[OT] virus (vero)
Hal1961
Non sara' mica che qualcuno si prende gli indirizzi dal ng e manda mail ?
Ho tenuto l' header del messaggio se puo' essere utile per fare il c??? al
mittente:
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
''''''''''''''''''''''''
Return-Path: <>
Received: from relay4.inwind.it (212.141.53.75) by cmail2new.csi (5.1.046)
id 3A24F660000BB3BD for aldoc...@inwind.it; Sun, 3 Dec 2000
12:27:58 +0100
Received: from xxxxxxxxxx (62.98.142.73) by relay4.inwind.it (5.1.046)
id 3A12695300224AD3 for aldoc...@inwind.it; Sun, 3 Dec 2000
12:27:58 +0100
Date: Sun, 3 Dec 2000 12:27:58 +0100 (added by postm...@inwind.it)
Message-ID: <3A126953...@relay4.inwind.it> (added by
postm...@inwind.it)
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEEJ05EVKHABSTY7OLYJGX6BC9IVODIR"
----VEEJ05EVKHABSTY7OLYJGX6BC9IVODIR
Content-Type: text/plain; charset="us-ascii"
----VEEJ05EVKHABSTY7OLYJGX6BC9IVODIR
Content-Type: application/octet-stream; name="BGCILKBG.EXE"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="BGCILKBG.EXE"
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
''''''''''''''''''''''''
Segue ovviamente l' allegato, che vi evito per ovvie ragioni, anche se l' ho
aggiunto al mio piccolo zoo di virus "in vitro".
Ciao
Aldo
Zanna
Hal1961 ha scritto nel messaggio <90dp8g$pdno$1...@ID-56381.news.dfncis.de>...
>E' arrivato anche a me il virus segnalato da Zanna il 28/11.
>
Proprio stassera me ne è arrito un altro.
Stesso sistema, stesso virus ma nome file differente.
Sta nascendo il sospetto (non solo a me) che qualcuno di questo NG è infetto
e a sua insaputa sta propagando la pestilenza.
Fatevi TUTTI un bel passaggio di antivirus!
Ciao
Assatarram
ci ha messo 15 minuti, la prognosi è ancora riservata
...
..
.
sono sano
--------------------------------------------
ASSA
http://web.tiscalinet.it/Assatarram
Napster: Assatarram3
it.comp.lang.visual-basic: Assatarram
--------------------------------------------
"Zanna" <zntf...@tin.it> ha scritto nel messaggio
news:aAxW5.2432$%_1.2...@twister1.tin.it...
pal
"Zanna" <zntf...@tin.it> ha scritto
> Hal1961 ha scritto
> >E' arrivato anche a me il virus segnalato da Zanna il 28/11.
> Proprio stassera me ne č arrito un altro.
> Stesso sistema, stesso virus ma nome file differente.
> Sta nascendo il sospetto (non solo a me) che qualcuno di questo NG č
infetto
> e a sua insaputa sta propagando la pestilenza.
> Fatevi TUTTI un bel passaggio di antivirus!
era in un allegato, no ?
mica ci staremo spedendo tutti degli allegati.
Zanna
pal ha scritto nel messaggio <90e984$s9c8$1...@ID-51318.news.dfncis.de>...
>era in un allegato, no ?
>mica ci staremo spedendo tutti degli allegati.
non hai capito: questo virus si auto-invia come allegato.
L'invio della mail infetta non è intenzionale!
Ciao
pal
"Zanna" <zntf...@tin.it> ha scritto
si'. una cosa del genere era capitata in una mailinglist, qualcuno aveva
infettato il pc di un prof universitario, ogni messaggio del quale era
sempre seguito da un altro contenente il virus (happy99 mi sembra). per puro
caso sono stato il primo a riceverlo, e sono riuscito ad avvertire la lista,
formata perlopiu' da persone che un pc non sanno bene cosa sia. ma per puro
caso.
intendevo: mica abbiamo tutti un tale volume di scambi email reciproci da
non riuscire a individuare almeno approssimativamente la provenienza. se tu
e hal l'avete ricevuto, senza dare all'untore, vi sarete gia' sentiti e
avrete controllato se c'era uno stesso probabile mittente, suppongo.
Zanna
>
>intendevo: mica abbiamo tutti un tale volume di scambi email reciproci da
>non riuscire a individuare almeno approssimativamente la provenienza. se tu
>e hal l'avete ricevuto, senza dare all'untore, vi sarete gia' sentiti e
>avrete controllato se c'era uno stesso probabile mittente, suppongo.
La provenienza è stata "nascosta".
Ho già inviato l'header dei messaggi alla tin (questa sera per la seconda
mail) ma non ho avuto risposte in merito alla provenienza.
Ciao
Hal1961
> La provenienza è stata "nascosta".
> Ho già inviato l'header dei messaggi alla tin (questa sera per la seconda
> mail) ma non ho avuto risposte in merito alla provenienza.
>
Anch' io ho mandato gli header a inwind ed anche ad un mio amico in divisa.
E, gia' che ci sono, riporto qui dopo la firma, per comodita' di tutti, la
descrizione del virus che ne fa la mcafee.
Ciao
Aldo
'''''''''''''''''''''''''''''
Virus Characteristics
This is an Internet worm which can be received by email. If run, this worm
modifies the WSOCK32.DLL file, after which, an attempt is made to mail a
copy of the worm to all mail recipients whenever email messages are sent
out.
AVERT cautions all users to delete unexpected attachments. W32/Hybris.gen@M
is sent unknowingly by the user.
This Internet worm downloads encypted update components from an Internet web
site, most likely it is the author's site. This worm downloads encrypted
components similar to the method first used by W95/Babylonia.
Symptoms
Mail recipients claiming they received an attachment from you when one was
never sent
Virus Name Risk Assessment
W32/Hybris.gen@M Medium
Virus Information
Discovery Date: 10/16/2000
Origin: South America
Length:
Type: Virus
SubType: Internet Worm
Minimum Dat: 4101
Minimum Engine: 4.0.50
DAT Release Date: 10/25/2000
Description Added: 11/01/2000
Method Of Infection
When this Internet worm is launched, it downloads a file named INDEX.TXT
from the hosting site. This file contains a list of additional files that
the worm is to also download for use. On November 13 2000, the site was
still operational and contained the following update component files:
HTTP.DAT
NEWS.DAT
ENCR.DAT
PR0N.DAT
SPIRALE.DAT
SUB7.DAT
DOSEXE.DAT
AVINET.DAT
As of November 20, 2000, the site hosting the virus was taken down, however,
the virus continues to download plugins from alt.comp.virus.
As of November 21, 2000, a new plugin is being distributed that will enable
W32/Hybris to infect PE files in a non-repairable way. The 4108 DAT set is
required to detect these infected files.
Executing the worm writes a modified version of the WSOCK32.DLL file to the
WINDOWS SYSTEM directory. This file goes by an extensionless filename made
up of 8 random characters. A line is created in the WININIT.INI file to
rename this, newly created, file to WSOCK32.DLL, thus overwriting the
original WSOCK32.DLL file. This change takes place the next time the system
is booted. The modified WSOCK32.DLL file attempts to mail a copy of the
worm, in the form of a .EXE or .SCR file, to all mail recipients whenever
email messages are sent out.
This Internet worm posts update details to a newsgroup named alt.comp.virus.
The message posts is a communication message to the running Internet worm on
hosts to perform self-updates.
The format of the newsgroup posted message is as follows:
anon.lcs.mit.edu!nym.alias.net!mail2news
Message-ID:
&amp;amp;amp;lt;2000111308052...@nym.alias.net&amp;amp;amp
;gt;
From:
Author-Address: anonymous anon lcs mit edu
Subject: http [44 character alpha code]
Mail-To-News-Contact: postm...@nym.alias.net
Organization: mail...@nym.alias.net
Newsgroups: alt.comp.virus
Lines: 46
KUWJGJWCVICGIWIWCZIWHCFXCHB [continues]....
[more coded lines]
[terminated by four asterisks]
****
Removal Instructions
Use specified engine and DAT files for detection and removal.
The WSOCK32.DLL file must be restored from backup. This can be done by:
Windows 98
- Click the START MENU|RUN, type SFC and click OK.
- Choose Extract one file from the installation disk
- Type C:\WINDOWS\SYSTEM\WSOCK32.DLL in the box and click Start.
- In the Restore from box type C:\WINDOWS\OPTIONS\CABS or browse to the
Win98 directory on your Windows98 CD-ROM
- Click OK and follow remaining prompts
Windows95
- Click the START MENU|SHUT DOWN choose RESTART IN MS-DOS MODE
- Type: EXTRACT /A C:\WINDOWS\OPTIONS\CABS\WIN95_11.CAB WSOCK32.DLL /L
C:\WINDOWS\SYSTEM
or
- Insert your Windows95 CD-ROM and type:
EXTRACT /A D:\WIN95\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM Where D:
is your CD-ROM drive
Variants
Name Type Sub Type Differences
no known variants
Aliases
Name
Hybris
I-Worm.Hybris
TROJ_HYBRIS.A
W32/Hybris.gen.dll@M
W32/Hybris.gen@M
W32/Hybris.plugin@M
Hal1961
adesso il netshield non mi dice nulla ...)
Return-Path: <>
Received: from relay4.inwind.it (212.141.53.75) by cmail2new.csi (5.1.046)
id 3A24F660000CAC2E for aldoc...@inwind.it; Sun, 3 Dec 2000
23:01:27 +0100
Received: from localhost (151.20.140.23) by relay4.inwind.it (5.1.046)
id 3A1269530024142F for aldoc...@inwind.it; Sun, 3 Dec 2000
23:01:27 +0100
Date: Sun, 3 Dec 2000 23:01:27 +0100 (added by postm...@inwind.it)
Message-ID: <3A126953...@relay4.inwind.it> (added by
postm...@inwind.it)
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEUBSLYZ"
----VEUBSLYZ
Content-Type: text/plain; charset="us-ascii"
----VEUBSLYZ
Content-Type: application/octet-stream; name="KLIPNLKL.EXE"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="KLIPNLKL.EXE"
Stracca
coloro che riceveranno mail provenienti da un pc chiamato stracust
(sono io)
Sob, ma il McAfee del 15 Nov non lo vedeva !!!
Ciaps
Stracca
Hal1961
"Stracca" <str...@senzadime.stracca.net> wrote in message
news:6eql2tk0i9hm6q34e...@4ax.com...
> Io mi sono infettato e mi sono pulito ... chiedo scusa in anticipo a
> coloro che riceveranno mail provenienti da un pc chiamato stracust
> (sono io)
Non e' che riesci a capire da dove l' hai preso ?
Ciao
Aldo
Stracca
da un'aggiornamento di driver della scheda video .. ci sono arrivato da
www.hwupgrade.it ma stavano su un'altro sito ora chiuso !!!!
Ho gia' segnalato
--
Ciaps
Stracca
---------------------------------------------
Le risposte alle tue domande le trovi
sul Sito Comune di questo NewsGroup:
http://www.murialdo.it/it_lang_vb
... e nell'help in linea !
---------------------------------------------
pal
"Hal1961" <aldoc...@inwind.it> ha scritto
> Appena ricevuto un altro (sara' mica il mio pc ad essere infetto ? per
> adesso il netshield non mi dice nulla ...)
coraggio...
sono stato a casa 5 gg. su 60 msg che mi sono ritrovato ora nella casella
dell'ufficio, ce n'erano tre -- ci metto su parti mie abbastanza importanti.
tutti e tre salvati come eml fanno 32k (32.2-32.5). mcafee negli eml non
vede niente di strano. i messaggi li ho buttati.
1.
[senza autore ne' subject]
Content-Disposition: attachment; filename="PKNCGMPK.EXE"
2.
From: Hahaha <hah...@sexyfun.net>
Subject: Snowhite and the Seven Dwarfs - The REAL story!
Content-Disposition: attachment; filename="dwarf4you.exe"
3.
From: Hahaha <hah...@sexyfun.net>
Subject: Branca de Neve pornô!
Content-Disposition: attachment; filename="atchim.exe"
carina soprattutto questa biancaneve in portoghese.
qualcuno che sa che mi piacciono le lingue (*) ? :))
(*) se qualcuno si azzarda a fare battutacce,
ramazzo su un po' di virus e glieli invio tutti,
informatici, influenzali e venerei :)))
GbC
Rischio di diventare cattivo.
---
GbC
---