skip to main | skip to sidebar
23 commenti

Virus Kama Sutra, 300˙000 infetti da ripulire entro il 3 febbraio

Questo articolo vi arriva grazie alle gentili donazioni di "franco.t***", "flavio" e "drattellini".
L'articolo è stato aggiornato rispetto alla sua pubblicazione iniziale, correggendo inoltre alcuni errori di HTML indicati dai lettori.

Chi ha aperto sotto Windows l'allegato che prometteva immagini porno e si è trovato infettato dal virus Kama Sutra è in buona compagnia, ma farà meglio a disinfestarsi entro il 3 febbraio prossimo (2006), quando il virus cancellerà tutti i documenti DOC, XLS, PDF e in altri formati presenti nei computer infetti.

Il virus, noto anche come Blackworm, Nyxem, MyWife o Tearec, ha infettato oltre 300.000 sistemi in tutto il mondo (oltre 22700 in Italia), secondo i dati dei contatori che il virus (o meglio worm) usa per contare le proprie vittime. Il grafico in alto a sinistra è tratto da questi dati: gli infetti italiani sono rappresentati dalla fetta azzurra in alto.

Dinsinfestarsi richiede un po' di attenzione. Kama Sutra, infatti, disattiva molti dei più diffusi antivirus, per cui non ci si può fidare che l'antivirus lo debelli. Conviene invece usare uno degli antivirus online, come quelli di Trend Micro e di F-Secure, oppure l'apposito strumento di rimozione offerto da F-Secure. È presumibile che altri produttori di antivirus offrano servizi analoghi, vista la potenziale gravità del problema.

Va tenuto presente, inoltre, che Kama Sutra si diffonde anche tramite le cartelle condivise, per cui se uno dei PC Windows della vostra rete locale è infetto, potrebbe reinfettare gli altri dopo che li avete disinfettati. In casi come questi conviene isolare dalla rete tutti i computer e disinfettarli tutti prima di riconnetterli.

Sapere se un PC Windows è infetto non è facile, a meno che siate sicuri di aver aperto l'allegato che veicola il virus.
Se non ne siete sicuri, Kama Sutra lascia nel Registro delle tracce del proprio passaggio, ma è comunque probabilmente più rapido e prudente eseguire una disinfezione su ogni computer Windows, infetto o meno, per levarsi il dubbio. Trovarsi cancellati i documenti Word, Excel, Powerpoint e Acrobat (giusto per citarne alcuni dei più diffusi) ad opera di Kama Sutra sarebbe davvero spiacevole.

Kama Sutra ha, fra l'altro, una particolarità: quando viene attivato su un PC infetto, contatta un sito che offre contatori per pagine Web (che è estraneo all'attacco) e incrementa un contatore, presumibilmente perché in questo modo il padrone del virus può sapere quante vittime ha fatto. Stando alle informazioni disponibili nei siti antivirus, qualcuno ha deciso di passare al contrattacco alterando i risultati del contatore. La cifra di 300.000 infetti tiene conto di questo contrattacco.

È davvero guerra, là fuori. Affrontarla senza cautele, o abbandonare le normali cautele soltanto perché allettati da un po' di pornografia, sarebbe da incoscienti.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (23)
Fresca mail bufala? Di seguito posto il testo di una mail che mi è appena arrivata. Che ne pensi, Paolo?

---------------------
...Ciao a tutti...

PER FAVORE FAI CIRCOLARE QUESTO AVVISO TRA I TUOI AMICI E CONTATTI.
Nei prossimi giorni dovete stare attenti a non aprire nessun messaggio chiamato
"invitation", indipendentemente da chi lo invia, è un virus che "apre" una
torcia olimpica che brucia il disco duro del pc.
Questo virus verrà da una persona che avete nella lista dei contatti, per
questo dovete divulgare questa mail, è preferibile ricevere questo messaggio 25
volte che ricevere il virus ed aprirlo.
Se ricevete un messaggio chiamato "invitation" non lo aprite e spegnete
immediatamente il pc.
È il peggior virus annunciato dalla CNN classificato da Microsoft come il virus
più distruttivo mai esistito.
Questo virus è stato scoperto ieri pomeriggio da MCAfee è non c'è soluzione
ancora per questo virus.
Questo virus distrugge semplicemente il Settore Zero del disco duro dove
l'informazione vitale è nascosta.
Invia questa mail a chi conosci, copia questa posta e spediscila ai tuoi amici
e contatti e ricorda che se lo invii a tutti loro, ci beneficeremo tutti noi.


Luisanna
--------------------------
Dimenticavo, l'oggetto è: "leggi virus in circolazione".
Disco duro mi ha fatto molto ridere...magari avra' visto il virus kama sutra :D
"Invitation" è una bufala, già documentata in questo blog qualche giorno fa qui.
Che scemo che sono, avevi già trattato l'argomento e era in bell'evidenza nel mio feed rss. Scusami per la distrazione...sei sempre avanti :D
Paolo, il primo link che hai inserito alla scansione on-line di F-Secure non funziona (almeno sul mio pc). Mi sa che hai inavvertitamente 'toppato' col copia-e-incolla.

Ciao.
Segnalo che il link che dovrebbe portare al sito di F-Secure porta invece alla homepage di La Repubblica.
ciao e grazie. Stefania
Confermo che il link di F-Secure rimanda al sito di Repubblica, ma sinceramente non riesco a spiegarmi la cosa, il link riportato nel codice html è "http://http://support.f-secure.com/enu/home/ols.shtml" pertanto ci può stare che non funzioni, bisogna vedere come interpreta il browser questa url malformata, però quello che non mi spiego e come mai si vada a finire sul sito di Repubblica... Bah?!?

Comunque ciao e grazie per le tue indagini sempre puntualissime.

Fabio.
Ho sistemato il link difettoso, grazie!
>Segnalo che il link che dovrebbe portare al >sito di F-Secure porta invece alla homepage >di La Repubblica.

Paolo ha scritto due http:// nel link... firefox lo manda a google italia che ti porta alla repubblica (invece firefox in inglese spedisce alla pagina della microsoft).
Beh, che dire. Gli italiani evidentemente sono un po', come dire "fessacchiotti": considerando il numero di abitanti in Italia, siamo tra quelli che ci sono cascati di più. (il Perù ci batte... considerando il numero di computer connessi ad Internet in Perù, lì ci sono cascati veramente un po' troppo).
L'aggeggio di F-Secure funziona solo se si usa IE5 e se si hanno attivi gli ActiveX.

Ciao
Il dubbio viene legittimo: per qual motivo continui a occuparti di virus, worm, ecc. che infestano gli utenti windows? Sarebbe piu' coerente da parte tua, viste le innumerevoli volte in cui a ragione denigri windows per essere un colabrodo, non farne una trattazione così esauriente ma limitarti a dire che c'è questo virus e sottolineare che con mac e linux non ci sono problemi di sorta. Invece tendi a privilegiare l'aspetto di cronaca senza sottolineare questo aspetto, che a mio avviso non è "un dettaglio" a margine (specie se consideri la pericolosità sempre maggiore di questi virus.
per qual motivo continui a occuparti di virus, worm, ecc. che infestano gli utenti windows?

Perché comunque la maggior parte dei lettori usa Windows e quindi ha bisogno di informazioni riguardanti la sicurezza di Windows. Oltretutto molti non possono passare a Linux o Mac, per questioni di costi o di direttive aziendali o di difficoltà tecnica, quindi io sottolineo ogni volta che Linux e Mac non sono affetti dalla falla specifica e ne consiglio l'uso ove possibile, ma al tempo stesso tengo presente che molti usano tuttora Windows e quindi ne illustro i problemi.

Sono qui per aiutare, non per lanciare strali dal blog-pulpito contro gli ignavi :-)

Ciao da Paolo.
Ho scaricato secondo il consiglio di Paolo il tool di secure ma non ho osato farlo eseguire perchè dice che dopo la disinfezione bisogna rifare il boot o qualcosa di simile e altrettanto spaventoso... Non ho ovviamente aperto personalmente nessuno stupido invito porno, ma i miei corrispondenti? Spero che il mio antivirus, che è Kaspersky, sia tra quelli resistenti. E' così?
Adriana
Per Adriana:
Usa pure il tool di rimozione, il reboot non è nulla di spaventoso, ma significa semplicemente che devi riavviare il computer alla fine della scansione, visto che usi windows dovrebbe essere un'operazione abbastanza familiare.

Matteo
Ho provato entrambi i tool sia quello del Nod32 che quello della F-Prot, il secondo è decisamente più pesante del primo sia come carico sul processore sia da scaricare, infatti richiede anche una definizione dei virus di circa 8Mb. Ho citato entrambi i tuoi articoli in http://dgrossato.blogspot.com/. Se ci sono problemi con le citazioni rimango a disposizione perchè penso che non sarà l'ultima volta che lo faro'! :D
Piccola osservazione a Paolo:
Quando dici che "il virus si propaga tramite le cartelle condivise"....
ma come fa? Riesce a veicolarsi semplicemente su una cartella condivisa, senza che nessuno esegua alcun eseguibile? allora sì che è da preoccuparsi...
Da quel che ne sapevo io finora, un virus si propaga se qualcuno lo fa eseguire....
qualcuno ha da dare qualche ragguaglio a proposito?
ciao a tutti....
Il principio è piuttosto semplice se tu vieni infettato perchè attivi il virus e io e te siamo sulla stessa rete e abbiamo alcune cartelle condivise, infetti anche me, anche se io non ho cliccato niente...io posso addirittura non avere neanche la posta ...
Quoto:

> oppure l'apposito strumento di rimozione offerto da F-Secure.

questo pero' richiede anche - come ha detto anche dgrossato- il file
http://download.f-secure.com/latest/latest.zip
di notevoli dimensioni ( 9MB) perche' contiene molte definizioni di virus , non solo il nominato Kama Sutra..
Forse va integrata quindi la info con il secondo link.
Cordiali saluti.
qui: http://securityresponse.symantec.com/avcenter/FixBmalE.exe c'è lo strumento di rimozione di Symantec

Vale56
A me oggi è arrivata questa mail da zonealarm:

Security Alert: Stop the malicious BlackWorm from infecting your computer

Upgrade your ZoneAlarm® Today and be Protected from BlackWorm on Feb. 3



ZoneAlarm® Antivirus will protect you against the BlackWorm (MyWife.d) scheduled to attack on Feb. 3, 2006

Severity: High Risk

BlackWorm is a new and potentially destructive Internet worm currently making its way around the globe. It is infecting users via e-mail and is scheduled to destroy all Microsoft Word, Excel, PowerPoint, PDF, PSD and ZIP files on Feb. 3.

If you upgrade to ZoneAlarm Antivirus before Feb. 3, it will detect and remove existing BlackWorm infections and prevent future infections.

Upgrade to ZoneAlarm Antivirus for only $19.95 and save 33%

Buy now and
SAVE 33%

ZoneAlarm Firewall + Antivirus + OSFirewall

only
$19.95


BUY NOW










© 2006 Zone Labs, L.L.C., A Check Point Software Technologies Company, 475 Brannan Street - Suite 300, San Francisco, CA 94107 USA. All rights reserved. All trademarks of Zone Labs used herein (including but not limited to TrueVector, ZoneAlarm, Zone Labs, the Zone Labs logo, AlertAdvisor, Cooperative Enforcement, Policy Lifecycle Management, Zone Labs Integrity and Smarter Security) are trademarks or registered trademarks of Zone Labs, L.L.C. and/or Check Point Software Technologies, in the United States and other countries. All other trademarks are the property of their respective owners.

Zone Labs LLC fully supports all efforts to ensure the security, privacy, and peace of mind of everyone on the Internet. Our email offers, satisfaction surveys and security communications are sent only to registered users of our software who have expressed an interest in receiving information via email. If you no longer wish to receive emails from us please use the unsubscribe link below or write to us at: Zone Labs LLC.; Attn Unsubscribe; 475 Brannan St, Ste 300; San Francisco, CA 94107; USA. To view our privacy policy click here.



--------------------------------------------------------------------------

This message was sent by Zone Labs, Inc. using Responsys Interact.
Safely unsubscribe from Zone Labs, Inc. e-mail at any time.
View our permission marketing policy.

Lo strano è solo che io ho già installato zone alarm free v.6.1.737.000 che è la stessa al momento disponibile sul sito della zone alarm. Quindi al momento che upgrade hanno previsto??
Ciaooo
Ciao Fabiuz, in realtà ti stanno offrendo di comprare un altro loro prodotto che si chiama Zone Alarm ANTIVIRUS a prezzo scontato.
Evidentemente quando hai installato il firewall gratuito di Zone Labs hai anche accettato di ricevere le loro offerte commerciali.
Avevo letto solo le prime righe, e intuito quindi un qlc. update di zone alarm free. Dimenticando che ultimamente Zone Lab fa anche antivirus. Va bhe dai la solita offerta commerciale.
Chiaramente zone alarm firewall free o pro che sia da solo nulla può contro il backdoor se nn coaudivato da un buon antivirus.
E giustamente loro lo sottoliano.
Ciaooo