CTRL-ALT-CANC
LIRVA, IL WORM MUTANTE
Messaggio del 15-02-2003 alle ore 12:00:50
***** B U G B E A R ******
Bugbear e' senz'altro il piu' aggressivo e puo' colpire
qualsiasi sistema Windows. Si diffonde via posta elettronica ma anche attraverso la condivisione di file in rete, su sistemi di file-sharing o all'interno di reti domestiche e aziendali. E' un software malevolo capace
di registrare i pulsanti della tastiera premuti dall'utente (per rilevare password, ad esempio) e di inserire nel sistema colpito una backdoor, ovvero lasciare aperto un accesso al sistema privilegiato e nascosto per l'autore
del worm. In alcuni frangenti e' anche in grado di disabilitare i software antivirus e i firewall di sicurezza.
Il messaggio email con cui si diffonde Bugbear ha soggetto e nome di file allegato variabili e dunque di difficile identificazione, ma la dimensione dell'allegato infetto e' sempre uguale: 50.688 byte. Un dato da tenere presente per identificare il file aggressivo.
All'interno del sistema, Bugbear copia se' stesso nella cartelline di sistema di Windows, nei file di apertura di Windows, modifica i file di registro e inserisce una serie di librerie cifrate all'interno del computer.
Dopodiche' inserisce il software malevolo PWS.Hooker.Trojan capace di registrare i pulsanti premuti dall'utente sulla tastiera.
Il worm tenta a questo punto di impedire il funzionamento dei software di sicurezza e utilizza una propria funzionalita' per auto-inviarsi come allegato infetto di una email a tutti gli indirizzi che ha individuato nelle
rubriche residenti sul computer colpito.
Non contento, Bugbear continua la propria opera aprendo la porta 36794, una pericolosa backdoor di accesso attraverso la quale un aggressore esterno puo' operare sul computer con ampia liberta' di movimento, per cancellare file, copiarli e via dicendo. Il lavoro di Bugbear si conclude attraverso l'analisi dell'eventuale rete a cui e' connesso il computer infetto e il tentativo di auto-copiarsi in tutti i computer collegati ad essa.
Per proteggersi e' importante aggiornare le definizioni anti-virus.
Qualora si sia stati colpiti dal worm e' possibile ricorrere al tool di rimozione online del Symantec Security Response, disponibile gratuitamente qui:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
***** B U G B E A R ******
Bugbear e' senz'altro il piu' aggressivo e puo' colpire
qualsiasi sistema Windows. Si diffonde via posta elettronica ma anche attraverso la condivisione di file in rete, su sistemi di file-sharing o all'interno di reti domestiche e aziendali. E' un software malevolo capace
di registrare i pulsanti della tastiera premuti dall'utente (per rilevare password, ad esempio) e di inserire nel sistema colpito una backdoor, ovvero lasciare aperto un accesso al sistema privilegiato e nascosto per l'autore
del worm. In alcuni frangenti e' anche in grado di disabilitare i software antivirus e i firewall di sicurezza.
Il messaggio email con cui si diffonde Bugbear ha soggetto e nome di file allegato variabili e dunque di difficile identificazione, ma la dimensione dell'allegato infetto e' sempre uguale: 50.688 byte. Un dato da tenere presente per identificare il file aggressivo.
All'interno del sistema, Bugbear copia se' stesso nella cartelline di sistema di Windows, nei file di apertura di Windows, modifica i file di registro e inserisce una serie di librerie cifrate all'interno del computer.
Dopodiche' inserisce il software malevolo PWS.Hooker.Trojan capace di registrare i pulsanti premuti dall'utente sulla tastiera.
Il worm tenta a questo punto di impedire il funzionamento dei software di sicurezza e utilizza una propria funzionalita' per auto-inviarsi come allegato infetto di una email a tutti gli indirizzi che ha individuato nelle
rubriche residenti sul computer colpito.
Non contento, Bugbear continua la propria opera aprendo la porta 36794, una pericolosa backdoor di accesso attraverso la quale un aggressore esterno puo' operare sul computer con ampia liberta' di movimento, per cancellare file, copiarli e via dicendo. Il lavoro di Bugbear si conclude attraverso l'analisi dell'eventuale rete a cui e' connesso il computer infetto e il tentativo di auto-copiarsi in tutti i computer collegati ad essa.
Per proteggersi e' importante aggiornare le definizioni anti-virus.
Qualora si sia stati colpiti dal worm e' possibile ricorrere al tool di rimozione online del Symantec Security Response, disponibile gratuitamente qui:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Messaggio del 15-02-2003 alle ore 11:50:08
******** O P A S E R V **********
Opaserv è un worm “network-aware” cioè in grado di replicare se stesso all’interno delle condivisioni di rete attraverso un file eseguibile con nome “scrsvr.exe”.
Il worm tenta di scaricare dal sito www.opasoft.com degli aggiornamenti, anche se il sito è stato già chiuso.
Il worm controlla indirizzi IP all'interno di reti locali e altri intervalli di indirizzi IP scelti casualmente. Durante la scansione, il worm invia dei dati alla porta 137 (NETBIOS Name Service). Nel caso ottenga una replica da parte dell'indirizzo IP testato il worm controlla i dati ricevuti. Se sono presenti determinati valori, il worm comincia la sua routine di infezione attaccando il computer remoto. La routine di infezione invia all'indirizzo IP selezionato dei pacchetti SMB (Server Message Block) usando la porta 139 (NETBIOS Session Service), che hanno lo scopo di creare dei file nella cartella Windows del computer remoto.
I fattori che evidenziano l’infezione sono i seguenti:
• L’esistenza dei file scrsin.dat e scrsout.dat all’interno della cartella radice del disco logico C: indica una infezione locale (il worm è stato eseguito localmente e non attraverso un computer remoto)
• L’esistenza del file tmp.ini nella cartella radice del disco logico C: indica un’infezione da remoto (il worm è stato eseguito da remoto sulla macchina)
• La chiave di registro HKLM\Software\Microsoft\Windows\Current Version\Run contiene una stringa chiamata ScrSvr o ScrSvrOld che è impostata a “c:\tmp.ini”
Subito dopo l’esecuzione, Opaserv si comporta come segue:
1. cerca l’esistenza del valore “ScrSvrOld” nella chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Se il valore viene trovato si appresterà a rimuovere il file al quale si riferisce.
2. se il valore non esiste compie una ricerca alternativa sul valore ScrSvr nella chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Nel caso in cui nemmeno quest’ultimo valore venisse trovato il worm ne creerà uno sotto la medesima chiave con le seguenti caratteristiche: ScrSvr=%Windows%\ScrSvr.exe
3. controlla se è stato eseguito dal file %Windows%\ScrSvr.exe, in caso contrario copia se stesso usando questo nome nel valore ScrSvrOld all’interno della chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
4. dopo aver compiuto tutti i controlli del caso per assicurarsi una esecuzione efficace sulla macchina, verificherà se è attualmente in esecuzione attraverso la creazione di un Mutex (oggetto di sistema di Windows usato generalmente per la sincronizzazione) con il nome ScrSvr31415
5. se non è ancora in esecuzione, il worm registrerà se stesso come processo, nel caso in cui il sistema operativo della macchina ospite appartenga alla famiglia Windows 9x; se invece l’infezione è in atto su sistemi di tipo NT innalzerà la priorità del suo processo.
6. enumera la rete e cerca condivisioni aperte; all’interno di ogni condivisione trovata copia in C:\Windows\ il file scrsvr.exe.
7. modifica il file “c\windows\win.ini” inserendo il riferimento “run= c:\tmp.ini”
8. crea il file “c:\tmp.ini” che contiene il comando “run= c:\Windows\scrsvr.exe”
Il worm sembra in grado di aggiornarsi collegandosi a un particolare sito, il cui indirizzo è codificato all’interno del programma virale, scaricando il file “scrupd.exe” sulla macchina ospite.
******** O P A S E R V **********
Opaserv è un worm “network-aware” cioè in grado di replicare se stesso all’interno delle condivisioni di rete attraverso un file eseguibile con nome “scrsvr.exe”.
Il worm tenta di scaricare dal sito www.opasoft.com degli aggiornamenti, anche se il sito è stato già chiuso.
Il worm controlla indirizzi IP all'interno di reti locali e altri intervalli di indirizzi IP scelti casualmente. Durante la scansione, il worm invia dei dati alla porta 137 (NETBIOS Name Service). Nel caso ottenga una replica da parte dell'indirizzo IP testato il worm controlla i dati ricevuti. Se sono presenti determinati valori, il worm comincia la sua routine di infezione attaccando il computer remoto. La routine di infezione invia all'indirizzo IP selezionato dei pacchetti SMB (Server Message Block) usando la porta 139 (NETBIOS Session Service), che hanno lo scopo di creare dei file nella cartella Windows del computer remoto.
I fattori che evidenziano l’infezione sono i seguenti:
• L’esistenza dei file scrsin.dat e scrsout.dat all’interno della cartella radice del disco logico C: indica una infezione locale (il worm è stato eseguito localmente e non attraverso un computer remoto)
• L’esistenza del file tmp.ini nella cartella radice del disco logico C: indica un’infezione da remoto (il worm è stato eseguito da remoto sulla macchina)
• La chiave di registro HKLM\Software\Microsoft\Windows\Current Version\Run contiene una stringa chiamata ScrSvr o ScrSvrOld che è impostata a “c:\tmp.ini”
Subito dopo l’esecuzione, Opaserv si comporta come segue:
1. cerca l’esistenza del valore “ScrSvrOld” nella chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
Se il valore viene trovato si appresterà a rimuovere il file al quale si riferisce.
2. se il valore non esiste compie una ricerca alternativa sul valore ScrSvr nella chiave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Nel caso in cui nemmeno quest’ultimo valore venisse trovato il worm ne creerà uno sotto la medesima chiave con le seguenti caratteristiche: ScrSvr=%Windows%\ScrSvr.exe
3. controlla se è stato eseguito dal file %Windows%\ScrSvr.exe, in caso contrario copia se stesso usando questo nome nel valore ScrSvrOld all’interno della chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
4. dopo aver compiuto tutti i controlli del caso per assicurarsi una esecuzione efficace sulla macchina, verificherà se è attualmente in esecuzione attraverso la creazione di un Mutex (oggetto di sistema di Windows usato generalmente per la sincronizzazione) con il nome ScrSvr31415
5. se non è ancora in esecuzione, il worm registrerà se stesso come processo, nel caso in cui il sistema operativo della macchina ospite appartenga alla famiglia Windows 9x; se invece l’infezione è in atto su sistemi di tipo NT innalzerà la priorità del suo processo.
6. enumera la rete e cerca condivisioni aperte; all’interno di ogni condivisione trovata copia in C:\Windows\ il file scrsvr.exe.
7. modifica il file “c\windows\win.ini” inserendo il riferimento “run= c:\tmp.ini”
8. crea il file “c:\tmp.ini” che contiene il comando “run= c:\Windows\scrsvr.exe”
Il worm sembra in grado di aggiornarsi collegandosi a un particolare sito, il cui indirizzo è codificato all’interno del programma virale, scaricando il file “scrupd.exe” sulla macchina ospite.
Messaggio del 04-02-2003 alle ore 15:12:24
verissimo ho sentito in giro le stesse cose
verissimo ho sentito in giro le stesse cose
Messaggio del 31-01-2003 alle ore 13:47:49
avevo sentito qualcosa a proposito di avril, ma delle derivazioni non ero al corrente.
il vero virus tritapalle adesso cmq è l'opaserv
avevo sentito qualcosa a proposito di avril, ma delle derivazioni non ero al corrente.
il vero virus tritapalle adesso cmq è l'opaserv
Messaggio del 31-01-2003 alle ore 08:57:36
ma è vera sta cosa o ci stai a fregà fixx?
ma è vera sta cosa o ci stai a fregà fixx?
Messaggio del 25-01-2003 alle ore 15:59:53
Forse la prima versione non aveva fatto abbastanza
danni, per il suo creatore, quindi il worm Lirva ha
cominciato a diffondersi via mail anche nelle versioni Lirva.B e Lirva.C. All'inizio il virus ha usato la cantante Avril Lavigne (Lirva è il nome scritto al contrario) per spingere gli utenti email ad aprire gli allegati infetti.
Nelle versioni recenti ogni riferimento allla cantante è stato sostituito da una serie di altre possibilità.
Tra i subject, sono stati segnalati:
Re: Ha perduto qualque cosa signora?
Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purge's Statement
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS Transcriptions
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters - don't miss it!
Fwd: RFC-0841 Specification requested...
Fw: F. M. Dostoyevsky "Crime and Punishment"
Re: Junior Achievement.
Gli attach da tenere d'occhi sono Resume.exe;
ADialer.exe; MSO-Patch-0071.exe; MSO-Patch-0035.exe; Readme.exe; EntradoDePer.exe oppure SiamoDiTe.exe.
Come molti dei virus più recenti, anche Lirva intacca il computer anche senza un doppio clic. Tutto a causa di un punto debole dei programmi di posta che si dipendono da Internet Explorer, conosciuto come l'esecuzione automatica degli Embedded MIME type.
Ogni 7, 11 e 24 del mese il virus fa aprire
automaticamente il sito Avril-lavigne.com.
hehehehehehe
che figata!!!!
Forse la prima versione non aveva fatto abbastanza
danni, per il suo creatore, quindi il worm Lirva ha
cominciato a diffondersi via mail anche nelle versioni Lirva.B e Lirva.C. All'inizio il virus ha usato la cantante Avril Lavigne (Lirva è il nome scritto al contrario) per spingere gli utenti email ad aprire gli allegati infetti.
Nelle versioni recenti ogni riferimento allla cantante è stato sostituito da una serie di altre possibilità.
Tra i subject, sono stati segnalati:
Re: Ha perduto qualque cosa signora?
Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purge's Statement
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS Transcriptions
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters - don't miss it!
Fwd: RFC-0841 Specification requested...
Fw: F. M. Dostoyevsky "Crime and Punishment"
Re: Junior Achievement.
Gli attach da tenere d'occhi sono Resume.exe;
ADialer.exe; MSO-Patch-0071.exe; MSO-Patch-0035.exe; Readme.exe; EntradoDePer.exe oppure SiamoDiTe.exe.
Come molti dei virus più recenti, anche Lirva intacca il computer anche senza un doppio clic. Tutto a causa di un punto debole dei programmi di posta che si dipendono da Internet Explorer, conosciuto come l'esecuzione automatica degli Embedded MIME type.
Ogni 7, 11 e 24 del mese il virus fa aprire
automaticamente il sito Avril-lavigne.com.
hehehehehehe
che figata!!!! Nuova reply all'argomento:
LIRVA, IL WORM MUTANTE
Registrati
Mi so scurdate la password
Hai problemi ad effettuare il login?
segui le istruzioni qui