News Item

View All News Items

Virus nascosto in false email Microsoft - sabato 24 maggio 2003 at 08:19
Il messaggio offre finti aggiornamenti di Windows
Virus nascosto in false email Microsoft
Ha già infettato i pc di 10 Paesi. La divisione italiana dell'azienda di Bill Gates ha presentato denuncia contro ignoti

MILANO - Dagli Stati Uniti all'Italia. Continua ad espandersi il virus informatico che si mimetizza come e-mail inviata apparentemente dalla Microsoft, per l'aggiornamento dei programmi Windows. Il virus arriva sui pc avendo come mittente «support@microsoft.com» e col breve testo «tutte le informazioni sono nel file accluso». Ma quando si apre l'allegato scatta il virus che si installa nella cartella Windows e comincia a frugare negli indirizzi e-mail del proprietario, inviando lo stesso messaggio con il virus ai nomi trovati nell'agenda.

LA DENUNCIA - La Microsoft Italia ha presentato denuncia contro ignoti. Comunica la compagnia in una nota: «Microsoft non è il reale mittente del messaggio e gli allegati delle e-mail contengono un virus», avverte il comunicato. «Microsoft Italia sottolinea la sua completa estraneità all'invio di queste e-mail e a questo proposito ha presentato denuncia alla Polizia postale e delle telecomunicazioni di Milano».

COME NEUTRALIZZARLO - Il virus "w32/PalyhmàMM" è bloccato automaticamente dalle versioni di Microsoft Outlook (dal '98 in poi) che abbiano installato l'aggiornamento «Outlook Email Security Update», scrive la compagnia. Per maggiori informazioni sul virus è possibile consultare le apposite pagine nel sito www.microsoft.com.
Secondi gli esperti della Symantech Corp. il virus, del tipo worm, è destinato a spirare automaticamente il 30 maggio.
23 maggio 2003

Fonte: Corriere della Sera online

Vota il Sondaggio sull'Articolo 18


home page


Antivirus Bitdefender

Scarica il tool per rimuovere il virus

..........
Name: Win32.Sobig.B@mm (Palyh)
Aliases: Win32.Sobig.(A,B)@mm, Win32/Palyh.A@mm, Win32.HLLM.Ccn, W32.HLLW.Mankx@mm
Type: Executable Mass Mailer
Size: 52706 (packed)
Discovered: 18.05.2003
Detected: 18.05.2003
Spreading: High
Damage: Low
In The Wild: Yes

Symptoms:


Presence of following files in Windows folder:
msccn32.exe
hnks.ini

Presence of the process: msccn32.exe

Presence of registry key:
HKEY\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Tray = "msccn32.exe"

Presence of msccn32.exe in:
Windows\All Users\Start Menu\Programs\StartUp for Windows 9x
Documents and Settings\All Users\Start Menu\Programs\Startup for Windows 2000, XP
Technical description:
This mass mailer spreads itself via email, as an attatched file with one of the following names:
your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif

The email is fakely sent from support@microsoft.com, has "All information is in the attached file." in body, and the subject is one of the following:
Your details
Approved (Ref: 38446-263)
Re: Approved (Ref: 3394-65467)
Your password
Re: My details
Screensaver
Cool screensaver
Re: Movie
Re: My application

Once executed the malware copyes itself in %windows% (i.e. C:\WINNT) and gives control to that copy. It searches the whole hard disk for email addresses contained in files with the following extensions: wab, dbx, htm, html, eml, txt.

Starting with 31st of May 2003 the worm stops spreading but it still infects the machine where it is executed.
The virus has been renamed from Win32.Palyh.A@mm into Win32.SoBig.B@mm, as it belongs to the SoBig family.

Removal instructions:
manual removal: kill the process msccn32, delete msccn32.exe and hnks.ini from windows directory and from StartUp; after that remove this
key: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Tray"
automatic removal: let BitDefender disinfect or use the free removal tool provided by BitDefender!

Removal tool:
Download Removal Tool
.......
Virus analyzed by:
Ciubotariu Mircea
BitDefender Virus Researcher







Per inviare una tua notizia alla redazione, posta qui:

news per la redazione altomesima


Powered by Web Wiz Site News version 3.05
Copyright ©2001-2002 Web Wiz Guide