PDA

Visualizza versione completa : W32.Sasser.D - Allerta 4 - Update


Giorgius
03-05-2004, 20.21.01
http://www.alerta-antivirus.es/imagenes/virus/sasser_icono.png

Aliases:
W32/Sasser.D.worm (Panda Software), W32.Sasser.D (Symantec), Win32.Sasser.D (Computer Associates), Win32/Sasser.D (Enciclopedia Virus (Ontinent)), W32/Sasser.worm.d (McAfee), W32.Sasser.D (Symantec)

Effetti:
W32.Sasser.D is a variant of W32.Sasser.Worm. Symantec Security Response is currently analysing this threat and will post more information as it becomes available.

Info:
http://www.pandasoftware.com/about/press/viewNews.aspx?noticia=5046
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3854
http://www.symantec.com/avcenter/venc/data/w32.sasser.d.html
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125012
http://www.enciclopediavirus.com/virus/vervirus.php?id=825
http://www3.ca.com/threatinfo/virusinfo/virus.aspx?id=39037
http://www.sophos.com/support/disinfection/sasser.html

Aggiornamento AntiVirus al 04/05/04 ;)(Y)

Giorgius
03-05-2004, 20.21.51
Stinger: http://download.nai.com/products/mcafee-avert/stinger.exe
Ikarus: http://download.ikarus.at/remover/IkarusRem_Sasser.exe
Nod32: http://www.nod32.it/home/home.htm
Pspl: http://www.pspl.com/download/cleanss.exe
Simantec: http://securityresponse.symantec.com/avcenter/FxSasser.exe
F-Secure: ftp://ftp.f-secure.com/anti-virus/tools/f-sasser.zip
Sophos: http://www.sophos.com/support/cleaners/sasssfx.exe
Avg: http://www.grisoft.com/softw/removers/vcleaner.exe

Sasser (A-D) Worm Removal Tool (KB841720):
http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17&DisplayLang=en

Giorgius
03-05-2004, 20.25.27
(ANSA)-ROMA, 3 MAG- E' in giro da poche ore il nuovo baco Sasser, ma ha gia' strappato a Netsky il primo posto nella classifica delle nuove insidie informatiche. Lo rileva l'aggiornamento piu' recente dell'azienda Panda Software. Sulla base delle ultime segnalazioni, Sasser risulta molto diffuso in Europa, soprattutto in Irlanda (con il 6,82% sul totale delle infezioni rilevate), Serbia e Montenegro (3,08%), Spagna (2,79%), Portogallo (2,68%), Germania (2.66%). In Italia la diffusione e' al 2,14%.
2004-05-03 - © Copyright ANSA Tutti i diritti riservati

Giorgius
03-05-2004, 20.26.09
(ANSA)-ROMA, 3 MAG - E' durato poco, ma ha creato qualche problema anche al Viminale e al Dipartimento di pubblica sicurezza l'attacco del virus informatico Sasser.Il danno e' stato circoscritto grazie ai sistemi di sicurezza attivi al ministero e il black out e' durato pochissimo. Il sistema di protezione antivirus e l'aggiornamento continuo del sistema - spiegano i tecnici - hanno permesso di limitare l'aggressione, anche se e' stato grande il lavoro degli addetti per riconfigurare i programmi.
2004-05-03 - © Copyright ANSA Tutti i diritti riservati

Giorgius
03-05-2004, 20.27.03
(ANSA) - ROMA, 3 MAG - Problemi in tutta Italia a causa del nuovo baco informatico Sasser di cui e' stata gia' segnalata la nuova versione in circolazione, la 'D'. La vulnerabilita' del sistema sfruttata dal nuovo virus era nota da meta' aprile ma si segnalano comunque problemi, anche nella pubblica amministrazione e in alcune grandi aziende. Si tratta di un virus velocissimo, che non distrugge dati ma si sposta alla ricerca di sistemi ancora vulnerabili.
2004-05-03 - © Copyright ANSA Tutti i diritti riservati

Gianluca72
04-05-2004, 13.18.58
Mi permetto di aggiungere:

http://www.eeye.com/html/Research/Advisories/AD20040501.html

Le raccomandazioni sono sempre le stesse: software antivirus sempre ben configurato, ma anche sistema aggiornato con tutti gli update di sicurezza rilasciati da Microsoft.
Se però qualcosa non ha funzionato... ed il proprio sistema inizia a riavviarsi in modo sospetto, vi segnalo la disponibilità di un apposito removal tool:

http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.removal.tool.html

Giorgius
04-05-2004, 13.34.57
http://images.dshield.org/images/isc_header_logo.gif

Update: Sasser.d to start the work week, clean up tools may not be adequate

Due to the continuing spread of Sasser and the other malicious code targeting the MS04-011 vulnerabilities, we will remain at Infocon Yellow overnight. We will reevaluate the situation in the morning.

Sasser worm family continues to spread
The Sasser worm outbreak that began early Saturday morning continues. There have been at least 4 distinct variants noted so far. The primary difference between the first 3 was in the name of the file installed and increasing the number of scanning threads from 100 to 1000. The fourth variant, Sasser.d, which started appearing this morning also added a component to use pings (ICMP echo requests) to scan for other hosts to infect. It can generate more than 30 packets/sec with no payload. On a network with many unpatched systems, this could lead to network congestion similar to what was seen when Nachi came out last August. Also, because it will scan multicast addresses, there have been some reports that some routers which route multicast traffic have become unstable as a result of Sasser infections. A reminder, that systems patched against the issues described in MS04-011 are not vulnerable to this worm. If you haven't patched yet, do so immediately.
One of the ISC handlers, Tom Liston, has captured some of the Sasser.d ICMP activity on his research honeynet and is making the captures available at http://isc.sans.org/presentations/sasser_d.cap.zip

Sasser 'fix' hoax e-mail
This afternoon there is a hoax e-mail making the rounds purporting to be from an anti-virus vendor and claiming to have a clean up tool for Sasser attached. This is, in fact, a new NetSky variant. Anti-virus vendors will never send the tools as attachments in e-mail. Always check the vendor's web site for their latest clean up tools.

Automatic cleanup tools
Microsoft and most of the anti-virus vendors are providing tools for the automatic removal of some of the Sasser variants (see yesterday's diary). While we don't want to discourage people from using these tools, we also don't want the public to get too complacent and think that once they use one of these tools everything is fine. We are seeing a great deal of evidence of multiple infections on machines with Sasser. That is, machines infected with Sasser are often also infected with something else, frequently one of the recent agobot/gaobot/phatbot variants that also target the MS04-011 vulnerabilities. Our standard advice remains, if you get infected, your best course of action is a complete rebuild of the system. If you reinstall a system, or configure a new system, you will have to enable a firewall before connecting the system to a network. Internal LANs may be infected as well. Windows XP users may follow our guide: Windows XP, Surviving the First Day http://www.sans.org/rr/papers/index.php?id=1298

Alternatively, you may want to use a small hardware firewall appliance.

Giorgius
04-05-2004, 14.39.06
http://www.cbsihosting.com/images/about_us_img.jpg

LONDRA (Reuters) - Il mutevole virus "Sasser" sta imperversando sul web disturbando i computer delle società e quelli ad uso domestico e facendo crescere i timori di più potenti ondate future.

Il virus, che ha fatto la sua comparsa nel fine settimana, ha già infettato, secondo alcune stime, oltre un milione di pc ed ha messo ko i sistemi informatici nelle banche, quelli per la prenotazione di mezzi di trasporto e negli uffici della Commissione Europea.

A differenza dei precedenti virus sul web, Sasser infetta i pc esposti automaticamente, senza che l'utente apra gli allegati, e diffondendosi molto rapidamente.

Gli utenti privati probabilmente si accorgeranno dell'infezione se il proprio computer andrà misteriosamente in reboot e la connessione ad internet apparirà drammaticamente lenta.

A causa della sua natura, gli esperti di sicurezza stanno avvertendo gli utenti di aggiornare il pc con le più recenti "patch", software messi a punto da Microsoft contro le infezioni, e installare sistemi di sicurezza per escludere quelle future.

Gli esperti di sicurezza stanno analizzando il virus per stabilire dove potrebbe colpire ancora Sasser.

"Non sappiamo ancora, per esempio, se attaccherà le macchine che usano Windows XP Embedded, in particolare gli sportelli bancomat e i registratori di cassa. Sarebbe disastroso per banche e commercianti", ha dichiarato Raimund Genes, presidente europeo dei Trend Micro, società di software per la sicurezza.

Nel giro di tre giorni, si sono sviluppate ben quattro varianti del virus, ciascuna capace di far andare in reboot senza preavviso, le macchine con Windows di Microsoft, che opera con sistemi operativi come XP, NT e 2000 e di mettere fuori combattimento i sistemi di prenotazione di alcuni pc.

Giorgius
04-05-2004, 14.47.11
http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/images_site/wwdc.jpg

Download:
http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/tools/wwdc.exe

Info:
http://perso.wanadoo.fr/jugesoftware/firewallleaktester/eng/wwdc.htm

Giorgius
05-05-2004, 00.06.19
(ANSA) - ROMA, 4 MAG - E' l'Europa la piu' bersagliata dagli attacchi sferrati dal nuovo baco informatico Sasser. Oggi gli attacchi sembrano diminuire ovunque, anche in Italia, probabilmente perche' molti hanno provveduto ad adottare le protezioni, scaricando le nuove patch e aggiornando i programmi antivirus. Di sicuro il baco ha creato serissimi problemi al sistema ferroviario di Sydney, a numerose banche in Scandinavia e in alcuni uffici europei di Bruxelles.

Giorgius
05-05-2004, 11.34.16
http://www.bostonphoenix.com/archive/features/99/12/30/image/Microsoft.gif

(ASCA) - Roma, 5 mag - In merito alla diffusione del virus Sasser, Microsoft raccomanda ai propri utenti di attenersi alle seguenti procedure per impedire che il virus, bloccando l'accesso a Internet, renda impossibile scaricare e installare sul proprio Pc la patch MS04-011. Nei computer vulnerabili il worm puo' provocare il blocco di LSASS.EXE, che provoca l'arresto del sistema operativo entro 60 secondi. In Windows Xp e' possibile impedire l'arresto del sistema utilizzando il comando predefinito ''shutdown.exe -a'', mentre in Windows 2000 l'arresto non puo' essere evitato. Nei sistemi Windows 2000 e' possibile impedire il blocco di LSASS.EXE, e il conseguente riavvio del sistema operativo, scollegando il cavo di rete o disattivando la scheda di rete e quindi effettuando una delle seguenti operazioni per impedire al worm di bloccare LSASS.EXE: create un file di sola lettura denominato %systemroot%debugdcpromo.log, immettendo il seguente comando: echo dcpromo >%systemroot%debugdcpromo.log & attrib +r %systemroot%debugdcpromo.log (questa e' la soluzione temporanea piu' efficace, poiche' elimina completamente gli effetti della vulnerabilita' impedendo l'esecuzione del codice interessato dal problema e funziona per tutti i pacchetti inviati a qualsiasi porta vulnerabile); l'alternativa e' attivare il filtro Tcp/Ip avanzato su tutte le schede di rete, per bloccare tutti i pacchetti Tcp non richiesti in ingresso; in questo caso occorre eseguire le seguenti operazioni: fate clic su Start, scegliete Esegui, digitate Control e premete INVIO; nel Pannello di controllo fate doppio clic sull'icona Rete e connessioni remote; fate clic con il pulsante destro del mouse sulla scheda connessa a Internet o alla rete colpita dal worm e scegliete Proprieta'; fate doppio clic su Protocollo Internet (Tcp/Ip); fate clic su Avanzate; passate alla scheda Opzioni; fate doppio clic su Filtro Tcp/Ip; selezionate la casella di controllo Attiva filtro Tcp/Ip (su tutte le schede); selezionate il pulsante di opzione Autorizza solo situato sopra Porte Tcp (NON aggiungete altre porte a questo elenco e NON selezionate il pulsante di opzione Autorizza solo situato sopra Porte Udp); fate clic su OK quattro volte e, quando viene richiesto se riavviare il sistema, scegliete Si' (affinche' le nuove impostazioni abbiano effetto e' necessario il riavvio). Esiste anche una terza soluzione che consente di bloccare qualsiasi tentativo di sfruttare la vulnerabilita' tramite il protocollo Tcp. Tuttavia, a differenza delle procedure descritte in precedenza, questa soluzione non impedisce ai pacchetti Udp appositamente predisposti di raggiungere le porte vulnerabili e non elimina completamente gli effetti della vulnerabilita'. L'operazione consiste nell'arrestare temporaneamente il servizio server immettendo il seguente comando: net stop server /y (questa tecnica consente di bloccare esclusivamente gli attacchi che sfruttano le porte Tcp 139 e 445). Se il computer infetto viene riconnesso alla rete, puo' provocare un sovraccarico della connessione di rete locale, impedendo completamente il download degli aggiornamenti. Per disattivare temporaneamente il worm e' possibile utilizzare Task Manager per arrestare i seguenti processi: tutti i processi il cui nome inizia con almeno quattro cifre e termina con ''_up.exe'', per esempio 12345_up.exe; tutti i processi il cui nome inizia con avserve, ad esempio avserve.exe o avserve2.exe; tutti i processi di nome skynetave.exe. Dopo l'arresto di tutti i processi del worm, dovrebbe essere possibile scaricare l'aggiornamento per la protezione (www.microsoft.com/italy/security/security_bulletins/200404_windows.mspx) www.microsoft.com/italy/security/security_bulletins/200404_windows.mspx) www.microsoft.com/italy/security/security_bulletins/200404_windows.mspx)

Giorgius
05-05-2004, 11.53.29
http://cnews.canoe.ca/CNEWS/World/2004/05/03/virus3.jpg

TAIPEI, Taiwan (AP) -- The fast-spreading Sasser worm ravaged 1,600 computers in Taiwan's postal service and infected hundreds more in Hong Kong, but the virus-like global attack might have been temporarily delayed Tuesday in other parts of Asia as companies and homes left their computers switched off during long holidays...

Leggi:
http://cnews.canoe.ca/CNEWS/World/2004/05/03/445837-ap.html

Giorgius
05-05-2004, 14.10.25
http://www.eakles.com/117temper1.gif

LONDRA (Reuters) - Gli esperti della sicurezza hanno iniziato una serrata ricerca oggi per provare a rintracciare gli autori di "Sasser", il tenace virus di computer che potrebbe infettare milioni di macchine prima di finire la sua corsa.

Da quando è apparso nel fine settimana, il baco ha danneggiato decine di migliaia di pc che utilizzano i sistemi operativi di Microsoft Windows 2000, NT e XP, anche se la sua diffusione dovrebbe rallentare in contemporanea al download da parte degli utenti di una patch anti-virus.

Gli utenti domestici, aziendali e anche le agenzie governative in tutta Europa, Nord America e Asia sono stati colpiti. Una volta infettati, i pc fanno continui reboots senza avvertimento mentre il programma va a caccia di ulteriori macchine da infettare.

Microsoft ha annunciato oggi di non aver ancora preso alcuna decisione sulla taglia per avere informazioni che possano portare all'arresto dell'autore di Sasser.

Negli ultimi sei mesi, il gigante del software ha offerto tre taglie diverse da 250mila dollari per precedenti infezioni, ma fino ad ora senza risultati.

Microsoft ha detto di stare lavorando con le forze dell'ordine americane, compresi il Federal Bureau of Investigation, per catturare i colpevoli.

"Stanno analizzando i codici che possono aiutare ad identificare e consegnare alla giustizia i responsabili di questo", ha detto oggi una portavoce di Microsoft.

http://www.eakles.com/117toilet1.gif

UN MONDO DI BACHI E VIRUS

Sasser ha già attirato l'attenzione di un oscuro mondo malavitoso dei computer, che usa le ultime tecnologie per commettere cirimini che vanno dalla frode all'estorsione.

La polizia ha spiegato che gruppi e criminali, molti dei quali si pensa operino nell'Europa dell'est, hanno elaborato una serie di virus per computer e bachi capaci di prendere il controllo dei pc.

Spesso, l'obiettivo è lanciare una serie di attacchi digitali alle aziende che lavorano sul Web o inondarle con e-mail spam per comprometterne la funzionalità dei server.

Ma a causa della natura distruttiva di Sasser, i tecnici anti-virus non sono d'accordo con i motivi e l'identità dei suoi autori.

La teoria principale sostiene che il suo creatore faccia parte di un gruppo russo chiamato "Skynet anti-virus group", la stessa gang a cui si imputa anche il baco Netsky.

Un messaggio trovato nel codice di una recente variante di Netsky rivendica la responsabilità di Sasser, dicono gli esperti.

"Non ci sono prove al 100%, ma sembra esserci un legame tra i due", ha detto Graham Cluley, consulente della società Sophos Anti-Virus.

Si pensa che la mente di Netsky stia ammassando un esercito di computer compromessi che possono innescare nuovi attacchi, dicono ancora gli esperti.

I motivi che si celano dietro a Sasser però restano ancora indefiniti. "Con Sasser, l'autore sembra mostrare la sua capacità con i codici, ma io non ho idea di quale motivo abbia", ha spiegato Raimund Genes, presidente europeo dell'azienda anti-virus Trend Micro.

Giorgius
05-05-2004, 14.15.39
(ASCA) - Roma, 5 mag - Mcafee Avert (Anti Virus Emergency Response Team), la divisione di ricerca antivirus di Network Associates, ha elevato la valutazione di rischio a media per il virus W32/Sasser.worm.d., conosciuto anche come Sasser.d. Sasser.d e' la quarta variante auto-eseguibile della famiglia Sasser che sfrutta la vulnerabilita' Microsoft MS04-011 annunciata da Microsoft lo scorso aprile. Mcafee Avert ha elevato la valutazione di rischio a causa della sua diffusione e alla sua capacita' di diffondersi senza il supporto dell'e-mail, che e' stato il principale veicolo di diffusione per la maggior parte dei worm identificati della famiglia Sasser. Questo nuovo worm e' un programma auto-eseguibile che si propaga tramite la scansione degli indirizzi Ip casuali dei sistemi vulnerabili. Fino a oggi Mcafee Avert ha ricevuto parecchi rapporti del worm che ha bloccato o che ha infettato gli utenti in parecchi paesi, la maggior parte dei rapporti proviene dagli Stati Uniti e dall'Europa. Sasser.d si sta propagando velocemente, ma non e' realmente differente dalle altre varianti. Per quanto riguarda la diffusione del worm, i report segnalati ai laboratori provengono principalmente da Sasser.a e da Sasser.b. Il totale delle infezioni e' finora di 1 milione per tutte le varianti. Alcuni rapporti dalla Germania indicano in 300.000 le macchine infettate (dati Deutsche Post). I dati specifici di Mcafee.com danno le seguenti infezioni: 6.500 per la variante a, 9.500 per la variante b, 2.000 per la variante c e 1.000 per la variante d. Il numero delle infezioni e' di gran lunga maggiore rispetto a Blaster che a questo punto contava 10.000 macchine infettate (clienti di Mcafee.com), mentre Sasser e' oltre 20.000. Il virus continua a diffondersi per la difficolta' di rimozione. Un utente domestico con un Pc infettato puo' rimuovere facilmente il virus, ma senza la patch non appena collegato a Internet infetta di nuovo la propria macchina con una delle varianti. Altre statistiche rilevate da Mcafee.com: la variante D ha infettato 1.000 Pc negli Stati Uniti, 450 in Europa (Spagna 8 per cento, Gran Bretagna 7 per cento, Francia 4 per cento, Germania 1,5 per cento, Italia 1,5 per cento, Olanda 1,5 per cento), 198 in Asia e Giappone (80 per cento delle infezioni in Asia); la variante B ha infettato 62.000 Pc negli Stati Uniti, 4.400 in Spagna, 200 in Francia, 1.600 in Germania, 400 in Italia, 1.200 in Turchia; gli utenti Mcafee.com infettati da una variante o dall'altra sono 65.000. Gli utenti colpiti sono principalmente utenti finali, che non hanno preso le misure A-V necessarie a differenza delle grandi aziende. A causa della mancanza di aggiornamento delle patch, gli utenti domestici sono destinati a subire ancora l'infezione. La mancanza di informazione e conoscenza della minaccia da parte degli utenti domestici, nonche' l'assenza di prevenzione, permettera' ai virus di espandersi. Ulteriori varianti si diffonderanno rapidamente. Il worm Sasser.d e' un worm auto-eseguibile che si propaga sfruttando la vulnerabilita' Microsoft MS04-011 (www.microsoft.com/technet/security/bulletin/MS04-011.mspx). Lo scopo primario del worm e' propagarsi su quante piu' macchine vulnerabili possibile sfruttando i sistemi Windows senza le patch piu' recenti, dando loro la capacita' di eseguirlo senza richiedere alcuna azione da parte dell'utente. Una volta attivato il worm si copia in una cartella della directory di sistema di Windows e aggiunge una chiave di registro che si avvia allo start-up del sistema. Sasser.d ha molte similitudini con le varianti precedenti, anche se Sasser.d si propaga con nomi di file diversi, invia pacchetti eco Icmp come modo per scoprire vittime potenziali e crea una shell remota sulla porta Tcp 9995. Dopo essere stato eseguito, Sasser.d esplora gli indirizzi Ip casuali sulla porta Tcp 445 dei sistemi infettati. Quando ne ha trovato uno, il worm sfrutta il sistema vulnerabile generando uno script ed eseguendolo. Questo script da' alla vittima individuata le istruzioni per scaricare ed eseguire il worm dall'host infettato. Poiche' il worm effettua la scansione di indirizzi Ip random, analizza le porte Tcp a partire dalla 1068. Inoltre funge da server Ftp sulla porta Tcp 5554 e genera una shell remota sulla porta Tcp 9996. Informazioni e cure immediate per questo worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo: http://vil.nai.com/vil/content/v_125012.htm. Mcafee Avert suggerisce ai propri utenti di aggiornare i sistemi con i file Dat 4357 per proteggersi contro tutte le attuali minacce.

Giorgius
05-05-2004, 15.11.15
http://i.cnn.net/cnn/interactive/tech/0405/gallery.worm.explainer/gallery.computer.virus.worm.jpg

(CNN) -- The fast-spreading computer worm Sasser has wreaked more havoc on computer users worldwide, affecting several businesses, banks and government offices, including Britain's Coastguard...

Leggi:
http://www.cnn.com/2004/TECH/internet/05/05/sasser.worm/index.html

ACuteGio
05-05-2004, 15.18.27
lanciando il prog. wwdc mi succede come nell'immagine, anche se non ho il blaster nel pc, antivir. ok e patch ok

ACuteGio
05-05-2004, 15.21.35
ops

Giorgius
05-05-2004, 15.47.22
Usa prima il "SafeXP", potrebbe essere anche il tuo Software AntiVirus che da un imput errato all'utility. ;)

Per caso utilizzi un programma P2P?

TheDoc
05-05-2004, 17.37.27
A me visualizza questo messaggio....
Che potrà mai essere? agli antivirus aggiornati e vari remover risulto "pulito":rolleyes:

Giorgius
05-05-2004, 18.08.36
La questione è sempre quella, usate dei programmi P2P nei vostri PC (Kazaa e soci vari)?

Giorgius
05-05-2004, 18.09.26
Roma, 5 mag. (Adnkronos Multimedia) - In tre giorni sono stati scaricati un milione e mezzo di tool per la rimozione del virus Sasser, messi a disposizione gratuitamente sul sito della Microsoft. E' la stessa compagnia di Redmond a rendere nota la cifra, specificando che contatti saranno destinati ad aumentare in quanto il worm ha infettato un numero consistente di computer in tutto il mondo. (Mak/Adnkronos)

TheDoc
05-05-2004, 18.48.04
Originariamente inviato da Giorgius
La questione è sempre quella, usate dei programmi P2P nei vostri PC (Kazaa e soci vari)?
si... overnet...:confused: :rolleyes:

NightMan
05-05-2004, 23.05.19
TGCom ha pubblicato la notizia, che gli autori di Sasser sono gli stessi di NetSky:
http://www.tgcom.it/ArticoloTgCom/articoli/29/articolo184129.shtml

Giorgius
06-05-2004, 08.51.35
Originariamente inviato da TheDoc

si... overnet...:confused: :rolleyes:

Guarda nei parametri di Overnet se puoi deviare i dati dalla porta 445 ad un'altra che ti suggerisce il programma. ;)

Non appena modificato, devi anche scollegarti dalla rete (Lan/Internet), come pure le pagine di IE6 devono essere completamente chiuse, poi operi con l'utility per diagnosticare o disabilitare le/la porte/a in oggetto degli attacchi su Winzozzo. ;)

Giorgius
06-05-2004, 09.10.00
Originariamente inviato da ssj
TGCom ha pubblicato la notizia, che gli autori di Sasser sono gli stessi di NetSky:
http://www.tgcom.it/ArticoloTgCom/articoli/29/articolo184129.shtml


I giornalisti si sono buttati a capofitto nella frase rilasciata dal Team che sta investigando sui responsabili del codice maligno.

In realtà è ancora solo una "supposizione", xchè non si ha ancora una certezza sul caso (vedi i precedenti Netsky e Bagle).

Di sicuro, potrebbe anche trattarsi di un sistema dimostrativo per "vendere" alla nuova criminalità internazionale o altri, un sistema software evoluto in grado di penetrare liberamente all'interno di determinati Server amministrativi (Banche, Società, Uffici governativi, etc.), collegando automaticamente i Pc infetti nella rete mondiale in un massiccio attacco informatico.

Giorgius
06-05-2004, 15.51.24
(ASCA) - Roma, 6 mag - La semplice gestione delle patch non e' sufficiente per proteggere le aziende dal worm Sasser. Questo e' l'allarme lanciato alle aziende italiane da Netiq. ''Le vulnerabilita' si verificano sempre e possono compromettere la produttivita', le vendite e la reputazione di un'azienda. Quindi, le aziende devono identificare e correggere costantemente i rischi di sistema per prevenire gli arresti del sistema e le prestazioni di rete insoddisfacenti. In tal caso, il processo e' in grado di attenuare i rischi quando si verificano delle falle'', si legge in un comunicato. ''Le aziende devono essere coscienti del fatto che le probabilita' di essere danneggiati dal baco aumentano proporzionalmente alla presenza on line, se non sono state installate le ultime versioni delle patch antivirus di Microsoft. Ma per salvaguardarsi contro falle critiche, non e' sufficiente una semplice patch'', afferma Michele Guglielmo, country manager di Netiq Italia e sales manager Sud Europa. ''La risposta delle aziende e' spesso una reazione impulsiva per ovviare alle vulnerabilita' del sistema alla comparsa di worm o virus - continua Guglielmo - ma, in realta', e' necessario un approccio preventivo che comprenda l'identificazione e la gestione delle vulnerabilita' attraverso l'implementazione di un processo strutturato di gestione del rischio''.

Giorgius
06-05-2004, 16.32.52
Sasser outbreak slowing down but bug still potent: security firm

http://us.news2.yimg.com/us.yimg.com/p/afp/20040506/capt.sge.npm82.060504072054.photo00.default-216x384.jpg

SINGAPORE (AFP) - The Sasser Internet worm that hit computers worldwide on the weekend is spreading at a slower rate but remains a danger, a global IT security firm said...

Leggi: http://story.news.yahoo.com/news?tmpl=story&ncid=1212&e=6&u=/afp/20040506/tc_afp/internet_virus_singapore&sid=96001018

rio2
07-05-2004, 00.25.26
che bello usare me :D:D:D

Giorgius
07-05-2004, 02.15.27
(ASCA) - Roma, 6 mag - Kaspersky Lab, societa' specializzata nello sviluppo di software per la sicurezza dei dati, ha annunciato una nuova versione della utility Clrav in grado di rimuovere l'infezione dovuta a Sasser. Si tratta di un tool per la rimozione dei virus disponibile gratuitamente all'indirizzo www.questar.it/download. Questo software agisce direttamente sulle copie del worm presenti nella memoria del Pc, le disattiva e cancella i file infetti dal disco rigido ripristinando il registro di sistema di Microsoft Windows e le funzionalita' della macchina.

Giorgius
07-05-2004, 14.29.53
http://www.thaicert.nectec.or.th/advisory/alert/sasser/sasser1.gif

http://www.thaicert.nectec.or.th/advisory/alert/sasser/sasser2.gif

http://www.thaicert.nectec.or.th/advisory/alert/sasser/sasser3.gif

Giorgius
08-05-2004, 10.38.25
BERLINO - Il presunto "padre" del virus informatico Sasser e' stato arrestato in Germania. Si tratta di un giovane di 18 anni. Il virus da lui inventato ha mandato in tilt i sistemi operativi di mezzo mondo. (Agr)

Leggi: http://news.bbc.co.uk/2/hi/europe/3695857.stm

:cool: (Y)

Giorgius
08-05-2004, 13.35.18
ALEMANIA.- Un joven de 18 años ha sido detenido en Alemania como presunto programador de Sasser, uno de los seis mayores virus informáticos de la Historia, según ha informado un portavoz de la policía criminal. Sasser ha infectado cientos de miles de ordenadores con sistemas operativos Windows 2000 y XP.

Según la revista "Der Spiegel", agentes de la policía y representantes de la fiscalía hicieron un registro de la residencia de los padres del joven, de la localidad de Waffensen (norte del país), el viernes en la noche.

El detenido también está bajo sospecha de haber desarrollado el virus "netsky.ac" que apareció en la red el martes por la noche.

El gusano 'Sasser' ganó fuerza el pasado lunes con la apertura de empresas y comercios y ya ha ocasionado un desbarajuste entre los usuarios individuales y las corporaciones.

Su peligrosidad radica en que, a diferencia de la mayoría de los virus, no necesita que el usuario abra en un archivo para activarse. Además, los expertos informáticos advierten de que el gusano es capaz de escanear automáticamente la Red en busca de los ordenadores que no tengan sus sistemas operativos al día.

Las nuevas versiones del gusano 'Sasser' se han extendido rápidamente por la Red, hasta el punto de que algunos expertos informáticos ya lo comparan con el temible virus 'MsBlast' ('Blaster'). - (AFP)

Giorgius
09-05-2004, 15.50.01
Il Thread si sposta qui. ;)
http://www.wintricks.it/forum/showthread.php?threadid=67494