1 Discussione di Enrico

  • Da: Susa
  • Registrato: 26.09.2001
  • Messaggi: 1.068

Discussione: Altro virus....(penso!) :quest: {Sober}

Mi son arrivate sia a me, sia al lavoro, che a altri miei colleghi mail del genere:

**************************************************************

paolo.80@inwind.it
 
Preliminary investigation were s Inviato: 12/01/2004 21:50   

   

   
Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.

We hereby inform you that your computer was scanned under the IP 193.127.182.251 . The
contents of your computer were confiscated as an evidence, and you will be indicated.
In the next days, you'll get the charge in writing.
In the Reference code: #26808, are all files, that we found on your computer.

The sender address of this mail was masked, to protect us against mail bombs.


- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for "Illegal Internet Downloads", Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000


**********************************************************

Aveva un allegato......ovviamente non lo ho aperto, ma è ovvio che è una cazzzzzzzzaaaaaaaatttttttttaaaaaaaa.

Un'altra Mail:

*************************************************************

softwareparadiso@iol.it   posta indesiderata  salva   
umpa74@libero.it 
 
Attention: To all gamers Inviato: 12/01/2004 21:49   

   

   
More than 75.000 freeware games!!!

Genre:
-> 8500 online games = 3D Shooter, RPG, Action, Adventure, ...

non online games:
-> Action = 4200 games
-> 3D Shooter's = 7500 games
-> RPG's = 6800 games
-> Adventure's = 5400 games
-> ROM's for NES, SNES, PS1&2, GC ,GB, MD, SMS, .. = 29.000 ROM's
- others = 16900 games

all free!!

Download and enjoy


**********************************************************

Le ritengo tutte cag a t e , ovviamente....la parola a chi magari ne sa di più....CiauCiau!!!



:big_smile:  cool  :blush:  :tongue:  :evil:  :wink:  :clown:  :blackeye:  :8ball:  :angel:  :biglove:  :2love:  :eye:  :frog:  :frog:  :frog:

:beer:

Enrico's Website

2 Risposta di Alessandro

  • Da: Susa (TO)
  • Registrato: 24.02.2001
  • Messaggi: 2.650

Re: Altro virus....(penso!) :quest: {Sober}

Confermo quanto detto da Enrico.

Nel primo caso il "cattivo" fa leva sul senso di colpa che è tipico della natura umana. Siccome statisticamente quasi tutti gli utenti del web hanno almeno una volta nella vita scaricato ed installato qualcosa di illegale questo messaggio vorrebbe far credere che l'FBI lo sa.
NON E' VERO!!!
L'allegato è un virus e per la precisione un Worm chiamato Sober.C, prende tutti gli indirizzi e-mail che trova sul pc vittima e si autospedisce.

Nel secondo caso il "cattivo" usa un'altra tecnica per convincere la vittima ad eseguire l'allegato: offre una cosa gratis e senza rischi.
NON E' VERO!!!
Anche in questo caso il virus è lo stesso: Sober.C.

In questo momento sono un po' di corsa, appena possibile prometto una relazione dettagliata su questo virus e su come rimuoverlo per chi inavvertitamente avesse eseguito l'allegato.

Alessandro's Website

3 Risposta di Andrea

  • Da: Susa
  • Registrato: 26.02.2001
  • Messaggi: 520

Re: Altro virus....(penso!) :quest: {Sober}

Anche a me nei giorni scorsi è arrivato più volte codesto messaggio ma non l'ho neanche preso in considerazione, infatti l'ho cestinato direttamente senza pensarci due volte.

Andrea's Website

4 Risposta di francy

  • Da: Meana di Susa
  • Registrato: 07.01.2003
  • Messaggi: 217

Re: Altro virus....(penso!) :quest: {Sober}

Giusto per restare in tema in tema inserisco la segnalazione di un nuovo trojan tratta all'indirizzo http://www.guidainlinea.com/news/articolo.asp?id=76

Xombe: il trojan travestito da SP1

Si chiama Xombe il nuovo "cavallo di .Troia" che dovrebbe e potrebbe presto diffondersi in modo piuttosto massiccio sulla grande Rete.

Il nuovo codice si nasconde dietro il primo Service Pack per Windows XP.

Una mail proveniente dall'indirizzo windowsupdate@microsoft.comsegnala che il sistema Windows Update ha rilevato che sul PC dell'ignaro navigatore e' installata una versione BETA del SP1 e che l'aggiornamento potra' essere reso possibile attraverso l'allegato accompagnato dalla mail chiamato "winxp_sp1.exe".

Lanciata l'installazione, il trojan richiede che l'utente disattivi gli eventuali anti virus in uso.

A cura di Domenico Surace

Francy

5 Risposta di Alessandro

  • Da: Susa (TO)
  • Registrato: 24.02.2001
  • Messaggi: 2.650

Re: Altro virus....(penso!) :quest: {Sober}

Anche in questo caso come riportato nell'articolo il "cattivo" fa leva sulla scarsa dimestichezza degli utenti con i programmi e, ancora più importante, sull'autorevolezza della fonte.
NON E' VERO!
Prima di tutto non vengono effettuati controlli di quel tipo sui pc e tanto meno Microsoft invia patch e aggiornamenti via mail agli utenti.
La prima domanda che chi riceve questo messaggio dovrebbe porsi è: "Quando ho dato il mio indirizzo personale alla Microsoft?" Se la risposta è MAI il sospetto che ci sia qualcosa che non va dovrebbe cominciare a fare capolino.

Alessandro's Website

6 Risposta di francy

  • Da: Meana di Susa
  • Registrato: 07.01.2003
  • Messaggi: 217

Re: Altro virus....(penso!) :quest: {Sober}

Ho ricevuto nella casella postale della mia squadra la seguente email ...

Da: urp@parconazionaledelvesuvio.it
A: corpovolaibpiemonte@libero.it  :quest:   :quest:

Oggetto: You use illegal File Sharing ...
Inviata il: 17/01/2004 20:24

Testo:
Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.

We hereby inform you that your computer was scanned under the IP 172.234.30.131 . The
contents of your computer were confiscated as an evidence, and you will be indicated.
In the next days you will receive the charge in writing.
In the Reference code: #7458, are all files, that we found on your computer.

The sender address of this mail was masked, to protect us against mail bombs.


- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for "Illegal Internet Downloads", Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000

Allegato: refcode7458.exe

Naturalmente non l'ho aperta ... ma perchè è arrivato al mio indirizzo quando è indirizzato alla segreteria?????   :help:

Ciao a tutti!

Francy

7 Risposta di Andrea

  • Da: Susa
  • Registrato: 26.02.2001
  • Messaggi: 520

Re: Altro virus....(penso!) :quest: {Sober}

E' arrivata al tuo indirizzo perchè tu eri uno dei "tanti" destinatari nascosti, invece il corpo era il destinatario principale.
Comunque stai pur tranquillo visto che non hai aperto l'allegato

Andrea's Website

8 Risposta di Alessandro

  • Da: Susa (TO)
  • Registrato: 24.02.2001
  • Messaggi: 2.650

Re: Altro virus....(penso!) :quest: {Sober}

Probabilmente il mittente di questo messaggio ha in rubrica sia la segreteria del Corpo che l'AIB Meana. Come diceva Andrea uno è stato "scelto" come destinatario principale e tu e gli altri indirizzi che aveva in rubrica sono finiti nel destinatario nascosto.

Alessandro's Website

9 Risposta di Alessandro

  • Da: Susa (TO)
  • Registrato: 24.02.2001
  • Messaggi: 2.650

Re: Altro virus....(penso!) :quest: {Sober}

Considerate alcune richieste che mi sono pervenute via mail prometto che nel weekend scriverò due righe sul come toglierlo.

Alessandro's Website

10 Risposta di lelepanic

  • Registrato: 30.01.2004
  • Messaggi: 2

Re: Altro virus....(penso!) :quest: {Sober}

ciao e grazie per la risposta su come cancellare gli effetti del visur che arriva con il messaggio di "allerta" dell'FBI visto che sono uno dei tonti che ha aperto il messaggio dal comp dell'ufficio dove lavoro.
Inoltre vorrei fati una domanda: il virus attaccca  la rubrica del mio indirizzo di posta (tiscali) o quella di outlook dello studio in cui lavoro ????Per favore spiegami bene gli effetti del virus sul comp e come toglierlo tenendo presetne che ho installata l'ultima versione originale di windows 98 o 2000 professional!!!

Un'altra domanda (non sono un porco) sul mio comp è somparso un virus che si chiama _eros1.exe e nonostante io l'abbia disinstallato anche grazie alla funzione trova, ora è riappparso (tieni conto che quando appare mi si disconnette il comp. ma poi quando mi riconnetto il numero che viene composto è quello solito di tiscali!! GRAZIE








Alessandro ha scritto:

Considerate alcune richieste che mi sono pervenute via mail prometto che nel weekend scriverò due righe sul come toglierlo.

http://www.nasdaqpoint.com

http://www.nasdaqpoint.com

lelepanic's Website

11 Risposta di lelepanic

  • Registrato: 30.01.2004
  • Messaggi: 2

Re: Altro virus....(penso!) :quest: {Sober}

ciao ho scoperto oggi questo sito se puoi inviami la rispoesta su come cancellare il virus in un computer con windows 98 ultima versione o windows 2000 professional visto che il sottoscritto è uno di quelli che ha scaricato l'allegato sul computer del lavoro. inoltre spiegami bene quali sono gli erffetti sul somputer in questione. grazie il mio ind e mail è dot104@katamail.com

Alessandro ha scritto:

Confermo quanto detto da Enrico.

Nel primo caso il "cattivo" fa leva sul senso di colpa che è tipico della natura umana. Siccome statisticamente quasi tutti gli utenti del web hanno almeno una volta nella vita scaricato ed installato qualcosa di illegale questo messaggio vorrebbe far credere che l'FBI lo sa.
NON E' VERO!!!
L'allegato è un virus e per la precisione un Worm chiamato Sober.C, prende tutti gli indirizzi e-mail che trova sul pc vittima e si autospedisce.

Nel secondo caso il "cattivo" usa un'altra tecnica per convincere la vittima ad eseguire l'allegato: offre una cosa gratis e senza rischi.
NON E' VERO!!!
Anche in questo caso il virus è lo stesso: Sober.C.

In questo momento sono un po' di corsa, appena possibile prometto una relazione dettagliata su questo virus e su come rimuoverlo per chi inavvertitamente avesse eseguito l'allegato.

http://www.nasdaqpoint.com

http://www.nasdaqpoint.com

lelepanic's Website

12 Risposta di Alessandro

  • Da: Susa (TO)
  • Registrato: 24.02.2001
  • Messaggi: 2.650

Re: Altro virus....(penso!) :quest: {Sober}

Eccoci finalmente giunti all'epilogo (si spera) per questo virus.

Prima di tutto cerchiamo di conoscerlo meglio:
Sober è un virus che utilizza il proprio motore email per spedirsi a tutti gli indirizzi che riesce a trovare, il testo è scritto (per ora) in inglese o in tedesco e ovviamente contiene un allegato dal nome che può variare ma conserva una delle seguenti estensioni .bat, .com, .cmd, .exe, .pif o .scr.

1) Quando viene eseguito per prima cosa fa due copie di se stesso nella cartella di sistema utilizzando nomi casuali.

2) Successivamente comincia a cercare sul pc della vittima tutti gli indirizzi email che può trovare e li salva nel file Savesyss.dll posizionato anch'esso nella cartella di sistema.
ATTENZIONE: non solo cerca nelle varie rubriche dei client di posta ma controlla anche i file con le seguenti estensioni:
.htt,
.rtf,
.doc,
.xls,
.ini,
.mdb,
.txt,
.htm,
.html,
.wab,
.pst,
.fdb,
.cfg,
.ldb,
.eml,
.abc,
.ldif,
.nab,
.adp,
.mdw,
.mda,
.mde,
.ade,
.sln,
.dsw,
.dsp,
.vap,
.php,
.nsf,
.asp,
.shtml,
.shtm,
.dbx,
.hlp,
.mht,
.nfo.
Per intenderci se avete anche solo un file di testo con un indirizzo email scritto sopra lui lo troverà.

2) Fatto questo va a scrivere sul registro la chiave per potersi autoavviare quando la vittima accende il pc. La stringa sarà del tipo:
nome casuale = percorso del file del virus (ricordo per quanto detto sopra che anche il nome sarà casuale)
Le chiavi di registro interessate sono:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

3) La prima volta che viene attivato il virus presenta una finestrella col titolo "Microsoft" che segnala un errore del tipo: "NomedelFile has caused an unknown error. Stop: 00000010x18."

4) A questo punto si spedisce a tutti gli indirizzi che ha trovato utilizzando uno dei seguenti oggetti (evidenzio quelli che mi avete segnalato):
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...

e contiene un allegato che potrebbe essere uno dei seguenti (ma anche altri):
www_iq4you-german-test.com
www_freewantiv.com
www_free4share4you.com
www_onlinegamerspro-worm.com
www_freegames4you-gzone.com
www_anime4allfree.com
www_animepage43252.com
downloader.exe
yourmail.txt, .doc, .bat, .cmd, .pif, .scr, .exe, o .com
alledigis.txt o .doc

Gli indirizzi hanno il puntino ma l'ho tolto per non farli diventare dei link.

IMPORTANTE: le modifiche che fate al vostro pc sono a vostro rischio e pericolo, se non vi sentite sicuri chiedete ad un amico che se ne intenda o ad uno specialista.

Adesso che sappiamo tutto di lui possiamo toglierlo dal computer, i passi sono pochi e semplici:
1) Se utilizzate Windows ME o XP disabilitate il "System Restore"

Caso A - Avete un antivirus
A1) Se avete un antivirus aggiornate le definizioni
A2) Riavviate il computer in modalità provvisoria (Safe Mode) o VGA
A3) Effettuate una scansione completa del sistema e cancellate tutti i file che vengono riconosciuti come Sober
A4) Eliminate le modifiche al registro effettuate dal virus basandovi sui nomi dei file rilevati dalla scansione

Caso B - Non avete un antivirus
B1) Scaricate il tool gratuito da questo link http://securityresponse.symantec.com/av … xSober.exe (Si tratta del sito ufficiale Symantec)
B2) Riavviate il computer in modalità provvisoria (Safe Mode) o VGA
B3) Eseguite il file che avete scaricato.

Se tutto è filato liscio ora non avete più il virus.

Ringrazio il sito della Symantec da dove spesso attingo le informazioni e ovviamente rimango a disposizione per eventuali chiarimenti e ulteriori istruzioni sui passi da svolgere.

Se avete trovato utile questo messaggio tornate a trovarci e segnalatemi i virus che vi capita di incontrare.

Alessandro's Website