In arrivo nuovo virus

[pensiero]

INTERNET: IN ARRIVO UN NUOVO VIRUS
Internet: allarme rosso globale
per il nuovo «baco» informatico Sasser
Sarebbero 300 milioni i personal computer a rischio

3 maggio 2004

ROMA. Allarme rosso globale per il nuovo baco informatico Sasser. L'allarme, diffuso anche in Italia, riguarda in particolare la variante B di questo virus. Soltanto domenica, rende noto l'azienda specializzata in sicurezza informatica Trend Micro Italia, era stato diffuso un allarme
giallo, ossia di media entità, per la variante A ed è già stata segnalata la variante C. Problemi sono già stati segnalati in tutt'Italia.

L'allarme, secondo gli esperti, riguarda quindi l'intera famiglia di questo worm, che sembra espandersi particolarmente in America Latina. Alta la diffusione anche in Nord America, in molti Paesi asiatici e Europa, dove è diffuso dall'Olanda alla Grecia.

Una particolarità del worm Sasser è l'intervallo di tempo particolarmente breve trascorso tra la scoperta della vulnerabilità del sistema operativo sfruttata da questo virus e la sua effettiva creazione e diffusione.

Come gli altri worm in circolazione, Sasser si diffonde attraverso la posta elettronica e sfrutta la vulnerabilità di Windows chiamata «Local Security Authority Subsystem Service» (LSASS), che permette di eseguire codici remoti e perciò di controllare dall'esterno i sistemi infettati. Una vulnerabilità segnalata per la prima volta lo scorso 13 aprile e utilizzata, 16 giorni più tardi, dal worm Agobot. Il worm Blaster, diffuso nell'agosto 2003 era stato diffuso 26 giorni dalla scoperta
della vulnerabilità. «C'è una sempre maggior riduzione del margine di tempo fra la vulnerabilità e il suo sfruttamento», rilevano gli esperti della Trend Micro Italia.

Anche la capacità di controllare dall'esterno i sistemi infettati sembra decisamente superiore rispetto agli altri programmi informatici pericolosi in circolazione: sulla base dei dati relativi ad aprile 2004 la Trend Micro Italia rileva un aumento di questa capacità pari al 60%. Un cambiamento, questo, che potrebbe essere il risultato della crescita degli abbonamenti DSL e delle reti casalinghe, che possono essere
bersagli attraenti per scrittori di virus, hacker e spammer.


Sono 300 milioni in tutto il mondo i pc a rischio di essere colpiti dal baco informatico Sasser e la diffusione particolarmente intensa e veloce degli ultimi giorni, nonostante la giornata festiva del primo maggio, fa temere l'inizio di «un'altra epidemia di virus mondiale», secondo le
stime più aggiornate dell'azienda attiva nel settore della sicurezza informatica Panda Software.

Secondo gli esperti dell'azienda, è possibile che nuove varianti del virus compaiano nei prossimi giorni. «Sembra che si stia avvicinando un altro attacco simultaneo combinato di diverse varianti», ha osservato in una nota il responsabile di PandaLabs, Luis Corrons.

Al momento, ha proseguito Corrons, sulla base di quanto segnalato dagli utenti dell'azienda, «i danni maggiori sono stati procurati ai grandi parchi informatici, che nonostante aggiornino gli antivirus, continuano ad essere esposti agli attacchi fino a quando non installeranno la patch di Microsoft».

Anche dopo l'installazione della patch, ossia del programma che permette di risolvere la vulnerabilità del sistema sfruttata dal virus, il rischio di attacchi continua ad esistere per le aziende che hanno utenti in accesso remoto, che si connettono mediante le reti virtuali o che lavorano con il loro portatile senza protezione del firewall corporativo. «Gli utenti - ha rilevato l'esperto - possono essere colpiti senza
saperlo». L'unico segnale è che il computer si riavvia ogni volta che si connette a Internet. Gli utenti più esperti possono scoprire l'entrata che Sasser crea nel registro, ossia il file avserve.exe nella cartella di Windows o il processo avserve.exe in memoria. Si può anche notare un rallentamento generale del pc.

Secondo l'esperto, il comportamento di Sasser è simile a quello del worm Blaster, apparso lo scorso 10 agosto. Allora, però, trascorsero 26 giorni dal momento in cui venne pubblicata la vulnerabilità alla comparsa del virus. Nel caso di Sasser sono passati solo tre giorni dall'annuncio della vulnerabilità da parte della Microsoft. «Nei primi momenti dell'attacco, il giorno 11 di agosto, Blaster arrivò a colpire circa il 2,50% dei pc analizzati da Panda ActiveScan in tutto il mondo. La variante B di Sasser ha già raggiunto circa il 3% in 24 ore»,
ha osservato.

La prima cosa da fare per contrastare il worm Sasser è installare la patch della Micrososft, aggiornare la protezione antivirus e essere costantemente informati su nuovi eventuali allarmi.

[Shaytan (POL)]

----------------------------------------------------------------------
SalvaPC News - sicurezza per tutti N. 91 di lunedi' 3 maggio 2004

Supplemento a Punto Informatico
----------------------------------------------------------------------

PEGGIO DEL PREVISTO
-------------------

La diffusione di una nuova variante di Sasser, worm emerso nel weekend che ora intraprende nuove strade, viene segnalata in grande aumento in mezzo mondo, Italia compresa.
Gli osservatori antivirus, che posizionano a livello medio l'attenzione per il primo Sasser, hanno gia' elevato Sasser.B a livello di allerta elevata.

COME FUNZIONA
-------------

Sasser.B e' un worm insidioso capace di colpire WindowsXP, Windows2000 e Windows2003 Server sfruttando una vulnerabilita' di questi sistemi operativi di cui esiste da tempo la cura. Al contrario di altri worm, Sasser e Sasser.B si diffondono scansionando le reti a caccia di computer vulnerabili: se trovano una macchina che puo' essere attaccata l'attaccano subito e vi si installano.

Sasser.B non provoca guasti permanenti alle macchine in quanto il suo scopo e' prima di tutto quello di mandarle in crash spingendo il sistema operativo a riavviarsi piu' volte.

Sul piano tecnico, Sasser.B:
1 - modifica il registro di Windows per assicurarsi di essere avviato ad ogni riavvio del sistema operativo

2 - disabilita l'interfaccia di spegnimento del computer (Standby-Spegni-Riavvia) in modo da mascherare piu' facilmente le operazioni di riavvio del computer

3 - attiva un server FTP sulla porta TCP 5554, un'opzione che consente al worm di spedire se stesso ad altri computer vulnerabili

4 - sulla porta TCP 445, Sasser.B tenta di connettersi ad una serie di indirizzi IP casuali: se ci riesce allora invia del codice alla macchina contattata per spingerla ad attivare una shell sulla porta TCP 996, attraverso cui il computer si connette al server FTP della macchina infetta e scarica una copia del worm. Il suo nome e' composto da 4 o 5 caratteri seguiti da _up.exe

COME FERMARLO
-------------

Gli utenti dei sistemi operativi colpiti dovrebbero gia' avere aggiornato il proprio Windows ma chi non lo avesse fatto puo' procedere a partire dalla pagina Web messa a punto da Microsoft per descrivere e curare la vulnerabilita' sfruttata da Sasser e Sasser.B:
http://www.microsoft.com/technet/sec.../MS04-011.mspx

La stessa Microsoft ha messo a disposizione un sistema di scansione per vedere direttamente online se si e' colpiti da Sasser:
http://www.microsoft.com/security/incident/sasser.asp

E' FINITA QUI?
--------------

Da alcune ore gia' circola una versione C di Sasser che, come e' successo in passato, potrebbe provocare nuovi danni soprattutto se i computer vulnerabili non vengono sistemati immediatamente. E' dunque buona norma, dopo essersi accertati di non essere infetti, procedere subito all'installazione delle patch.

ULTERIORI INFORMAZIONI
----------------------

Tra i primi a fornire le informazioni piu' dettagliate sul funzionamento di Sasser.B c'e' Trend Micro che ha messo a disposizione una pagina web in inglese che propone anche alcuni consigli sulla rimozione del worm e sulla prevenzione dai suoi futuri assalti:
http://www.trendmicro.com/vinfo/viru...=WORM_SASSER.B

Il Symantec Security Response ha invece messo a disposizione un tool per la rimozione di Sasser.B:
http://securityresponse.symantec.com...oval.tool.html

Punto Informatico ha pubblicato nelle scorse ore un articolo sulla diffusione della prima variante di Sasser, disponibile qui:
http://punto-informatico.it/p.asp?i=48024

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

email: redazione@salvapc.com
Url: http://salvapc.com/
----------------------------------------------------------------------

[pensiero]

sta facendo strage....un macello son due giorni che praticamente si è impegnati solo con questo virus, anzi questi perchè ce n'è più di uno.....din...din...din....din....in un momento di calma ci voleva

[Il_Grigio]

Non è che abbia fatto poi tutti sti casini, il solito eccessivo allarmismo delle swhouse di antivirus.

[pensiero]

Originally posted by Il_Grigio
Non è che abbia fatto poi tutti sti casini, il solito eccessivo allarmismo delle swhouse di antivirus.

ah beh....non so in base a quali dati tu stia parlando.....noi tra assistenza telefonica e in sede c'è un bel daffare.....puntuale come un orologio non appena sta arrivando un pò di calma, il virus arriva

[Il_Grigio]

Originally posted by pensiero
ah beh....non so in base a quali dati tu stia parlando.....noi tra assistenza telefonica e in sede c'è un bel daffare.....puntuale come un orologio non appena sta arrivando un pò di calma, il virus arriva

Nei miei pc ho l'equivalente telematico di due profilattici in gomma vulcanizzata ed un paio di mutande di ghisa.....


Per ora tutto bene

[pensiero]

finiti i problemi con Sasser


Manette al creatore del virus informatico «Sasser»
è un giovane hacker tedesco, fresco di diploma
E' un giovane studente tedesco di 18 anni il creatore di «Sasser», il virus informatico che nel giro di pochi giorni ha infettato 18 milioni di computer in tutto il mondo, mandando in tilt i sistemi informativi di aziende, banche, compagnie aeree e uffici amministrativi. Il virus ha attaccato via internet i sistemi Windows 2000, Windows Server 2003 e Windows XP. Come ha detto la polizia, il giovane - arrestato ieri sera nella piccola località di Waffensen, presso Rotenburg, nel Land settentrionale della Bassa Sassonia - ha confessato oggi di essere stato lui a programmare «Sasser». Dopo l'interrogatorio, il giovane - ha detto il portavoce della polizia criminale della Bassa Sassonia, Detlef Ehrike - è stato rimesso in libertà. La sua identità non è stata resa nota: si sa che avrebbe da poco ottenuto il diploma in una scuola professionale, con l'intenzione tuttavia di proseguire gli studi nel campo informatico. Nell'interrogatorio il giovane avrebbe ammesso inoltre di aver elaborato prima di «Sasser» anche programmi antivirus. Sembra che le informazioni decisive che hanno portato sulle tracce del ragazzo tedesco siano arrivate dalla Microsoft, il cui capo Bill Gates aveva posto una «taglia» di 250 mila dollari sulla testa dell'untore. Alla multinazionale, ha detto il portavoce Sasha Hanke, è giunta una telefonata da parte di persone che affermavano di conoscere l'identità del responsabile. Sempre in Germania, nel Land meridionale del Baden- Wuerttemberg, è stato arrestato anche l'autore dell'altro virus informatico «Phatbot», un giovane di 21 anni che ha anch'egli confessato di aver creato il virus unitamente ad altri hackers di Baviera, Amburgo e Bassa Sassonia. Secondo la rivista «Spiegel», lo stesso creatore di «Sasser» sarebbe responsabile della programmazione dell'altro virus informatico, «Netsky.ac», propagatosi nella notte fra lunedì e martedì scorsi.

(08/05/2004)