Benvenuti su Eurologon

Login Utente

Non ricordo la password
15-12-2004

Come in passato anche quest'anno sono ricomparsi virus che sfruttano la corrispondenza natalizia per diffondersi.

In questi giorni abbiamo rilevato la diffusione di Zafi.d (o Erkez.D) presso alcuni dei nostri clienti.

I messaggi possono essere in varie lingue (incluso l'italiano) e simulano degli auguri natalizi:

* Happy.... ....Hollydays! *

:)

spesso segue la firma di qualcuno con cui si ha effettivamente avuto corrispondenza elettronica e per questo motivo i messaggi sono ancora più insidiosi.

Il subject del messaggio contiene normalmente le parole
"Merry Christmas!" o "Buon Natale!"
eventualmente camuffate da forward o da risposta e non necessariamente nella lingua del corpo del messaggio.

Il mittente come ormai consueto alla totalità dei virus è quasi sempre fittizio e recuperato dalla rubrica del computer infettato, quindi per tentare di individuarne la provenienza occorre analizzarne gli headers originali.

Il virus può colpire qualsiasi sistema windows e può diffondersi anche attraverso i noti software di file sharing peer-to-peer.

I piani hosting da noi offerti con sistema antivirus hanno, per il momento, individuato buona parte dei messaggi infetti marchiando il subject nel modo corretto (piani EASY ita) o eliminando il messaggio (piani EASY usa).

Per coloro che non dispongono di AV sul proprio piano hosting occorre:
- non aprire l'allegato del messaggio
- assicurarsi di avere un buon antivirus con l'ultimo aggiornamento disponibile con l'opzione per la scansione della posta in uscita attiva

In caso di infezione (PER UTENTI ESPERTI):
- aprire il file di registro (regedit da "Esegui" del menù avvio)
- aprire la chiave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
- sulla destra cercare e cancellare le chiavi: Wxp4 = "SYSTEMNorton Update.exe" ("SYSTEM" è il percorso della cartella di sistema di Windows che varia a seconda della versione di Windows o delle preferenze dell'utente)
- bloccare la porta 8181 con il proprio firewall
- cercare sul proprio PC dei file "winamp 5.7 new!.exe" o "ICQ 2005a new!.exe" nelle cartelle il cui nome comprenda i termini "share", "upload" o "music" e rimuoverli
oppure:
- scaricare il Removal Tool Symantec e seguire le relative istruzioni.

Per approfondimenti:

  • TREND MICRO
  • F-SECURE
  • SYMANTEC