyWife.d) scheduled to attack on Feb. 3, 2006
Severity: High Risk
BlackWorm is a new and potentially destructive Internet worm currently making its way around the globe. It is infecting users via e-mail and is scheduled to destroy all Microsoft Word, Excel, PowerPoint, PDF, PSD and ZIP files on Feb. 3.
If you upgrade to ZoneAlarm Antivirus before Feb. 3, it will detect and remove existing BlackWorm infections and prevent future infections.
Upgrade to ZoneAlarm Antivirus for only $19.95 and save 33%
Buy now and
SAVE 33%
ZoneAlarm Firewall + Antivirus + OSFirewall
only
$19.95
BUY NOW
© 2006 Zone Labs, L.L.C., A Check Point Software Technologies Company, 475 Brannan Street - Suite 300, San Francisco, CA 94107 USA. All rights reserved. All trademarks of Zone Labs used herein (including but not limited to TrueVector, ZoneAlarm, Zone Labs, the Zone Labs logo, AlertAdvisor, Cooperative Enforcement, Policy Lifecycle Management, Zone Labs Integrity and Smarter Security) are trademarks or registered trademarks of Zone Labs, L.L.C. and/or Check Point Software Technologies, in the United States and other countries. All other trademarks are the property of their respective owners.
Zone Labs LLC fully supports all efforts to ensure the security, privacy, and peace of mind of everyone on the Internet. Our email offers, satisfaction surveys and security communications are sent only to registered users of our software who have expressed an interest in receiving information via email. If you no longer wish to receive emails from us please use the unsubscribe link below or write to us at: Zone Labs LLC.; Attn Unsubscribe; 475 Brannan St, Ste 300; San Francisco, CA 94107; USA. To view our privacy policy click here.
--------------------------------------------------------------------------
This message was sent by Zone Labs, Inc. using Responsys Interact.
Safely unsubscribe from Zone Labs, Inc. e-mail at any time.
View our permission marketing policy.
Lo strano è solo che io ho già installato zone alarm free v.6.1.737.000 che è la stessa al momento disponibile sul sito della zone alarm. Quindi al momento che upgrade hanno previsto??
Ciaooo
Security Alert: Stop the malicious BlackWorm from infecting your computer
Upgrade your ZoneAlarm® Today and be Protected from BlackWorm on Feb. 3
ZoneAlarm® Antivirus will protect you against the BlackWorm (MyWife.d) scheduled to attack on Feb. 3, 2006
Severity: High Risk
BlackWorm is a new and potentially destructive Internet worm currently making its way around the globe. It is infecting users via e-mail and is scheduled to destroy all Microsoft Word, Excel, PowerPoint, PDF, PSD and ZIP files on Feb. 3.
If you upgrade to ZoneAlarm Antivirus before Feb. 3, it will detect and remove existing BlackWorm infections and prevent future infections.
Upgrade to ZoneAlarm Antivirus for only $19.95 and save 33%
Buy now and
SAVE 33%
ZoneAlarm Firewall + Antivirus + OSFirewall
only
$19.95
BUY NOW
© 2006 Zone Labs, L.L.C., A Check Point Software Technologies Company, 475 Brannan Street - Suite 300, San Francisco, CA 94107 USA. All rights reserved. All trademarks of Zone Labs used herein (including but not limited to TrueVector, ZoneAlarm, Zone Labs, the Zone Labs logo, AlertAdvisor, Cooperative Enforcement, Policy Lifecycle Management, Zone Labs Integrity and Smarter Security) are trademarks or registered trademarks of Zone Labs, L.L.C. and/or Check Point Software Technologies, in the United States and other countries. All other trademarks are the property of their respective owners.
Zone Labs LLC fully supports all efforts to ensure the security, privacy, and peace of mind of everyone on the Internet. Our email offers, satisfaction surveys and security communications are sent only to registered users of our software who have expressed an interest in receiving information via email. If you no longer wish to receive emails from us please use the unsubscribe link below or write to us at: Zone Labs LLC.; Attn Unsubscribe; 475 Brannan St, Ste 300; San Francisco, CA 94107; USA. To view our privacy policy click here.
--------------------------------------------------------------------------
This message was sent by Zone Labs, Inc. using Responsys Interact.
Safely unsubscribe from Zone Labs, Inc. e-mail at any time.
View our permission marketing policy.
Lo strano è solo che io ho già installato zone alarm free v.6.1.737.000 che è la stessa al momento disponibile sul sito della zone alarm. Quindi al momento che upgrade hanno previsto??
Ciaooo
Commento pubblicato da 1/2/06 15:20
1/2/06 15:20
Ciao Fabiuz, in realtà ti stanno offrendo di comprare un altro loro prodotto che si chiama Zone Alarm ANTIVIRUS a prezzo scontato.
Evidentemente quando hai installato il firewall gratuito di Zone Labs hai anche accettato di ricevere le loro offerte commerciali.
Evidentemente quando hai installato il firewall gratuito di Zone Labs hai anche accettato di ricevere le loro offerte commerciali.
Commento pubblicato da 1/2/06 22:21
1/2/06 22:21
Avevo letto solo le prime righe, e intuito quindi un qlc. update di zone alarm free. Dimenticando che ultimamente Zone Lab fa anche antivirus. Va bhe dai la solita offerta commerciale.
Chiaramente zone alarm firewall free o pro che sia da solo nulla può contro il backdoor se nn coaudivato da un buon antivirus.
E giustamente loro lo sottoliano.
Ciaooo
Chiaramente zone alarm firewall free o pro che sia da solo nulla può contro il backdoor se nn coaudivato da un buon antivirus.
E giustamente loro lo sottoliano.
Ciaooo
Commento pubblicato da 1/2/06 23:37
1/2/06 23:37
<< Home
