PDA

Visualizza versione completa : W32.Sasser.A/B - Allerta 5 - Update (LSA Shell)


Giorgius
02-05-2004, 14.27.59
Sembra di essere tornati indietro al Virus "Blaster"... :grrr:

http://vil.nai.com/images/125007.gif

http://vil.nai.com/images/125007b.gif

Aliases:
W32/Sasser.worm, W32.Sasser.Worm, W32/Sasser.A.worm, Win32/Sasser.A, WORM_SASSER.A, Win32.Sasser.A, W32/Sasser.A, Sasser

Effetti:
W32.Sasser.Worm is a worm that attempts to exploit the MS04-011 vulnerability. It spreads by scanning randomly-chosen IP addresses for vulnerable systems.

Info:
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125007
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3850&PHPSESSID=f45accd7f6f67cf9991d4c67ee6946a4
http://www.microsoft.com/technet/security/alerts/sasser.mspx
http://www.f-secure.com/v-descs/sasser.shtml
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39012
http://www.norman.com/Virus/Virus_descriptions/14919/es?show=default
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=58928&VName=WORM_SASSER.A&VSect=T
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=46865


Aggiornamento AntiVirus al 02/05/04 ;)(Y)

Giorgius
02-05-2004, 14.29.56
Stinger v2.2.4: http://download.nai.com/products/mcafee-avert/stinger.exe
Symantec: http://securityresponse.symantec.com/avcenter/FxSasser.exe
Trend Micro: http://www.trendmicro.com/download/dcs.asp
F-Secure: ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.exe
Panda Software: http://www.pandasoftware.com/download/utilities/
Nod32: http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sasser
BitDefender: http://www.bitdefender.com/html/free_tools.php
Ikarus: http://download.ikarus.at/remover/IkarusRem_Sasser.exe
Pspl: http://www.pspl.com/download/cleanss.exe
Avg: http://www.grisoft.com/softw/removers/vcleaner.exe


Patch Microsoft: (scaricate le versioni in italiano)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx


Sasser (A-D) Worm Removal Tool (KB841720):
http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&DisplayLang=en


Utility sicurezza WinXP:
(disabilitate attraverso questa utility, le sezioni "Services", "Internet Explorer" e "Media Player". A discrezione, le 2 ultime stringhe della sezione "TCP/IP & NetBIOS")
SafeXP v1.4.4.20: http://theorica.click-now.net/download.htm

Giorgius
02-05-2004, 14.39.02
Aliases:
Win32/Sasser.B, W32.Sasser.B.Worm, W32/Sasser.worm.b, W32/Sasser.B.worm

Effetti:
W32.Sasser.B.Worm is a variant of W32.Sasser.Worm. It attempts to exploit the LSASS vulnerability described in Microsoft Security Bulletin MS04-011, and spreads by scanning randomly-chosen IP addresses for vulnerable systems.

Info:
http://www.enciclopediavirus.com/virus/vervirus.php?id=822
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=46875
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3851
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125008
http://www.symantec.com/avcenter/venc/data/w32.sasser.b.worm.html
http://www.rav.ro/virus/showvirus.php?v=215


Aggiornamento AntiVirus al 02/05/04 ;)(Y)

Giorgius
02-05-2004, 15.03.45
http://common.ziffdavisinternet.com/util_get_image/5/0,1311,i=54274,00.jpg

A new worm has been detected by the virus research community that spreads through the LSASS vulnerability in various versions of Windows. Researchers and security companies are alarmed and have assigned an elevated threat level to the worm—named Sasser.A—even though it has not yet spread far...

Leggi:
http://www.eweek.com/article2/0,1759,1582536,00.asp


Exploit Circulating for Windows LSASS Vulnerability

An exploit has begun circulating for another of the vulnerabilities in Windows revealed by Microsoft Corp. earlier this month. The vulnerability, a buffer overrun in the Local Security Authority Subsystem Service (LSASS), was patched as part of a large, cumulative update coded MS04-011...

Leggi:
http://www.eweek.com/article2/0,1759,1580041,00.asp

Giorgius
02-05-2004, 15.36.58
http://www.us-cert.gov/images/NEWBIGGERuscertleft3.gif

US-CERT has received reports of a new mass-emailing worm, referred to as "W32/Sasser". This worm attempts to take advantage of a buffer overflow vulnerability in the Windows Local Security Authority Service Server (LSASS). The vulnerability allows a remote attacker to execute arbitrary code with SYSTEM privileges. More information on this vulnerability is available in Vulnerability Note VU#753212 and Microsoft Security Bulletin MS01-011...

Leggi:
http://www.us-cert.gov/current/current_activity.html#sasser

Giorgius
02-05-2004, 15.59.37
Lunedì saranno disponibili nuovi tool di rimozione da parte delle Software House AntiVirus. ;)

Si prospettano "numerose" versioni (visti i precedenti) di questo Virus informatico...

Giorgius
02-05-2004, 16.11.28
http://www.microsoft.com/library/toolbar/3.0/images/banners/ms_masthead_ltr.gif

Microsoft teams are investigating reports of a worm, identified as W32.Sasser.worm, and its variants, which are currently circulating on the Internet. Microsoft has verified that the worm exploits the Local Security Authority Subsystem Service (LSASS) issue addressed in Microsoft Security Update MS04-011 on April 13, 2004...

Leggi:
http://www.microsoft.com/security/incident/sasser.asp#steps

Over Boost
02-05-2004, 16.57.02
La symantec tra sabato e oggi ha rilasciato ben 3 aggiornamenti su liveupdate :D
Ciao!:)

Gervy
02-05-2004, 17.25.25
sta facendo gli stessi danni del blaster :( ma installare le patch microsoft mai? :(

Giorgius
02-05-2004, 17.35.22
Vista l'uscita della Variante "B" del Virus, penso che la Patch ufficiale MS04-011 non sia del tutto efficace (data rilascio 13/04/04).

Giorgius
02-05-2004, 17.41.33
Be sure your Windows April security updates are in place.

http://image.grc.com/steveatstarbucks.jpg
Steve Gibson

Internet traffic watchers have been reporting an increase in traffic which they believe is a pre-cursor to a "Blaster style" Internet worm. This traffic appears to be probing computers for several of the vulnerabilities recently revealed by Microsoft's significant mid-April Windows security updates; specifically MS04-011, MS04-012, MS04-013...

Leggi:
http://www.grc.com/default.htm

Over Boost
02-05-2004, 17.45.34
Originariamente inviato da Gervy
sta facendo gli stessi danni del blaster :( ma installare le patch microsoft mai? :(

Con tutto il male che si possa dire di Windows,bisognerebbe fermarci e pensare:
Ma l'utente medio pensa solo a pigiare il tasto on/ff del PC?
Sicuramente si.

Vorrei farvi notare un anedotto,io lavaro in una inportante ditta che produce cerniere con svariati (credo una trentina se non di più,non sono ancora riuscito a girare tutta la ditta) pc colleggati a un server che dire pietoso è un complimento,cmq il problema non è questo ma la totale assenza di FW,software antivirus scaduti,S.O. mai aggiornati.

Questo non è un tipico utente medio ma sono equiparati :S

Ciao! :)

Giorgius
02-05-2004, 17.59.58
Le Aziende sprovviste di sistemi di sicurezza software-hardware efficaci (sistemi Firewall hardware obsoleti, software AntiVirus Server scaduti) o del tutto assenti, devono stare molto accorti nel preservare le informazioni della propria clientela. Ci sono Leggi Europee "serie" in vigore (civili e penali) sulla preservazione dei dati aziendali nella rete e all'interno del posto di lavoro.

edir
02-05-2004, 23.47.16
esatto.. a che servirebbe la recente legge che impone di avere pure dei consulenti informatici x la privacy dei dati dei clienti-fornitori???

La cosa brutta della patch MS x W2k è la dimensione 6 Mb... col modem a 56K è un massacro...

Ciao
Edy

Giorgius
03-05-2004, 00.35.07
http://english.aljazeera.net/NR/rdonlyres/9FFC9408-50CD-4AF3-A814-358F2DB281A6/36091/CAE375CEB0C44B34B72A692502870098.jpg

The Sasser worm can infect any computer that is switched on and contrary to most other worms or viruses is not spread by email, said Mikko Hyppoenen, head of anti-virus research at the Finnish internet security firm F-Secure...

Leggi:
http://english.aljazeera.net/NR/exeres/9FFC9408-50CD-4AF3-A814-358F2DB281A6.htm


http://www.channelnewsasia.com/imagegallery/store/php9jn90o.jpg

Sasser worm spreading quickly, problem seen peaking Monday

STOCKHOLM : A new Internet worm that attacks computers with certain Microsoft operating systems by shutting them down was spreading rapidly on Sunday and was expected to culminate on Monday when people return to work, experts said.

"The problem seems to be getting worse," Mikko Hyppoenen, an anti-virus expert at Finnish internet security firm F-Secure, told AFP on Sunday from Helsinki, adding that millions of computers worldwide may have been affected by the Sasser worm...

Leggi:
http://www.channelnewsasia.com/stories/afp_world/view/82790/1/.html

Giorgius
03-05-2004, 00.44.10
http://isc.sans.org/images/isc_header_logo.gif

A quanto pare, già rilevata da poche ore, la Variante "C" del Virus... :grrr:

SasserC, reported by Joe Stewart of Security Service Provider LURHQ (http://www.lurhq.com ), is currently undergoing analysis. Joe reports that SasserC spawns 1024 threads to attack other systems, and it seems poised to torch networks that are not patched for the MS04-011 vulnerabilities. Let's hope MS shares some realtime numbers of infected systems from their customers use of the Microsoft Sasser cleaning tool (link below). In addition, Gaobot variants are actively exploiting systems using MS04-011 vulnerabilities too...

Leggi:
http://isc.sans.org/diary.php

Giorgius
03-05-2004, 13.34.37
http://www.giornaletecnologico.it/hitech/200301/26/3e32d05c0217c/_virus_pc.jpg

Roma, 3 mag. (Adnkronos Multimedia) - Milioni di computer sono stati infettati, in tutto il mondo, dal virus Sasser. Il nuovo worm, annuncia Panda Software, nel solo fine settimana ha attaccato circa 18 milioni di pc. Sasser, che sfrutta una vulnerabilita' dei sistemi operativi Windows 2000, Windows XP e Windows Server 2003, riavviando il computer. Apparentemente, si legge nella nota della software house, il worm non farebbe danni nelle macchine dove risiede. (Mak/Adnkronos)

Giorgius
03-05-2004, 13.35.43
Internet: allarme rosso globale per baco informatico Sasser

(ANSA) - ROMA, 3 MAG - Allarme rosso globale per il nuovo baco informatico Sasser, diffuso anche in Italia, specie nella variante B di questo virus. Soltanto domenica, rende noto l'azienda specializzata in sicurezza informatica Trend Micro Italia, era stato diffuso l'allarme di media entita' per la variante A ma e' stata segnalata anche la variante C. Il baco informatico, diffuso in tutto il mondo, specie in America Latina, in Europa e' presente dall'Olanda alla Grecia.

Virus: Mcafee, Rischio Medio Per w32/sasser.Worm.b
(ASCA) - Roma, 3 mag - Mcafee Avert (Anti-Virus Emergency Response Team), la divisione di ricerca antivirus di Network Associates, ha scoperto il primo worm auto-eseguibile che sfrutta la vulnerabilita' MS04-011 annunciata da Microsoft in aprile. Mcafee Avert ha elevato la valutazione di rischio a media per il worm W32/SASSER.WORM.B, conosciuto anche come Sasser.b, in seguito alla sua diffusione e alla sua capacita' di diffondersi senza il supporto dell'e-mail. Questo nuovo worm e' un programma auto-eseguibile che si propaga tramite la scansione degli indirizzi Ip casuali dei sistemi vulnerabili. Fino a oggi, Mcafee Avert ha ricevuto parecchi rapporti del worm che ha bloccato o che ha infettato gli utenti in parecchi continenti, anche se la maggior parte dei rapporti proviene dagli Stati Uniti. Il worm Sasser.b e' un worm auto-eseguibile che si propaga sfruttando la vulnerabilita' Microsoft MS04-011 (www.microsoft.com/technet/security/bulletin/MS04-011.mspx). Lo scopo primario del worm e' propagarsi su quante piu' macchine vulnerabili possibile sfruttando i sistemi Windows senza le patch piu' recenti, dando loro la capacita' di eseguirlo senza richiedere alcuna azione da parte dell'utente. Una volta attivato, il worm si copia in una cartella della directory di sistema di Windows e aggiunge una chiave di registro che si avvia allo startup del sistema. Dopo essere stato eseguito, Sasser.b esplora gli indirizzi Ip casuali sulla porta Tcp 445 dei sistemi infettati. Quando ne ha trovato uno, il worm sfrutta il sistema vulnerabile generando uno script ed eseguendolo. Questo script da' alla vittima individuata le istruzioni per scaricare ed eseguire il worm dall'host infettato. Poiche' il worm effettua la scansione di indirizzi Ip random, analizza le porte Tcp a partire dalla 1068. Inoltre funge da server Ftp sulla porta Tcp 5554 e genera una shell remota sulla porta Tcp 9996. Informazioni e cure immediate per questo worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo http://vil.nai.com/vil/content/v_125008.htm. Mcafee Avert suggerisce ai propri utenti di aggiornare i sistemi con i file Dat 4356 per proteggersi contro tutte le attuali minacce.

VerTek
03-05-2004, 13.42.26
Aliases:
W32.Sasser.C.Worm (Symantec), Win32.Sasser.C (Computer Associates), W32/Sasser.worm.c (McAfee), W32/Sasser.C (PerAntivirus), Win32/Sasser.C (Enciclopedia Virus (Ontinent))

Effetti:
W32.Sasser.C.Worm is a minor variant of W32.Sasser.B.Worm. It attempts to exploit the LSASS vulnerability described in Microsoft Security Bulletin MS04-011, and spreads by scanning randomly-chosen IP addresses for vulnerable systems. This particular variant spawns 1024 threads for the infection routine, where as previous variant W32.Sasser.B.Worm uses 128 threads.

Info:
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3853&PHPSESSID=df6987a8e1f58ed5dc670cf664b2b165
http://www.symantec.com/avcenter/venc/data/w32.sasser.c.worm.html
http://www.perantivirus.com/sosvirus/virufamo/sasserc.htm
http://www.enciclopediavirus.com/virus/vervirus.php?id=823
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39025
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125009


Aggiornamento AntiVirus al 03/05/04 ;)(Y)

Giorgius
03-05-2004, 13.53.03
http://www.american.edu/technology/sites/helpdesk/images/security1.jpg

Internet: 300 milioni di computer a rischio baco Sasser

(ANSA) - ROMA, 3 MAG - Sono 300 milioni in tutto il mondo, secondo l'azienda Panda Software, i pc a rischio di essere colpiti dal baco informatico Sasser. In Italia i danni piu' gravi sono quelli subiti dagli uffici delle Ferrovie dello Stato, ma assicurati i servizi, disagi anche nelle e-mail delle Poste. Secondo gli esperti e' possibile un attacco mondiale in diverse varianti.
2004-05-03 - 13:26:00

Giorgius
03-05-2004, 14.33.56
http://newsimg.bbc.co.uk/media/images/39981000/jpg/_39981273_mouse203b.jpg

"We expect things to get much worse when people bring their laptops in to the office after the weekend"
Anti-virus expert Mikko Hyppoenen

Leggi: http://news.bbc.co.uk/2/hi/technology/3678725.stm

Giorgius
03-05-2004, 14.45.42
http://www.showtvnet.com/haber/img/haber/virus02.jpg

HELSINKI (Reuters) - Un virus sul Web a veloce diffusione come il "Blaster" dello scorso anno ha colpito centinaia di migliaia di pc in tutto il mondo e resta ancora poco è chiaro come le macchine vengano infettate. Lo ha riferito un alto funzionario della sicurezza per i computer oggi.
L'azienda per la sicurezza dei dati F-Secure ha spiegato che il virus, che ha fatto la sua comparsa nel fine settimana ed è conosciuto come "Sasser", si diffonde automaticamente via Internet ai computer che usano il sistema operativo Microsoft Windows, soprattutto Windows 2000 e XP.
"Con Sasser sembra che le società stiano usando "toppe" (software) migliori e in modo più veloce rispetto allo scorso anno (con Blaster), ma quelli colpiti, sono stati colpiti duramente", ha detto a Reuters Mikko Hypponen, direttore della ricerca Anti-Virus di F-Secure, aggiungendo di credere che il virus sia stato originato in Russia.
Il virus non ha bisogno di essere attivato con un doppio click su un allegato, e può colpire anche se uno non sta usando il computer in quel momento. Quando la macchina è infetta, possono apparire messaggi di errore e il computer può andare in reboot ripetutamente..
"Rispetto a quanto successo con Blaster... lo scorso agosto... questo virus ha tutte le stesse caratteristiche", ha detto Hypponen, sottolineando che entrambi i virus sfruttano nuove falle in Windows e provocano continui reboot del computer.
Blaster ha infettato computer in tutto il mondo. Microsoft ha detto che il virus gli costa "milioni di dollari di danni" ed ha emesso una taglia da 250mila dollari a chi darà informazioni su dove si trovano i suoi autori.
F-Secure ha detto che le reti corporate dovrebbero essere protette contro Sasser e le sue varianti dai firewall, i blocchi che separano la rete interna dall'esterno.
Gli utenti privati, dovrebbero assicurarsi invece di aver scaricato un corretto software che funziona da toppa per chiudere la falla.
F-Secure ha aggiunto che il virus è venuto alla luce 18 giorni dopo che Microsoft ha messo il software patch sul suo sito Web.

Daniela
03-05-2004, 15.52.04
Domanda: ho il sospetto che a lavoro non sia installato il SP2 per i pc con Win2000. Questo vuol dire che la patch di MS non posso installarla? :confused:

Giorgius
03-05-2004, 15.57.27
Verifica su "Pannello di Controllo" -> "Sistema" che versione hai di Winzozzo 2000 ;)

Daniela
03-05-2004, 16.42.36
Originariamente inviato da Giorgius
Verifica su "Pannello di Controllo" -> "Sistema" che versione hai di Winzozzo 2000 ;)

Sì questo lo so :) il dubbio è se, nel caso non ci sia il SP2, io possa installare la patch oppure no.

tof63
03-05-2004, 17.37.39
Originariamente inviato da Giorgius
F-Secure ha aggiunto che il virus è venuto alla luce 18 giorni dopo che Microsoft ha messo il software patch sul suo sito Web.
Verrebbe da pensare che se la MS non avesse pubblicato la patch magari l'autore del worm non avrebbe mai scoperto l'esistenza del buco... e non avrebbe quindi creato il worm...

(Oggi siamo rimasti praticamente fermi in ufficio dalle 8 fino alle 14 causa questo virus e le cose stanno tornando normali solo ora)

Pistol-pete
03-05-2004, 19.48.21
ma scusate nessuno si è reso conto che io avevo già anticipato il problema?????
http://www.wintricks.it/forum/showthread.php?s=&threadid=67090
magari ora mi promuoverete moderatore, eh eh eh eh
=)
ciao a tutti!

Giorgius
03-05-2004, 20.05.06
La prossima volta posta nel thread "Sicurezza e Privacy" ;)

Giorgius
03-05-2004, 20.05.39
BRUXELLES - Il nuovo baco informatico Warm Sasser ha colpito anche la Commissione Ue e il Parlamento di Bruxelles. In entrambe le sedi delle istituzioni europee si sono registrati black-out ai pc degli uffici. (Agr)

:rolleyes: (N)

Giorgius
03-05-2004, 20.08.06
Virus Sasser: Iss, Attacco Prevedibile e Danni Evitabili

(ASCA) - Roma, 4 mag - Internet Security Systems (Iss) aveva gia' dato l'allarme di un possibile e potente attacco informatico quando, venti giorni fa, erano state rilasciate da Microsoft diverse patch per gravi vulnerabilita' scoperte nella library Ssl di alcuni suoi prodotti, usata per crittografare le connessioni verso siti ad alto livello di sicurezza che svolgono alcune attivita' come pagamenti on line, transazioni e trasferimento di dati sensibili. E' quanto si apprende da un comunicato della societa' specializzata in sicurezza informatica. Tra i primi ad avere aggiornato e protetto le reti dei propri clienti, prosegue la nota, Iss aveva previsto che i giorni di maggior pericolo sarebbero stati quelli del weekend. ''Questo attacco e' stata la prova che Iss e' in grado di garantire ai propri clienti una sicurezza effettiva dei propri sistemi informatici. Grazie al continuo perfezionamento delle tecniche di prevenzione e rilevamento delle intrusioni siamo giunti a un livello di sicurezza garantita elevato e senza eguali'', ha dichiarato Stefano Volpi, responsabile della filiale italiana di Iss. ''Alcune di queste vulnerabilita''', ha aggiunto Volip, ''erano gia' state individuate a settembre 2003 dall'X-Force, il nostro team di esperti, e i danni provocati da quest'attacco potevano essere evitati mettendo in campo una giusta strategia preventiva che da sempre noi predichiamo e a cui abituiamo i nostri clienti. Siamo orgogliosi di aver avuto con quest'evento l'importante conferma di perseguire una strategia vincente, che sicuramente verra' ripagata anche dal mercato''.

Over Boost
03-05-2004, 22.16.57
Quello che sto per dirvi ha del ridicolo ed anche OT,ma ve lo devo dire e spero di non essere il solo ;)
Sto ricevendo i reply di questo 3d sulla mia consueta mail con questo (http://www.wintricks.it/forum/showthread.php?threadid=67123&goto=newpost) link,la cosa triste :crying: e che se provo a chiudere IE prima del completaemnto si aprono mille pagine in successione.
Vi prego ditemi che non capita solo me. :D !

Attendo conferme.

P.S. Ho win aggiornato con il NAV e il PF + barra anti pop-up made in Microsoft.

davlak
03-05-2004, 22.32.33
Guarda non mi stupisco + di niente dopo quello che mi sta succedendo

http://www.wintricks.it/forum/showthread.php?s=&threadid=67202

e non credo proprio di aver beccato niente :confused:

TheKiller
04-05-2004, 00.43.30
Dico solo una cosa. Ma i provider potrebbero se volessero bloccare questa epidemia! Si potrebbe trovare anche il modo di abbatterlo come ha fatto qualcuno con un altro , mandandolo in crash.

Provider fate qualcosa!!

Ho finito.

Giorgius
04-05-2004, 11.40.24
Originariamente inviato da Daniela


Sì questo lo so :) il dubbio è se, nel caso non ci sia il SP2, io possa installare la patch oppure no.


No, in quel caso dovresti usare l'utility "SafeXP" per disabilitare i servizi inutili di Winzozzo (2K,XP,2K3).

Giorgius
04-05-2004, 13.57.47
http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/images_site/wwdc.jpg

Download:
http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/tools/wwdc.exe

Info:
http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/wwdc.htm

cippico
05-05-2004, 08.34.40
il prg che hai messo nell´immagine...serve x chiudere le porte...zapro e safexp fanno lo stesso lavoro oppure questo fa qualcosa in piu´?

se si...vanno chiuse TUTTE le porte che propone?...ma dopo si naviga regolarmente?

grazie e ciaooo

Giorgius
05-05-2004, 10.44.33
Ho notato che con "SafeXP" non chiudi (per ora) la porta "445".
Infatti, usando questo nuovo tool c'è sempre una bella croce rossa che indica che la porta è aperta, anche se il servizio Rpc è disattivato.

Tutto sta però se la porta 445 venga utilizzata per i canali P2P o VoiceIP, allora meglio lasciarla aperta, nel caso in cui i programmi sopracitati non permettano la modifica manuale. ;)

cippico
05-05-2004, 11.05.19
ora lo scarico e lo provo...

ciaooo

Giorgius
05-05-2004, 11.33.33
http://www.bostonphoenix.com/archive/features/99/12/30/image/Microsoft.gif

(ASCA) - Roma, 5 mag - In merito alla diffusione del virus Sasser, Microsoft raccomanda ai propri utenti di attenersi alle seguenti procedure per impedire che il virus, bloccando l'accesso a Internet, renda impossibile scaricare e installare sul proprio Pc la patch MS04-011. Nei computer vulnerabili il worm puo' provocare il blocco di LSASS.EXE, che provoca l'arresto del sistema operativo entro 60 secondi. In Windows Xp e' possibile impedire l'arresto del sistema utilizzando il comando predefinito ''shutdown.exe -a'', mentre in Windows 2000 l'arresto non puo' essere evitato. Nei sistemi Windows 2000 e' possibile impedire il blocco di LSASS.EXE, e il conseguente riavvio del sistema operativo, scollegando il cavo di rete o disattivando la scheda di rete e quindi effettuando una delle seguenti operazioni per impedire al worm di bloccare LSASS.EXE: create un file di sola lettura denominato %systemroot%debugdcpromo.log, immettendo il seguente comando: echo dcpromo >%systemroot%debugdcpromo.log & attrib +r %systemroot%debugdcpromo.log (questa e' la soluzione temporanea piu' efficace, poiche' elimina completamente gli effetti della vulnerabilita' impedendo l'esecuzione del codice interessato dal problema e funziona per tutti i pacchetti inviati a qualsiasi porta vulnerabile); l'alternativa e' attivare il filtro Tcp/Ip avanzato su tutte le schede di rete, per bloccare tutti i pacchetti Tcp non richiesti in ingresso; in questo caso occorre eseguire le seguenti operazioni: fate clic su Start, scegliete Esegui, digitate Control e premete INVIO; nel Pannello di controllo fate doppio clic sull'icona Rete e connessioni remote; fate clic con il pulsante destro del mouse sulla scheda connessa a Internet o alla rete colpita dal worm e scegliete Proprieta'; fate doppio clic su Protocollo Internet (Tcp/Ip); fate clic su Avanzate; passate alla scheda Opzioni; fate doppio clic su Filtro Tcp/Ip; selezionate la casella di controllo Attiva filtro Tcp/Ip (su tutte le schede); selezionate il pulsante di opzione Autorizza solo situato sopra Porte Tcp (NON aggiungete altre porte a questo elenco e NON selezionate il pulsante di opzione Autorizza solo situato sopra Porte Udp); fate clic su OK quattro volte e, quando viene richiesto se riavviare il sistema, scegliete Si' (affinche' le nuove impostazioni abbiano effetto e' necessario il riavvio). Esiste anche una terza soluzione che consente di bloccare qualsiasi tentativo di sfruttare la vulnerabilita' tramite il protocollo Tcp. Tuttavia, a differenza delle procedure descritte in precedenza, questa soluzione non impedisce ai pacchetti Udp appositamente predisposti di raggiungere le porte vulnerabili e non elimina completamente gli effetti della vulnerabilita'. L'operazione consiste nell'arrestare temporaneamente il servizio server immettendo il seguente comando: net stop server /y (questa tecnica consente di bloccare esclusivamente gli attacchi che sfruttano le porte Tcp 139 e 445). Se il computer infetto viene riconnesso alla rete, puo' provocare un sovraccarico della connessione di rete locale, impedendo completamente il download degli aggiornamenti. Per disattivare temporaneamente il worm e' possibile utilizzare Task Manager per arrestare i seguenti processi: tutti i processi il cui nome inizia con almeno quattro cifre e termina con ''_up.exe'', per esempio 12345_up.exe; tutti i processi il cui nome inizia con avserve, ad esempio avserve.exe o avserve2.exe; tutti i processi di nome skynetave.exe. Dopo l'arresto di tutti i processi del worm, dovrebbe essere possibile scaricare l'aggiornamento per la protezione
(www.microsoft.com/italy/security/security_bulletins/200404_windows.mspx)

(www.microsoft.com/italy/security/security_bulletins/200404_windows.mspx)

(www.microsoft.com/italy/security/security_bulletins/200404_windows.mspx)

Giorgius
05-05-2004, 14.12.47
http://www.eakles.com/117temper1.gif

LONDRA (Reuters) - Gli esperti della sicurezza hanno iniziato una serrata ricerca oggi per provare a rintracciare gli autori di "Sasser", il tenace virus di computer che potrebbe infettare milioni di macchine prima di finire la sua corsa.

Da quando è apparso nel fine settimana, il baco ha danneggiato decine di migliaia di pc che utilizzano i sistemi operativi di Microsoft Windows 2000, NT e XP, anche se la sua diffusione dovrebbe rallentare in contemporanea al download da parte degli utenti di una patch anti-virus.

Gli utenti domestici, aziendali e anche le agenzie governative in tutta Europa, Nord America e Asia sono stati colpiti. Una volta infettati, i pc fanno continui reboots senza avvertimento mentre il programma va a caccia di ulteriori macchine da infettare.

Microsoft ha annunciato oggi di non aver ancora preso alcuna decisione sulla taglia per avere informazioni che possano portare all'arresto dell'autore di Sasser.

Negli ultimi sei mesi, il gigante del software ha offerto tre taglie diverse da 250mila dollari per precedenti infezioni, ma fino ad ora senza risultati.

Microsoft ha detto di stare lavorando con le forze dell'ordine americane, compresi il Federal Bureau of Investigation, per catturare i colpevoli.

"Stanno analizzando i codici che possono aiutare ad identificare e consegnare alla giustizia i responsabili di questo", ha detto oggi una portavoce di Microsoft.

http://www.eakles.com/117toilet1.gif

UN MONDO DI BACHI E VIRUS

Sasser ha già attirato l'attenzione di un oscuro mondo malavitoso dei computer, che usa le ultime tecnologie per commettere cirimini che vanno dalla frode all'estorsione.

La polizia ha spiegato che gruppi e criminali, molti dei quali si pensa operino nell'Europa dell'est, hanno elaborato una serie di virus per computer e bachi capaci di prendere il controllo dei pc.

Spesso, l'obiettivo è lanciare una serie di attacchi digitali alle aziende che lavorano sul Web o inondarle con e-mail spam per comprometterne la funzionalità dei server.

Ma a causa della natura distruttiva di Sasser, i tecnici anti-virus non sono d'accordo con i motivi e l'identità dei suoi autori.

La teoria principale sostiene che il suo creatore faccia parte di un gruppo russo chiamato "Skynet anti-virus group", la stessa gang a cui si imputa anche il baco Netsky.

Un messaggio trovato nel codice di una recente variante di Netsky rivendica la responsabilità di Sasser, dicono gli esperti.

"Non ci sono prove al 100%, ma sembra esserci un legame tra i due", ha detto Graham Cluley, consulente della società Sophos Anti-Virus.

Si pensa che la mente di Netsky stia ammassando un esercito di computer compromessi che possono innescare nuovi attacchi, dicono ancora gli esperti.

I motivi che si celano dietro a Sasser però restano ancora indefiniti. "Con Sasser, l'autore sembra mostrare la sua capacità con i codici, ma io non ho idea di quale motivo abbia", ha spiegato Raimund Genes, presidente europeo dell'azienda anti-virus Trend Micro.

Giorgius
05-05-2004, 18.10.32
(ASCA) - Roma, 5 mag - Trend Micro segnala che il numero delle infezioni provocate dalle diverse varianti della famiglia WORM_SASSER continua a crescere. Il worm e' stato scoperto il 1* maggio scorso; le varianti dalla A alla D sono state messe sotto osservazione dal 3 maggio e, da quel giorno, Trend Micro ha considerato questa famiglia di worm ad alto rischio per gli utenti di computer. ''Probabilmente Sasser non ha tuttora raggiunto il suo picco'', commenta Joe Hartmann, senior virus researcher e analista per Trend Micro. ''Dobbiamo aspettarci che questi worm rimangano in circolazione ancora per molti mesi o forse per anni''. Secondo le rilevazioni condotte da Trend Micro, il 4 maggio c'e' stato un aumento del 43 per cento delle infezioni del worm Sasser (contando le varianti A,B,C e D) rispetto allo stesso intervallo di tempo del 3 maggio. In particolare, le infezioni di WORM_SASSER.C sono aumentate di oltre l'85 per cento e quelle di WORM_SASSER.D di oltre il 176 per cento. Per quanto riguarda le varianti B e D le infezioni hanno avuto una accelerazione nella seconda meta' del giorno (la D addirittura nella misura di oltre il 90 per cento). Questi aumenti nelle infezioni si registrano nonostante il worm Sasser sia ormai molto noto. La sua capacita' di infettare i sistemi per mezzo di indirizzi Ip casuali e poi utilizzare la macchina colpita per scovare altre vittime potenziali significa che e' in grado di diffondersi a una velocita' esponenziale. Utilizzando piu' sistemi infetti, il worm puo' accelerare la sua ricerca di altri sistemi con la vulnerabilita' di Windows Lsass (Local Security Authority Subsystem Service). Il momento del rilascio di Sasser puo' essere stato un fattore che ne ha rallentato la partenza. Il worm e' apparso nelle prime ore di sabato 1 maggio, e le tre varianti sono state rilasciate durante il fine settimana. Il 3 maggio in Gran Bretagna era festa nazionale, il che spiega in parte il recente aumento delle infezioni avvenute dopo la riapertura degli uffici. Dalla settimana scorsa il Giappone stava celebrando l'annuale festivita' della Golden Week e molti giapponesi hanno fatto ritorno nei loro uffici solo oggi. I dati relativi alle attivita' virali sono raccolti grazie a Housecall, il servizio di scanner online di Trend Micro e rappresentano un campione delle infezioni che si verificano in tutto il mondo. Housecall e' disponibile all'indirizzo http://housecall.trendmicro.com. WORM_SASSER sfrutta la vulnerabilita' Lsass, cioe' un buffer overrun che permette l'esecuzione di codici remoti consentendo a un attaccante di ottenere il pieno controllo dei sistemi infettati. Per propagarsi, le varianti di Sasser ricercano in modo casuale gli indirizzi Ip dei sistemi vulnerabili. I clienti Trend Micro sono protetti grazie al pattern file 885 o successivi, quelli degli Outbreak Prevention Services possono scaricare la Opp 113 o successive per assicurarsi che i loro sistemi siano protetti contro la diffusione di quest'ultima minaccia. Per gli utenti dei Damage Cleanup Services, il Damage Cleanup template # 335 e' disponibile per aiutarli nel ripristino automatico dei sistemi colpiti. Utenti di Trend Micro Network Viruswall 1200 possono rilevare questo worm attraverso il pattern #10126. Le vulnerabilita' associate sono inoltre descritte nel Vulnerability Assessment pattern # 010. I clienti sono invitati ad applicare le patch necessarie rese disponibili da Microsoft per affrontare la vulnerabilita' di Lsass

Over Boost
05-05-2004, 21.15.30
Oggi ho lasciato per ben 9 over win xp collegato a internet senza fw :rolleyes:

Niente infezione :D ,per fortuna :p

Ciao! ;)

Giorgius
06-05-2004, 15.29.57
Occhio sempre alle porte in uscita. ;)

Giorgius
06-05-2004, 15.50.14
(ASCA) - Roma, 6 mag - La semplice gestione delle patch non e' sufficiente per proteggere le aziende dal worm Sasser. Questo e' l'allarme lanciato alle aziende italiane da Netiq. ''Le vulnerabilita' si verificano sempre e possono compromettere la produttivita', le vendite e la reputazione di un'azienda. Quindi, le aziende devono identificare e correggere costantemente i rischi di sistema per prevenire gli arresti del sistema e le prestazioni di rete insoddisfacenti. In tal caso, il processo e' in grado di attenuare i rischi quando si verificano delle falle'', si legge in un comunicato. ''Le aziende devono essere coscienti del fatto che le probabilita' di essere danneggiati dal baco aumentano proporzionalmente alla presenza on line, se non sono state installate le ultime versioni delle patch antivirus di Microsoft. Ma per salvaguardarsi contro falle critiche, non e' sufficiente una semplice patch'', afferma Michele Guglielmo, country manager di Netiq Italia e sales manager Sud Europa. ''La risposta delle aziende e' spesso una reazione impulsiva per ovviare alle vulnerabilita' del sistema alla comparsa di worm o virus - continua Guglielmo - ma, in realta', e' necessario un approccio preventivo che comprenda l'identificazione e la gestione delle vulnerabilita' attraverso l'implementazione di un processo strutturato di gestione del rischio''.

Giorgius
06-05-2004, 15.53.00
LONDRA/LOS ANGELES (Reuters) - Gli esperti della sicurezza dei computer hanno lanciato l'allarme sul fatto che il virus Sasser potrebbe "mutare" -- unendosi a precedenti virus -- e portare altro scompiglio in Internet, proprio mentre le aziende e gli utenti di Pc hanno respinto l'ultimo attacco e le autorità sono a caccia dei colpevoli.

Da quando è apparso nello scorso fine settimana, il virus informatico Sasser a rapida diffusione ha colpito in tutto il mondo gli utenti di Pc che usano i sistemi operativi Microsoft Windows 2000, NT e XP. Ma ci si attende che si fermi dopo che gli utenti hanno scaricato gli anti-virus.

Sasser potrebbe però mutare combinandosi con il virus Netsky, vecchio di due mesi, diventando una piattaforma di lancio per nuovi attacchi sul Web che potrebbero metterlo sullo stesso piano di Blaster, il virus distruttivo che apparve lo scorso anno e che utilizzò i computer infettati per attaccare il sito Web di Microsoft.

Per ora Sasser, più "benigno", agisce duplicandosi e interrompendo le connessioni Internet.

Giorgius
07-05-2004, 02.16.47
(ASCA) - Roma, 6 mag - Mentre Sasser continua a diffondersi, aumenta la lista di istituzioni colpite dal virus. Tra le piu' importanti, ha subito gravi danni la Commissione Europea, con un collasso informatico di ben 1.200 computer (il 5 per cento di quelli usati). Sono finiti nel mirino di Sasser anche l'Universita' del Massachussets, i sistemi di molte banche e alcune compagnie come British Airways. Oltre ai problemi provocati da Sasser negli ambienti aziendali, occorre considerare il tempo richiesto per l'aggiornamento dei Pc con la patch di Microsoft che ripara la vulnerabilita' sfruttata dal worm. Come afferma Roberto Puma, country manager di Panda Software Italia, ''questa volta l'epidemia ha avuto effetti collaterali veramente significativi, molti utenti non riescono ancora a usare il loro computer in quanto questo virus e' stato disegnato per fare in modo che ci sia un reiterato riavvio del Pc, impedendo cosi' qualsiasi tipo di azione. Nei prossimi giorni e' molto probabile che possano apparire nuove varianti del codice maligno''. ''I pc colpiti da Sasser'', aggiunge Luis Corrons, responsabile di Pandalabs, ''si riavviano ogni 60 secondi, senza dare il tempo sufficiente per eliminarlo''. Una delle opzioni che l'utente ha per risolvere il problema e' quello di anticipare l'orario del sistema, seguendo questi passaggi: quando appare la finestra con l'indicazione che il sistema si riavvia, fare un doppio click sulle cifre dell'ora che si trovano nella parte inferiore destra del monitor; dopo che si e' aperta la finestra di configurazione, nel riquadro nel quale appaiono l'ora e i minuti, mettere un'ora indietro rispetto a quella presente. Per bloccare gli effetti dell'epidemia provocata dalle varianti di Sasser, Panda Software ha messo a disposizione degli utenti diversi tool gratuiti Pqremove che si possono scaricare dal sito www.pandasoftaware.it.

Giorgius
07-05-2004, 14.30.40
http://www.thaicert.nectec.or.th/advisory/alert/sasser/sasser1.gif

http://www.thaicert.nectec.or.th/advisory/alert/sasser/sasser2.gif

http://www.thaicert.nectec.or.th/advisory/alert/sasser/sasser3.gif

Giorgius
08-05-2004, 10.37.34
BERLINO - Il presunto "padre" del virus informatico Sasser e' stato arrestato in Germania. Si tratta di un giovane di 18 anni. Il virus da lui inventato ha mandato in tilt i sistemi operativi di mezzo mondo. (Agr)

Leggi: http://news.bbc.co.uk/2/hi/europe/3695857.stm

:cool: (Y)

Giorgius
09-05-2004, 15.49.22
Il Thread si sposta qui. ;)
http://www.wintricks.it/forum/showthread.php?threadid=67494