Notizia Precedente
W32.Blaster Scanner
Notizia Successiva
LTWin Modem Drivers v8.30

Virus : W32/Spybot.worm.lz

Naviga SWZ: Home Page » News
News del 13 Agosto 03 Autore: Eymerich
Appena ieri abbiamo dato conto dell'arrivo di <a href= target=_blank>Lovsan</a>. Oggi vi comunichiamo che è stato identificato un altro worm con caratteristiche simili : infatti sfrutta la stessa vulnerabilità indicata nel bollettino <a href= target=_blank>MS03-26</a>. A differenza di Lovsan <b>colpisce anche Win95/98 e ME</b>, il che lascia presagire una ancor più larga diffusione. <b>Descrizione :</b> <b><font color=green>W32/Spybot.worm.lz</b></font> <i>alias</i> TrojanDropper.Win32.Small.bd (AVP) W32.Randex.E (Symantec) WORM_RPCSDBOT.A (Trend) Il worm attacca i sistemi vulnerabili predisponendoli al ricevimento ed esecuzione in locale. La macchina infettata contatterà un server IRC, permettendo a un attaccante di eseguire da remoto <u>qualsiasi azione ostile sul sistema</u>. <b>Sintomi principali :</b> <Li> Scambio dati sulla porta 6667 TCP <Li> <font color=blue><b>Presenza dei file <b>winlogin.exe</b> e <b>yuetyutr.dll</b> nella directory SYSTEM32 di Windows</b></font> <Li> Creazione delle seguenti chiavi nel registro di configurazione : <font size=1> - HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Runonce "winlogon" = winlogin.exe linuzguy unchained rage 1.1 MIRC CHAIN SCRIPT tateravo asdasd#$@#$#@ASFDASASFASFASASASDASASFASDFASDASSDA SOFTWARE - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run "NDplDeamon" = winlogin.exe - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run "winlogon" = winlogin.exe linuzguy unchained rage 1.1 MIRC CHAIN SCRIPT tateravo asdasd#$@#$#@ASFDASASFASFASASASDASASFASDFASDASSDA SOFTWARE - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion Winlogon "Shell" = explorer.exe winlogin.exe</font> Ai soliti ritardari rinnoviamo l'invito a scaricare immediatamente le patch da <a href= target=_blank>QUESTA PAGINA</a> per i sistemi operativi supportati. <b>Tools di rimozione :</b> <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://vil.nai.com/vil/stinger/ target=_blank>McAfee Stinger</a> <b>Per gli utenti di McAfee ViruScan : </b> Rilasciato il DAT 4285 : scaricare e installare subito. <img src=https://www.swzone.it/img/download.gif align=absmiddle> <a href=http://a64.g.akamai.net/7/64/2015/2003-08-13-11-14-59-300/download.nai.com/products/datfiles/4.x/nai/4285xdat.exe target=_blank>DAT 4285 13/8</a> 2,21 Mb <b>Rimozione manuale : </b> <img src=https://www.swzone.it/img/link.gif align=absmiddle> <a href=http://www.symantec.com/avcenter/venc/data/w32.randex.e.html target=_blank>Istruzioni (in inglese)</a> <b>Attenzione</b> E' stata già identificata una variante, <b>W32/Spybot.worm.md</b> I file responsabili sono : <Li>NSTASK32.EXE <Li>WINSOCK32DRV.DLL <font size=1>++ Ultimo aggiornamento del 15/8 h 16:25 ++</font>
13 - Commento/i sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

News Collegate