Rachele e George Arlington (Massimiliano Giangaré)
Si tratta di :Bufale e Hoax
Appello non vero, trattasi di Bufala.
Oggetto: I: LEUCEMIA . Vi prego di farla girare > Priorità: Alta
Oggetto: I: LEUCEMIA . Vi prego di farla girare
Per favore leggete di seguito
Se la cestinerete davvero non avete cuore.
Salve, sono un padre di 29 anni. Io e mia moglie abbiamo avuto una vita
meravigliosa. Dio ci ha voluto benedire con una bellissima bambina.
Il nome di nostra figlia è Rachele. Ed ha 10 anni. Poco tempo fa i
dottori
hanno rilevato un cancro al cervello e nel suo piccolo corpo. C’è una
sola
via per salvarla è operare. Purtroppo, noi non abbiamo denaro
sufficiente
per far fronte al costo. AOL e ZDNET hanno acconsentito per aiutarci.
L’unico modo con il quale loro possono aiutarci è questo: Io invio
questa
email a voi e voi inviatela ad altre persone. AOL rileverà la traccia di
questa e-mail e calcolerà quante persone riceveranno. Ogni persona che
aprirà questa e-mail e la invierà ad altre persone ci donerà 32
centesimi.
Per favore aiutateci.
Con sincerità George Arlington, Barbara Varano Laboratorio di Virologia
Istituto di virologia V.le Regina Elena 299 00161 Roma, Italy Tel
39-06-49903170 Fax 39-06-49387184 Dr Fabrizio Bianchi 1° Ricercatore CNR
Sezione Epidemiologia Istituto di Fisiologia Clinica Consiglio Nazionale
delle Ricerche Area di Ricerca di San Cataldo Via Moruzzi,1 – 56127 PISA
(Italy) phone: +39-(0)50-3152100/1 fax: +39-(0)50-3152095
Massimiliano Giangaré cell. 328 9583457 Techno Quality Automation Srl -
Molfetta (Italy) Info:IT-
Questa e-mail è stata verificata in automatico prima dell’invio con i
seguenti programmmi antivirus: Norman virus engine, Trend virus engine,
Mcafee virus engine nessun virus attualmente conosciuto è stato
riscontrato.
Sulle tracce di MyDoom con Nmap
Si tratta di :Sicurezza
Sulle tracce di MyDoom con Nmap
di Maurizio Anconelli
Il ritardo con il quale è stata rilasciata la signature per MyDoom da parte della maggior parte di aziende produttrici di antivirus ha contribuito non poco alla vasta diffusione del worm. A causa di ciò, anche chi ha una rete monitorata da un sistema antivirus costantemente aggiornato si è trovato probabilmente alle prese con qualche istanza di questo simpatico bruco. Nonostante i vari programmi di monitoraggio su rete Microsoft, il buon vecchio Nmap su una stazione Linux si è dimostrato il migliore e più veloce strumento per scovare le stazioni infette in un dominio Windows 2000.
Una delle poche certezze nei primi attimi di allerta mondiale è stata la porta 3127 aperta sul sistema colpito. La pericolosità di una backdoor sempre in ascolto è ovvia ma avere una porta aperta ben definita può dimostrarsi un ottimo parametro segnalatore del virus, una specie di led rosso fra una marea di lucine verdi. Conoscendo le caratteristiche del bersaglio dobbiamo quindi scegliere uno strumento adeguato che ci permetta nel più breve tempo possibile il rilevamento dei sistemi colpiti, senza ovviamente correre rischi o aggravare la situazione.
La scelta della stazione di partenza ricade ovviamente su una Linux-box ben attrezzata, dalla quale è possibile muoversi nel sistema senza correre rischi. Nella prima risposta ad una infezione su sistemi Microsoft è, infatti, sempre consigliabile agire da una piattaforma differente, in modo da non incorrere negli stessi problemi dei sistemi colpiti. Lo scanner scelto non può essere che Nmap di Fyodor, presente praticamente in ogni distribuzione Linux, scaricabile comunque dal sito insecure.org .
Per controllare un singolo host lanciamo nmap con i seguenti parametri :
nmap -sS -T4 -p 3127 192.168.0.10
-sS sta per scansione SYN, -T4 è la velocità di scansione (la massima è 5), -p indica il numero della porta.
L’output sarà il seguente :
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-01-27 09:17 CET
Interesting ports on 192.168.0.10:
PORT—STATE—SERVICE
3127/tcp closed unknow
Lo stato della porta (closed in questo caso) ci dirà se il virus è presente o meno. Se il risultato fosse ‘open’ è conveniente eseguire uno spegnimento immediato della stazione colpita e procedere alla disinfezione manuale o attraverso i vari pacchetti di rimozione distribuiti dai produttori di antivirus.
Possiamo agevolmente scansire un’intera rete di pc col seguente comando:
nmap -sS -T4 -p 3127 192.168.0.0/24
Se la porta 3127 fosse già occupata il worm ne sceglie un’altra nel range 3128-3199, conviene quindi estendere la ricerca a queste porte:
nmap -sS -T4 -p 3127-3199 192.168.0.0/24
Evitiamo l’opzione -v (verbose) in modo da avere una visione immediata dello stato della porta.
Ok, neanche il tempo di divertirci con la prima versione che è già in pista Mydoom.B. Le porte scelte dalla mutazione del lombrico sono oltre alla 3127 : 80, 1080,3128,8080,10080. Possiamo semplicemente aggiungere le porte alla lista ma, se avessimo una sottorete di classe B con svariati server web e proxy in ascolto, come possiamo distinguere con immediatezza se il servizio in ascolto sia o meno il worm o un server appropriato?
E’ qui che entra in gioco una delle ultime funzionalità di Nmap: la scansione del servizio (Version Detection). Possiamo ora interrogare una porta aperta in modo da conoscere quale server la stia utilizzando. Tutto ciò grazie ad un database con le siganture di risposta della maggior parte dei servizi conosciuti. Il comando che ci serve è -sV.
nmap -sV -T4 -p 80,8080 192.168.0.1
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-01-27 09:17 CET
Interesting ports on 192.168.0.10:
PORT—-STATE—-SERVICE—VERSION
80/tcp open http Microsoft IIS webserver 5.0
8080/tcp open http-proxy Microsoft ISA Server http proxy
In questo caso nmap ha trovato le porte 80 e 8080 in ascolto e le ha interrogate in modo da conoscere il reale processo server che ha aperto il servizio, scoprendo così un server web IIS e il proxy di casa Microsoft ISA Server.
La versione finale della nostra stringa di ricerca sarà quindi il seguente:
nmap -sV -T4 -p 3127-3199,80,8080,1080,10080 192.168.0.0/24
Possiamo fare ancora meglio. Aggiungendo la signature del worm al database nmap-service-probes, sarà nmap stesso ad avvisarci della presenza del virus. Il file nmap-service-probes si trova nella directory /usr/local/share/nmap/ o /usr/share/nmap/ a seconda della distribuzione. Trovato il file aggiungiamo le seguenti righe (tutto ciò che è preceduto da # è un commento):
###### MyDoom ####### Probe TCP return-enter q|\n| ports 80,1080,3127,3128,8080,10080 match mydoom m/^\x04\x5b\x00\x00\x00\x00\x00\x00$/ v/original///
Attenzione alle tre barre rovesciate (///) finali che segnalano il termine della signature.
Exploits
Si tratta di :News
· Exploits si tratta di messaggi e-mail e non uso termini tecnici…
che sfuttano alcune falle dei più comuni client e-mail per diffondersi e
addirittura eseguire dei comandi sul computer della vittima.
Coloro che usano questo sistema sono persone perfide che usano le loro
conoscenze informatiche per danneggiare altri utenti.
Con questo tipo di hoaxes bisogna stare attenti perché soltanto un
utente esperto o meglio ancora un buon antivirus sono in grado di
bloccare.
Un esempio può essere il classico Trojan.BAT.FormatC.e e varianti che in
poche parole prendono in giro il sistema operativo e ad esempio un
file .bat bat.jpg (5882 byte)invece di avere la classica icona il
sistema visualizza questa jpg.jpg (8173 byte) quindi viene associata
l’icona di un immagine !!! chiaramente un utente poco esperto apre il
file e spesso fa partire comandi dos come ad esempio il format che
comporta la perdita totale dei dati.
Sonia_cabrilis msn Hotmail Bufala…
Si tratta di :Bufale e Hoax
SI TRATTA DI UNA BUFALA
Sta circolando in internet una nuova frode….Rubano la tua mail di Hotmail,
cambiano la password ed attraverso messenger e via mail contattano tutti i
tuoi amici, ovviamente spacciandosi per te, dicendo che hai grossi
problemi economici e che hai urgente bisogno che ti facciano un prestito
depositando dei soldi su uno specifico conto corrente oppure chiedono o un
numero di carta di credito o cose simili (RIPETO sempre spacciandosi per te)
Cambiando La password tu non hai modo di entrare nella mail ed avvisare i
tuoi contatti. Fai circolare questa mail per evitare che qualche tuo amico
caschi in questa truffa! E’ URGENTE!!!!! Di a tutti i tuoi amici che non
accettino come contatto Sonia_cabrilis di Hotmail perché è un virus che
formatta il tuo computer e se qualche tuo contatto lo accetta
automaticamente vieni infettato anche tu! Copia e incolla questa mail ed
inviala a tutti i tuoi contatti! BISOGNA FARE MOOOOOLTA ATTENZIONE!!! Come
se non bastasse, potresti ricevere una mail in presentazione Power point
chiamato “la vita es bella” (”la vita è bella”) che apparentemente è
inoffensiva ma se lo ricevi NON APRIRLO ASSOLUTAMENTE E CANCELLALO
IMMEDIATAMENTE!!!! Se questo file venisse aperto, sul monitor ti comparirà
un messaggio che dice “ora è troppo tardi, la vita non è più bella!”. Subito
dopo
perderai tutto ciò che hai nel PC ed il mittente del messaggio
avrà accesso al tuo computer al posto tuo, accesso alla mail e a tutto
quanto! Questo è un nuovo virus che ha iniziato a circolare nella rete da
sabato sera. Dobbiamo fare di tutto per bloccare questo nuovo virus! La UOL
ha già confermato la sua pericolosità ed i software antivirus non possono
fermarlo. Il virus è stato creato da un hacker che si autodefinisce “il
padrone della vita” ed il suo obbiettivo è di distruggere i PC domestici per
lottare contro la Microsoft. per questo usa l’estensione .pps
ARTICOLO CORRELATO
http://www.hoax.it/bufale/2008/08/21/non-accettare-il-contatto-msn-hotmail-messenger/
