Ecco l'insetticida per Code Red II

Microsoft viene incontro agli amministratori di sistema e rilascia un tool che fa secco Code Red II eliminandone ogni traccia. Ma occhio: il programmino ignora le altre varianti del worm e non installa nessuna patch


Redmond (USA) – Mentre il famigerato worm Code Red II, di cui si è parlato su queste stesse pagine lo scorso martedì, sembra mantenere le nefaste promesse diffondendosi in tutto il mondo ad una velocità ben maggiore del suo predecessore, Microsoft rilascia un programmino per aiutare gli amministratori di sistema a “depurare” i loro sistemi dal brutto vermiciattolo.

Non è chiaro se il big di Redmond lo abbia sviluppato per ripulire i suoi sistemi – visto che, come riportato oggi , pare che fra le vittime si contino anche alcuni server di Hotmail – fatto sta che il programmino, chiamato Code Red Cleanup, si prefigge lo scopo di “eliminare gli evidenti effetti del worm Code Red II” e di aiutare gli esperti di sicurezza a frenarne la diffusione.

Il mangia-worm di Microsoft si incarica, una volta lanciato su di una macchina infetta, di cancellare i file maliziosi messi lì dal virus e di riportare alcune configurazioni di sistema al loro stato originario: fatto questo, un sano reboot assicurerà poi che Code Red II venga eliminato anche dalla memoria di sistema. Il tool offre anche un’opzione con cui disabilitare definitivamente Internet Information Server.

Microsoft sottolinea come il cleaner non installi la patch che mette fine alla vulnerabilità sfruttata da Code Red & Co. , dunque i sistemi ripuliti con questo tool non possono ritenersi al sicuro finché la falla non viene tappata. Non solo, ma nonostante il nome, il Code Red Cleanup ripulisce i sistemi solo da Code Red II, ignorando il worm originario e le sue varianti.

Nonostante questo tool sia stato chiesto a gran voce da molti amministratori di sistema, il CERT sostiene che il modo migliore per ripristinare i sistemi compromessi sia quello di riformattare il drive, reinstallare il software e applicare immediatamente tutte le patch del caso.

Il Code Red Cleanup può essere scaricato da qui .

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    sono stati RIDICOLI
    chi si potrà fidare dei servizi di microsoft, ora ?
  • Anonimo scrive:
    Beh, sono stati sinceri...
    Credo che domani andrò ad ammazzare gente a coltellate e poi ammetterò tutto alla polizia. Almeno... sarò sincero.Bye
    • Anonimo scrive:
      Re: Beh, sono stati sinceri...
      - Scritto da: senzatemp0
      Credo che domani andrò ad ammazzare gente a
      coltellate e poi ammetterò tutto alla
      polizia. Almeno... sarò sincero.
      ByeROFL :-)))))))))))))
  • Anonimo scrive:
    ne ho beccati 2, e sembrano 1° versione!
    Si è vero ne ho trovati due nel mio sistema di file infetti nella "temporary internet file". Per fortuna che vi leggo e che ho il norton anitvirus 2002 che mi aiuta :-)))))))))) (2002 si...ehheh)
    • Anonimo scrive:
      Re: ne ho beccati 2, e sembrano 1° versione!
      RedCode e` un worm che gira sui web server microsoft; non centra niente con i virus del tuo explorer :-)
  • Anonimo scrive:
    andranno in paradiso
    Il problema e' che pur avendo la soluzione, una organizzazione cosi' tecnologica e ricca e innovatrice non l'abbia applicata per tempo.Comunque sono stati sinceri e percio' saranno fatti santi e andranno in paradiso.Ciao a tutti.
  • Anonimo scrive:
    Hotmail assalito da Code Red
    Viva la sincerità!
    • Anonimo scrive:
      Re: Hotmail assalito da Code Red
      - Scritto da: Giobar
      Viva la sincerità!E viva i boccaloni!Alla faccia della sincerita',guarda che si sono traditi da soli."A few MSN Hotmail servers were affected by the Code Red worm virus"e poi"The two infected systems were a test system and a production system"A casa mia "a few" 2.Ssinceri solo per ammettere il minimodi quanto devono ammettere quando vengono "spu****ati" in pubblico.
  • Anonimo scrive:
    Sono stati sinceri...
    E' la prova che sono passati da BSD a Windows, no?Buffoni.
    • Anonimo scrive:
      Re: Sono stati sinceri...

      E' la prova che sono passati da BSD a
      Windows, no?Per la parte WEB si, la gestione del database degli EMail pare sia ancora in parte in mano a BSD.
    • Anonimo scrive:
      Re: Sono stati sinceri...
      Tsè....chissà se sono altrettanto stronzi quanto le persone interessate da questo bug su BSD:BUFFONI...he following security advisory is sent to the securiteam mailing list, and can be found at the SecuriTeam web site: http://www.securiteam.com FreeBSD Local Root (rfork, exec)------------------------------------------------------------------------SUMMARYThere is local root compromise in FreeBSD 4.3 due to design flaw that allows injecting signal handlers into other processes.DETAILSVulnerable systems:FreeBSD version 4.3The problem lies in the fact that the rfork(RFPROC|RFSIGSHARE) function shares signal handlers. If a child process does a exec() on a setuid program and then the parent sets a signal handler, the signal handler will be replicated to the child process. This allows the parent process to execute arbitrary commands with the privileges of the child process.Workaround/solution:As far as it is known, patches for this problem were committed for both -current and -stable.
      • Anonimo scrive:
        Re: Sono stati sinceri...
        - Scritto da: kerberos
        Tsè....chissà se sono altrettanto stronzi
        quanto le persone interessate da questo bug
        su BSD:

        BUFFONI...

        he following security advisory is sent to
        the securiteam mailing list, and can be
        found at the SecuriTeam web site:
        http://www.securiteam.com


        FreeBSD Local Root (rfork, exec)
        ---------------------------------------------


        SUMMARY

        There is local root compromise in FreeBSD
        4.3 due to design flaw that
        allows injecting signal handlers into other
        processes.1) il baco e' di 3 mesi fa, e prevede accesso locale in shell. Ben diverso da un exploit remoto come quello usato da code red.

        Workaround/solution:
        As far as it is known, patches for this
        problem were committed for both
        -current and -stable.le patch sono gia' disponibili. Btw, lo stesso baco c'era su Linux, ed e' stato patchato circa 1 mese prima dei bsd.
        • Anonimo scrive:
          Re: Sono stati sinceri...
          questa dunque è la prova ke il mondo Open Source si è subito mosso x tappare la falla usata da code red, M$ si è limitata a far uscire uno stupido programma che elimina SOLO code red II senza xò tappare il buco sfruttato, non so se ha ancora provveduto a far uscire patch xò questa cosa mi sembra mancanza di professionalità
          • Anonimo scrive:
            Re: Sono stati sinceri...
            Questa è la prova provata che parli senza sapere.La patch che tappa il buco è uscita da un pezzo, dal 18 giugno per essere precisi. (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-033.asp)Certamente da prima che fosse scritto Code Red I che si è fatto vedere per la prima volta un mese dopo (19 Luglio).Mi dispiace, ma sarebbe meglio per tutti che si abbassasero questi ton da da BarSport.- Scritto da: Paperinik
            questa dunque è la prova ke il mondo Open
            Source si è subito mosso x tappare la falla
            usata da code red, M$ si è limitata a far
            uscire uno stupido programma che elimina
            SOLO code red II senza xò tappare il buco
            sfruttato, non so se ha ancora provveduto a
            far uscire patch xò questa cosa mi sembra
            mancanza di professionalità
          • Anonimo scrive:
            Re: Sono stati sinceri...
            Va be', fatto sta che quella di Hotmail è un'odissea nella quale i Sysadmin devono lottare sino allo strenuo contro i dirigenti M$ per far si' che una fortezza di granito non venga sostituita con uno scatolo di cartone. E quando non ci riescono questi sono i risultati.Questa è "la prova provata" che per certi 'lavori' ci vuole la potenza di Unix/BSD/Linux. E spazio per i giocattoli non ce n'è.Punto.
          • Anonimo scrive:
            Re: Sono stati sinceri...
            Vedo che non hai scritto una opinione, a quanto pare è una Verità. Allora mi fermo.Come ti invidio!- Scritto da: -rj-
            Questa è "la prova provata" che per certi
            'lavori' ci vuole la potenza di
            Unix/BSD/Linux. E spazio per i giocattoli
            non ce n'è.
            Punto.
          • Anonimo scrive:
            Re: Sono stati sinceri...
            - Scritto da: Pix
            Questa è la prova provata che parli senza
            sapere.
            La patch che tappa il buco è uscita da un
            pezzo, dal 18 giugno per essere precisi.
            (http://www.microsoft.com/technet/treeview/de

            Certamente da prima che fosse scritto Code
            Red I che si è fatto vedere per la prima
            volta un mese dopo (19 Luglio).
            Scusa ma se era già uscita la patch e il buco era tappato com'è che code red è riuscito a far danno?
          • Anonimo scrive:
            Re: Sono stati sinceri...
            Scusa. La risposta è tanto banale che probabilmente la tua è solo una domanda retorica. Cmq, nel caso davvero tu mi stessi chiedendo quello che scrivi la risposta è: "Non tutti (direi pochi) hanno applicato la patch."
            Scusa ma se era già uscita la patch e il
            buco era tappato com'è che code red è
            riuscito a far danno?
          • Anonimo scrive:
            Re: Sono stati sinceri...


            Scusa ma se era già uscita la patch e il

            buco era tappato com'è che code red è

            riuscito a far danno?
            "Non tutti (direi pochi) hanno applicato la
            patch."vuoi forse dire che alla microsoft non hanno applicato la patch da loro stessirilasciata???P.S.La vogliamo smettere di quotare a rovesciocon la parte cronologicamente piu' vecchia messa in fondo e viceversa??? da che i bit sonobit si è sempre quotato mettendo le rispostesotto le domande, non il rovescio...a vuoi drogati di outlook dovrebbero proibirvidi usare la rete.
          • Anonimo scrive:
            Re: Sono stati sinceri...

            vuoi forse dire che alla microsoft non
            hanno applicato la patch da loro stessi
            rilasciata???Esatto. Ma questo c'era scritto anche nell'articolo.
            P.S.
            La vogliamo smettere di quotare a rovescio
            con la parte cronologicamente piu' vecchia
            messa in fondo e viceversa??? da che i bit
            sono
            bit si è sempre quotato mettendo le risposte
            sotto le domande, non il rovescio...

            a vuoi drogati di outlook dovrebbero
            proibirvi
            di usare la rete.Va bene cosi'? Mi perdoni sire,
Chiudi i commenti