Troj_Apost.A, un altro worm, per gradire

Dopo le invasioni di queste settimane c'è ancora qualcuno che mette in giro virus nati al solo scopo di intasare la rete. Non ci vuole molto a capire che questo è un worm, eppure le segnalazioni di diffusione si moltiplicano


Roma – Ieri Trend Micro, uno dei principali produttori di software antivirus, ha emesso una nota di attenzione per un nuovo worm che colpisce i sistemi Windows e che al momento è classificato come “rischio medio” ma che mette in evidenza come persino i virus meno “intelligenti” riescono ancora a farsi sentire in rete.

Il rischio rappresentato da Troj_Apost.A, secondo l’advisory di Trend Micro è medio, vale a dire una spanna sopra la gran parte dei worm che circolano in queste settimane. Questo significa comunque che la sua diffusione non ha toccato, perlomeno non ancora, il livello di massima attenzione.

Sul piano tecnico, il worm si presenta esattamente come tanti altri che in questi mesi si sono visti in rete: una email con un testo, in inglese, che invita ad aprire un allegato, rigorosamente infetto e sospetto, perché si tratta di un file.exe. Sono proprio queste caratteristiche a sorprendere, perché un virus “così esplicitamente virus” non avrebbe mai dovuto superare la soglia di basso rischio. Ma “Troj_Apost.A” dimostra che la rete è ancora ben lontana dal potersi proteggere dai codicilli aggressivi.

Come se non bastasse, questo worm manda la bellezza di quattro messaggi per ciascun destinatario trovato nella rubrica di Windows, rendendo ancora più facile a chi lo riceve capire che quella che arriva è un’email sospetta. Il contenuto del messaggio è:
“Please find attached file for your review
I look forward to hear from you again very soon.
Thank you.”

Il subject, invece, è “As per your request!”, e il nome del file infetto è “README.EXE”.

Una volta eseguito dall’utente che non abbia compreso di trovarsi di fronte ad un worm, questi fa partire un pulsante: “Urgent”. Se si clicca sul bottone appare un altro messaggio:

“WinZip SelfExtractor:Warning
CRC error:234#21″

A quel punto copia sè stesso in un file READ.EXE in tutti i driver locali e nella directory C:Windows. E modifica il registry per attivarsi al riavvio del sistema:

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun = Macrosoft c:windowsreadme.exe

HKEY_USERS.DEFAULTSoftwareMicrosoftWindows
CurrentVersionRun = Macrosoft c:windowsreadme.exe

Dopodiché si autoinvia agli indirizzi contenuti nella rubrica di Outlook del computer infetto, ripetendo l’operazione, come detto, per quattro volte.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    COME ELIMINARLO?
    VOLETE SAPERE COME ELIMINARLO DEFINITIVAMENTE???MANADTE UN E-MAIL SARETE SUBITO RISPOSTI!!!
  • Anonimo scrive:
    E installatevi Linux
    Basta prodotti Microsoft. Profumatamente pagati, profumatamente buggati. Io sono passato a Linux, e non me ne fotte più niente, fate anche voi come me. ABBASSO LA MICROSOFT!!!!!!!!!
  • Anonimo scrive:
    UN NUOVO VIRUS APPENA SCOPERTOOOO!!!!
    Attenzione, è stato scoperto un nuovo terribile virus che, a quanto sembra, ha già infettato circa il 90% dei sistemi Windows 95/98 e Windows 2000! Il virus si chiama UTONTO 1.0 e si diffonde ad una velocità incredibile: pare che dal momento in cui si installa il sistema operativo e si configuri una connessione a internet, non trascorrano che poche ore dall'automatica infezione del commputer. Il virus UTONTO 1.0, infatti, colpisce il cervello degli UTENTI e li spinge a cliccare su qualsiasi cosa che si muova, meglio se ha un bel paio di tette o un bel culo in mostra: a questo punto partono programmini che telefonano dall'altra parte del mondo, worm,troiani, viruz vari e qualsiasi altra amenità... Attenzione, non esiste un aggiornamento efficace di nessun software antivirus... L'unico rimedio, ad oggni, è NON ACCENDERE IL COMPUTER PRIMA DI AVER LETTO QUELLE TRE RIGHE DI MANUALE DOVE VIENE SPIEGATO CHE CLICCARE DI QUA E DI LA' PORTA ALLA DIFFUSIONE DEL VIRUS UTONTO 1.0. Forwadate questo messaggio a tutti e metteteci un paio di allegati .exe. Ciao!
  • Anonimo scrive:
    ma esiste un antivirus
    scaricabile dal web gratuitamente???grazie
  • Anonimo scrive:
    Curiosità sui PC con antivirus
    I pc dai quali ho rimosso il suddetto Sircam (ed altri meno str*nzi come Ethan) avevano tutti quanti (intendo dire proprio *tutti*) una qualche forma di protezione: Norton VirusShield, McaFee, SuperPowerMega Virus killer, ...).Ovviamente sono stati tutti infettati, spesso con conseguenze devastanti (visto che tutti di solito condividono "C:\", propagando SirCam a livelli inauditi sulle reti aziendali).Morale: Peter Norton è ricco come pochi, i PC sono sempre infetti. Non sarà il caso di spendere 1 ora di tempo per ISTRUIRE i dipendenti dell'azienda? Costa meno che comprare 20 licenze di Norton, permette di capire COME FUNZIONANO i virus, permette di IMPARARE qualcosa, EVITA di buttare via soldi.Saluti a tutti *click!*
    • Anonimo scrive:
      Re: Curiosità sui PC con antivirus

      Peter Norton è ricco come pochi...Si' ma piu' che altro per il DPR 318/99 della L. 325/2000 (che obbliga di fatto a installare un antivirus)
      Non sarà il caso di spendere 1 ora di tempo
      per ISTRUIRE i dipendenti dell'azienda? E' proprio vero. C'e' una pericolosa politica al risparmio nell'informatica in genere.
    • Anonimo scrive:
      Re: Curiosità sui PC con antivirus
      - Scritto da: Antivirus_useless
      Non sarà il caso di spendere 1 ora di tempo
      per ISTRUIRE i dipendenti dell'azienda?Tempo perso. Non ti ascoltano. Ho provato anche soluzioni piu' estreme: blocco totale degli allegati via mail. Dopo una settimana vengono a lamentarsi che vogliono lo sblocco. Oppure blocco delle workstation perche' possano usare solo il set di programmi autorizzati (ed altri diritti minimi): dopo una settimana vengono a lamentarsi.
  • Anonimo scrive:
    Diciamocelo....
    Nell'azienda per cui lavoro, tramite un firewall Unix e lo snort abilitato con le opzioni di FLEX-RESP sono riuscito a bloccare il passaggio di tale virus. Il tutto ovviamente gratis e con 2 righe di configurazione. Il fatto e' che nel mondo informatico regna l'ignoranza...Se le persone fossero un attimino piu' competenti, questi problemi si risolverebbero in 3 secondi. Il problema e' che primi fra tutti i provider, se nefregano della diffusione di questi virus...
    • Anonimo scrive:
      Re: Diciamocelo....
      - Scritto da: Anonimo
      Nell'azienda per cui lavoro, tramite un
      firewall Unix e lo snort abilitato con le
      opzioni di FLEX-RESP sono riuscito a
      bloccare il passaggio di tale virus. Il
      tutto ovviamente gratis e con
      2 righe di configurazione. Il fatto e' che
      nel mondo informatico regna l'ignoranza...
      Se le persone fossero un attimino piu'
      competenti,
      questi problemi si risolverebbero in 3
      secondi. Il problema e' che primi fra tutti
      i provider, se ne
      fregano della diffusione di questi virus...non è che il tuo provider è un winzozz ? lì anche un neonato da 7 anni può fare l'admin e con notevole risparmi (invece di 7 milioni al mese ad un nullafacente si danno tanti dolcetti)
    • Anonimo scrive:
      Re: Diciamocelo....

      secondi. Il problema e' che primi fra tutti
      i provider, se ne fregano della diffusione di
      questi virus... Magari sono pure contenti... i virus generano traffico.
  • Anonimo scrive:
    strano davvero...
    Mah, a me è arrivato questo virus, l'ho aperto per sbaglio ma nn è successo niente... proprio nn so com'è possibile... neanke l'antivirus me l'ha riconosciuto, ops vero, nn ho un antivirus, nn ce n'è bisogno, bah nn la capirò mai questa Debian GNU/Linux...
    • Anonimo scrive:
      Re: strano davvero...
      prova a usare windows vedrai che il virus funzionerà alla perfezione, magari aspetta il 16 ottobre ;-

    • Anonimo scrive:
      Re: strano davvero...
      se e' per questo.... ho lo stesso "problema " col mio simpaticissimo Mac..... non vuole prendere neanche un virussino.....- Scritto da: GREEN BERET
      Mah, a me è arrivato questo virus, l'ho
      aperto per sbaglio ma nn è successo
      niente... proprio nn so com'è possibile...
      neanke l'antivirus me l'ha riconosciuto, ops
      vero, nn ho un antivirus, nn ce n'è bisogno,
      bah nn la capirò mai questa Debian
      GNU/Linux...
      • Anonimo scrive:
        Re: strano davvero...
        Sia linux che il Mac sono molto poco diffusi tra gli utenti desktop ed e' solo per questo che esistono pochi virus per questi OS...semplicemente non c'e' mercato manco per i virus.
        • Anonimo scrive:
          Re: strano davvero...
          ...Ho dei dubbi sulla loro "poca diffusione"Il fatto che tu non usi uno di questi due SO non ne fa una ragione di scarsa diffusione...Di Mac e Linux c'e' ne sono piu' di quanto tu credi...- Scritto da: puah..
          Sia linux che il Mac sono molto poco diffusi
          tra gli utenti desktop ed e' solo per questo
          che esistono pochi virus per questi OS.

          ..semplicemente non c'e' mercato manco per i
          virus.
          • Anonimo scrive:
            Re: strano davvero...

            ...Ho dei dubbi sulla loro "poca diffusione"
            Il fatto che tu non usi uno di questi due
            SO non ne fa una ragione di scarsa
            diffusione...
            Di Mac e Linux c'e' ne sono piu' di quanto
            tu credi...

            il congiuntivo... questo sconosciuto...cmq linux e' dato al 3% Mac al 6-7%ciao
        • Anonimo scrive:
          Re: strano davvero...
          - Scritto da: puah..
          Sia linux che il Mac sono molto poco diffusi
          tra gli utenti desktop ed e' solo per questo
          che esistono pochi virus per questi OS.Errato!Negli ultimi anni il 90% dei virus che si sono diffusi guarda caso attaccavano in qualche modo SOLO le persone che avevano come client di postaOutlook!!! Io uso Eudora e non ho avuto questo tipo di problema. Il problema non sta' nel sistema operativo,ma nei client di posta.
          • Anonimo scrive:
            Re: strano davvero...

            Errato!
            Negli ultimi anni il 90% dei virus che si
            sono diffusi guarda caso attaccavano in
            qualche modo SOLO le persone che avevano
            come client di posta
            Outlook!!! e che aprono ogni allegato di ogni email,anche se proviene da sconosciuti.Ciao
          • Anonimo scrive:
            Re: strano davvero...
            - Scritto da: MaKs

            Errato!

            Negli ultimi anni il 90% dei virus che si

            sono diffusi guarda caso attaccavano in

            qualche modo SOLO le persone che avevano

            come client di posta

            Outlook!!!

            e che aprono ogni allegato di ogni email,
            anche se proviene da sconosciuti.
            MaKs, questo "svarione" non me loaspettavo da te ;-)Seppur non condividendo le tue opinioni sui SOti reputo informato.E' da parecchio che i worm utilizzano gli "adress book" per diffondersi.I messaggi arrivano quindi dapersone conosciute.Gli ultimi usano anche allegare file verie usare come subject e body testo reali di altrimessaggi.Non e' cosi' semplice capire se l'allegatoche ti arriva da un amico infetto e' pulitoo meno.Ciao
          • Anonimo scrive:
            Re: strano davvero...


            e che aprono ogni allegato di ogni email,

            anche se proviene da sconosciuti.



            MaKs, questo "svarione" non me lo
            aspettavo da te ;-)
            Seppur non condividendo le tue opinioni sui
            SO
            ti reputo informato.
            E' da parecchio che i worm utilizzano
            gli "adress book" per diffondersi.
            I messaggi arrivano quindi da
            persone conosciute.
            Gli ultimi usano anche allegare file veri
            e usare come subject e body testo reali di
            altri
            messaggi.

            Non e' cosi' semplice capire se l'allegato
            che ti arriva da un amico infetto e' pulito
            o meno.
            intendevo dire che aprono gli allegati con troppa leggerezza.Un file pippo.jpg.vbs dovrebbe mettere perlomeno sulla difensiva ;)Non negavo quanto hai detto tu, era solo una ulteriore precisazione, perche' a me non e' mai successo di diffondere virus, pur avendo usato a lungo outlook, poi abbandonato, perhe' troppo pesante per fare solo da e-mail client.Ciao
          • Anonimo scrive:
            Re: strano davvero...
            hai ragione da vendere: con win in 2 anni ke lo uso (ex "grosso" utente mac) nn ho mai preso virus, sia xke c sto attento sia xke nn uso outlook. oddio, il mio antivirus se faccio la scansione dell'HD una 50ina me ne trova, ma sono d quelli buoni ;).- Scritto da: Anonimo
            Negli ultimi anni il 90% dei virus che si
            sono diffusi guarda caso attaccavano in
            qualche modo SOLO le persone che avevano
            come client di posta
            Outlook!!! Io uso Eudora e non ho avuto
            questo tipo di problema. Il problema non
            sta' nel sistema operativo,ma nei client di
            posta.
    • Anonimo scrive:
      Re: strano davvero...
      ma sparati
    • Anonimo scrive:
      Re: strano davvero...
      sei più spiritoso di martufello.
    • Anonimo scrive:
      Re: strano davvero...
      Neppure il mio frullatore elettrico ne ha risentito.
Chiudi i commenti