W32.Sobig.F - Rischio 5 - Update
13:15 VIRUS: SOPHOS SEGNALA W32/SOBIG-F
(ASCA) - Roma, 19 ago - Un virus identity file (Ide) che fornisce protezione e' disponibile sul sito di Sophos e sara' incluso nella versione di ottobre 2003 (3.74) di Sophos Anti-Virus. Sophos ha ricevuto diverse segnalazioni su W32/Sobig-F, un worm costituito da un file a 32 bit. Questo worm e' anche noto come I-Worm.Sobig.f. Maggiori informazioni su W32/Sobig-F sono disponibili all'indirizzo http://www.sophos.com/virusinfo/anal...32sobigf.html. E' possibile scaricare il file Ide da www.sophos.com/downloads/ide/sobigf.ide. Per informazioni su come usare i file Ide: www.sophos.com/support/faqs/usingides.html. http://www.alerta-antivirus.es/virus....html?cod=2905 Aliases: W32/Sobig.f@MM (McAfee), W32.Sobig.F@mm (Symantec), W32/Sobig.F (Panda Software), W32/Sobig-F (Sophos), WORM_SOBIG.F (Trend Micro), Win32/Sobig.F (Enciclopedia Virus (Ontinent)), Win32.Sobig.F (Computer Associates), W32/Sobig.F@mm (Norman), W32/Sobig.F@MM (Hacksoft), I-Worm.Sobig.f (Kaspersky (viruslist.com)), Win32.Sobig.F@mm (Bit Defender), W32/Sobig.F@mm (PerAntivirus), WORM_SOBIG.F.DAM (Trend Micro), I-Worm.Sobig.f.txt (Kaspersky (viruslist.com)), I-Worm.Sobig.txt (Kaspersky (viruslist.com)), I-Worm.Sobig.f.txt_ (Kaspersky (viruslist.com)), I-Worm.Sobig.f.dam (Kaspersky (viruslist.com)) Effetti: This detection is for a new variant of W32/Sobig. In common with previous variants, the worm is written in MSVC, and bears the following characteristics: propagates via email, constructing outgoing messages with its own SMTP engine propagates over network shares Note: The worm carries garbage data appended to end of file, so exact filesize and file checksum may vary. Installation The worm copies itself onto the victim machine as: C:\WINNT\WINPPR32.EXE A configuration file is also dropped to %Windir%: C:\WINNT\WINSTT32.DAT The following Registry keys are added to hook system startup: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "TrayX" = C:\WINNT\WINPPR32.EXE /sinc Mail Propagation The worm mails itself to email addresses harvested from the victim machine, using its own SMTP engine to construct outgoing messages. Strings within the worm suggest outgoing messages are constructed as follows: Subject: Re: Thank you! Re: Details Re: Re: My details Re: Approved Re: Your application Re: Wicked screensaver Re: That movie Attachment: your_document.pif document_all.pif thank_you.pif your_details.pif details.pif document_9446.pif application.pif wicked_scr.scr movie0045.pif Body: See the attached file for details Please see the attached file for details The "From:" address may be spoofed with an address extracted from the victim machine. Therefore the perceived sender is most likely not a pointer to the infected user. Exact details concerning outgoing messages will be posted once analysis is complete. Contacting Remote NTP Servers The worm contains a list of IP addresses for remote NTP servers, to which it sends NTP packets (destination port 123). Info: http://www.hacksoft.com.pe/virus/w32_sobig_f.htm http://www.symantec.com/avcenter/ven...obig.f@mm.html http://www.norman.com/virus_info/w32_sobig_f_mm.shtml http://vil.mcafee.com/dispVirus.asp?virus_k=100561 http://www.pandasoftware.es/virus_in...&idvirus=40408 http://www.sophos.com/virusinfo/analyses/w32sobigf.html http://www.enciclopediavirus.com/vir...rus.php?id=515 Sistemi Operativi infettati: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP |
NOOOO, ma allora sta "saga" Sobig non avrà mai fine :crying: :crying:
|
Aggiornamento AntiVirus a Oggi 19.08.03 e attenzione al traffico dati nella porta "123" ;)(Y)
|
PandaSoftware sta rilevando una pericolosa impennata dalle 16:00 di oggi simile alle prime ore del Virus "Blaster.A"...
http://www.pandasoftware.com/virus_info/ Aggiornatevi in fretta (Update Antivirus) ;)(Y) |
Tool per rimuovere il Virus:
http://www.nod32.it/img/eye.jpg Lo trovate da scaricare nel Sito italiano di NOD32 http://www.nod32.it/home/home.htm ;)(Y) |
http://vil.nai.com/vil/images/logo_main.gif
E' stata rilasciata la nuova Release Stinger v1.8.4 Download: Mirror: http://download.nai.com/products/mca...rt/stinger.exe Rileva: This version of Stinger includes detection for all known variants, as of August 19, 2003: BackDoor-AQJ Bat/Mumu.worm Exploit-DcomRpc IPCScan IRC/Flood.ap IRC/Flood.bi IRC/Flood.cd NTServiceLoader PWS-Sincom W32/Bugbear@MM W32/Deborm.worm.gen W32/Dumaru@MM W32/Elkern.cav W32/Fizzer.gen@MM W32/FunLove W32/Klez W32/Lirva W32/Lovgate W32/Lovsan.worm W32/Mimail@MM W32/MoFei.worm W32/Mumu.b.worm W32/Nachi.worm W32/Nimda W32/Sdbot.worm.gen W32/SirCam@MM W32/Sobig W32/SQLSlammer.worm W32/Yaha@MM ;)(Y) |
McAfee assegna a Sobig.F un livello di pericolosità ELEVATO
Da pochi minuti McAfee.com ha innalzato il livello di pericolosità per Sobig.F portandolo a high risk. Più alto persino di Blaster/Lovsan!
azz... la cosa si fa seria :eek: |
:eek:
|
E' sempre a Rischio "4" . Non c'è per ora il Rischio "5" (epidemia) come il Blaster. ;)
18:43 VIRUS: SOPHOS, TOOL PER ELIMINARE SOBIG-F (ASCA) - Roma, 19 ago - I ricercatori di Sophos hanno sviluppato un tool che rileva ed elimina il worm W32/Sobig-F. Sophos ha gia' rilasciato un file Ide che fornisce protezione contro W32/Sobig-F. Questa nuova utilita' permette ad aziende e utenti domestici di assicurarsi in maniera semplice che le proprie reti siano pulite ed eventualmente eliminare i file infetti individuati. E' possibile scaricare il tool all'indirizzo www.sophos.com/misc/sobigsfx.exe. Per maggiori informazioni su Sobig-F: www.sophos.com/virusinfo/articles/sobigf.html e http://www.sophos.com/virusinfo/anal...32sobigf.html. |
Questo Virus sarà attivo fino al 09.09.03; il 10.09.03 si autodisattiverà... :rolleyes:
|
proprio ora me ne sono arrivate una decina, che c'è l'hanno con me perchè ho messo la news :D
|
io non l'ho ancora preso: strano :D
|
Io ne sto ricevendo almeno una al giorno, grazie anche ai filtri AntiSpamming e AntiTojan che ho installato da tempo. ;)
Altrimenti... :rolleyes: |
PandaSoftware sta rilevando un incremento della diffusione del Virus "Sobig" dalla scorsa notte...
http://www.pandasoftware.com/virus_i...ter/detail.htm |
Oggi pomeriggio, PandaSoftware (visti gli incrementi d'infezione in rete) a dato conferma che il livello Rischio è salito a "5" (epidemia). :(
|
Orario GMT +2. Ora sono le: 13.40.54. |
vBulletin 3.8.6 - Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.