Problemi di Connessione? Scrivete qui...

principino1984

spiegati un po' meglio... quel worm è sui pc degli utenti o sul server?

Totocellux

Marco, Leo, è proprio così, è un malware temibilissimo, e ciò che mi ha fatto pensare di più a una possibilità del genere, è che negli ultimi giorni ho cominciato ad avere difficoltà di accesso, della stessa tipologia, pian piano anche su molti altri siti, soprattutto su alcuni che so bene di non aver mai avuto problemi del genere.

La spiegazione, in sintesi, è che oltre ad attaccare pc singoli, è in grado di infettare o quantomeno, sovraccaricare anche dispositivi di rete quali router, proxy etc.

Leggendo quell'articolo di Mikko Hyppönen, uno dei più esperti al mondo per quanto riguarda la sicurezza di questo tipo, il team di creatori di Kido, ha registrato, e continua a farlo ad un ritmo impressionante, addiritura interi domini internet, per facilitare l'infezione.

Dopo aver letto le modalità di autoreplica, controllate tutti i vostri pc: uno dei sintomi è di trovare il file autorun.inf sulla radice delle partizioni dei nostri hd, pen drive etc.

Insomma, la situazione è tutt'altro che rosea.

Le085

se hai problemi di questo genere anche su altri siti allora ci sta tutto....però è strano il messaggio che dà in risposta...a volte addirittura database error...cmq essendo un worm c'è poco da stupirsi...

si potrebbe cmq provare a sentire foolix che di sicuro sarà meglio informato di noi sulla situazione e ci saprà dire se hanno ricevuto altre segnalazioni di questo genere

principino1984

porca vacca è alquanto terrificante questa cosa... e la cosa ancora più terrificante è che non ci si può far nulla per fermarlo o ho letto male?

Totocellux

stanno esattamente così le cose, Marco: individualmente non possiamo far altro che controllare singolarmente i nostri pc e notebook, ed attuare ove si rendesse necessario la disinfezione, se e quando possibile.

Il problema vero, sta nel fermare le attività virali verso l'esterno di tutti quei pc i cui proprietari sono possibilmente ignari di ciò che hanno a bordo.

Kido spara fuori a manetta. leggo dal documento di Mikko:

"They do this by trying to connect to various Web addresses. And if the worm finds an active Web server at one of these domains, it will download and run a particular executable — thus giving the malware gang a free hand to do whatever they want with all of the infected machines".

In pratica il worm tenta delle connessioni a svariati web server (su domini che si moltiplicano continuamente, registrati, come dicevo da parte del team che lo ha sviluppato), e quando ne trova di attivi, scarica automaticamente un particolare tipo di eseguibile che permette loro di fare ciò che vogliono di tutte le altre macchine sparse per il mondo.

L'algoritmo con cui il malware genera i domini (e quindi i web-server ai quali far connettere le macchine infette) cambia con frequenza giornaliera, ed è basato sui timestamps di grossi siti come Google o Baidu (impossibili pensare di stopparli [molto furbi gli amici del team] per provare a rallentarne la propagazione).

megthebest

Azz... la situazione sembrerebbe seria...

Non c'è difesa??????

g4dual

Azz... ho letto solo ora la notizia! Pazzesco che ci sia in giro gente che abbia davvero nulla da fare se non ste porcate ...

dj883u2

Porca miseria.... :muro:

ShadoW

allora... io non sto riscontrando problemi anzi da oggi appena ho letto questa discussione ne ho riscontrato... ma solo su alune parti del forum...

per esempio adesso non ho accesso alle segenti sezioni:

cpu & overclok

schede video

schede madri ram

periferiche hardware

nelle antre sezioni mi fa entrare tranquillamente

Totocellux

Ripeto, purtroppo oltre a controllare le nostre macchine ed applicare eventualmente la patch interessata, attualmente non si può fare assolutamente nulla per evitare o risolvere il problema creato dai restanti pc colpiti e da quelli che questi ultimi riusciranno ad infettare.

Gli indirizzi IP interessati sono secondo l'ultima stima circa 9 milioni: ma se si pensa che la maggior parte sono semplicemente l'IP di uscita (proxy) di aziende sparse in tutto il mondo, si può intuire facilmente che il numero reale di pc infetti potrebbe tranquillamente essere moltiplicato x 10 o addirittura x 100 :muro:

Riporto fedelmente il testo integrale dall'ultimo documento ufficiale Microsoft in merito a questo malware: link.

E' molto lungo e non ho materialmente il tempo per tradurlo tutto.

A favore di chi conosce poco o niente l'inglese posso solo dire che se ha delle domande, dubbi o vuole solo capirci di più, può tranqullamente chiedermelo in modo più diretto su questo thread, in modo tale da rendere partecipi tutti della situazione

Also Known As:

Trojan.Downloader.JLIW (BitDefender)

Win32/Conficker.A (CA)

Win32/Conficker.A (ESET)

Trojan-Downloader.Win32.Agent.aqfw (Kaspersky)

W32/Conficker.worm (McAfee)

W32/Conficker.E (Norman)

W32/Confick-A (Sophos)

W32.Downadup (Symantec)

Trojan.Disken.B (VirusBuster)

TA08-297A (other)

CVE-2008-4250 (other)

VU827267 (other)

Win32/Conficker.worm.62976 (AhnLab)

Summary

Worm:Win32/Conficker.A is a worm that infects other computers across a network by exploiting a vulnerability in the Windows Server service (SVCHOST.EXE). If the vulnerability is successfully exploited, it could allow remote code execution when file sharing is enabled.

Microsoft strongly recommends that users apply the update referred to in Security Bulletin MS08-067 immediately.

Symptoms

There are no common symptoms associated with this threat. Alert notifications from installed antivirus software may be the only symptom(s).

Technical Information

Worm:Win32/Conficker.A is a worm that infects other computers across a network by exploiting a vulnerability in the Windows Server service (SVCHOST.EXE). If the vulnerability is successfully exploited, it could allow remote code execution when file sharing is enabled.

Installation

This worm searches for the Windows executable 'services.exe' and will inject itself into it.

This worm copies itself to the Windows system folder as random>.dll where random> is a 5-8 character lowercase alphabetic name such as 'nxyme.dll'.

The worm adjusts the file time of the dropped DLL worm copy to the same as the system's kernel32.dll file time to mask forensic evidence of infection time. The registry is modified to execute the dropped DLL worm copy as a service.

Adds value: "DisplayName"

With data: "0"

To subkey: HKLMSYSTEMCurrentControlSetServicesvcdrlxeu

Adds value: "ServiceDll"

With data: "system folder> xyme.dll"

To subkey: HKLMSYSTEMControlSet001ServicesvcdrlxeuParameters

Once a machine has been infected the worm will patch the exploited function via a simple code hook in order to prevent re-infecting a machine it has already compromised. The worm opens and listens for connection attempts on a randomly chosen port between 1024 and 10000 and bypasses Windows firewall using APIs. The worm also stops the Internet connection sharing service.

Spreads Via…

Networked Computers

Win32/Conficker.A copies itself into memory and begins propagating to random IP addresses across a network by exploiting a vulnerability in the Windows Server service (SVCHOST.EXE). If the vulnerability is successfully exploited, the worm instructs the target computer to download a copy of the worm from the host computer via HTTP protocol using the random port opened by the worm.

The worm uses the following URLs to determine the computer's geographic location:

getmyip.org

getmyip.co.uk

checkip.dyndns.org

Win32/Conficker.A avoids infecting Ukrainian located computers.

Payload

Creates HTTP Server

The worm opens a random port between 1024 and 10000 and acts like a web server (HTTP server). If the remote machine is exploited successfully, the victim will connect back to the http server and download a worm copy.

Resets System Restore Point

The worm may call an API function to reset the computer's system restore point, potentially defeating recovery using system restore.

Downloads Files

If the date is after November 25, 2008, this worm will build a URL in the following format and attempt to download a file from it:

random ip?>/search?q=%d&aq=7

If the date is after December 1, 2008 Win32/Conficker.A will attempt to download a file 'loadadv.exe' from the domain 'trafficconverter.biz'.

Analysis by Joshua Phillips

Steps

Take the following steps to help prevent infection on your system:

Enable a firewall on your computer.
Get the latest computer updates for all your installed software, including Security Bulletin MS08-067.
Use up-to-date antivirus software.
Use caution when opening attachments and accepting file transfers.
Use caution when clicking on links to web pages.
Protect yourself against social engineering attacks.

Enable a firewall on your computer

Use a third-party firewall product or turn on the Microsoft Windows Internet Connection Firewall.

To turn on the Windows Firewall in Windows Vista

Click Start, and click Control Panel.
Click Security.
Click Turn Windows Firewall on or off.
Select On.
Click OK.

To turn on the Internet Connection Firewall in Windows XP

Click Start, and click Control Panel.
Click Network and Internet Connections. If you do not see Network and Internet Connections, click Switch to Category View.
Click Change Windows Firewall Settings.
Select On.
Click OK.

Get the latest computer updates

Updates help protect your computer from viruses, worms, and other threats as they are discovered. It is important to install updates for all the software that is installed in your computer. These are usually available from vendor websites.

You can use the Automatic Updates feature in Windows to automatically download future Microsoft security updates while your computer is on and connected to the Internet.

To turn on Automatic Updates in Windows Vista

Click Start, and click Control Panel.
Click System and Maintainance.
Click Windows Updates.
Select a setting. Microsoft recommends selecting Install updates automatically and choose a time that is convenient for you. If you do not choose Automatic, but you choose to be notified when updates are ready, a notification balloon appears when new downloads are available to install. Click the notification balloon to review and install the updates.

To turn on Automatic Updates in Windows XP

Click Start, and click Control Panel.
Click System.
Click Automatic Updates.
Select a setting. Microsoft recommends selecting Automatic. If you do not choose Automatic, but you choose to be notified when updates are ready, a notification balloon appears when new downloads are available to install. Click the notification balloon to review and install the updates.

Use up-to-date antivirus software

Most antivirus software can detect and prevent infection by known malicious software. To help protect you from infection, you should always run antivirus software that is updated with the latest signature files. Antivirus software is available from several sources. For more information, see

Windows Vista Antivirus Software - Windows Live OneCare - Microsoft.

Use caution when opening attachments and accepting file transfers

Exercise caution with e-mail and attachments received from unknown sources, or received unexpectedly from known sources. Use extreme caution when accepting file transfers from known or unknown sources.

Use caution when clicking on links to web pages

Exercise caution with links to web pages that you receive from unknown sources, especially if the links are to a web page that you are not familiar with or are suspicious of. Malicious software may be installed in your system simply by visiting a web page with harmful content.

Avoid downloading pirated software

Threats may also be bundled with software and files that are available for download on various torrent sites. Downloading "cracked" or "pirated" software from these sites carries not only the risk of being infected with malware, but is also illegal. For more information. please see our article '

The risks of obtaining and using pirated software'.

Protect yourself from social engineering attacks

While attackers may attempt to exploit vulnerabilities in hardware or software in order to compromise a system, they also attempt to exploit vulnerabilities in human behavior in order to do the same. When an attacker attempts to take advantage of human behavior in order to persuade the affected user to perform an action of the attacker's choice, it is known as 'social engineering'. Essentially, social engineering is an attack against the human interface of the targeted system. For more information, please see our article '

What is social engineering?'.

Recovery Steps

Manual removal is not recommended for this threat. To detect and remove this threat and other malicious software that may have been installed, run a full-system scan with an up-to-date antivirus product such as the Microsoft online scanner (

http://safety.live.com). For more information, see Windows Vista Antivirus Software - Windows Live OneCare - Microsoft.

Totocellux

nella serata di ieri ho dovuto desistere ....... non c'è stato verso di inserire alcun commento sul forum :muro:

stamane va un pò meglio

ShadoW

Totocellux ha scritto:

nella serata di ieri ho dovuto desistere ....... non c'è stato verso di inserire alcun commento sul forum
stamane va un pò meglio

o.o

ma io se insisto dopo un pò mi fa entrare :asd:

Totocellux

ShadoW ha scritto:

o.o
ma io se insisto dopo un pò mi fa entrare

già ..... ma il mio problema non è quello, provando e riprovando ce la si fa.

Il problema vero è il tentativo di creare un post di risposta!!

Non c'è stato verso ieri sera, così come fino a mezz'ora fa :muro: , se non con enorme difficoltà.

La situazione può variare velocemente, ed è così mutabile perchè a seconda del traffico creato, alcuni router su Internet si sovraccaricano, vanno nel pallone più completo e finiscono per bloccarsi per alcuni minuti.

A seconda della fortuna o meno di trovarsi nella rotta di qualcuno di questi, si riesce più o meno a navigare.

Comunque ho potuto constatare che la maggior parte del traffico in crisi proviene dal dominio di Google ...... e purtroppo tutto il mondo, ormai, ne fa un uso smisurato

ShadoW

Totocellux ha scritto:

già ..... ma il mio problema non è quello, provando e riprovando ce la si fa.
Il problema vero è il tentativo di creare un post di risposta!!

Non c'è stato verso ieri sera, così come fino a mezz'ora fa , se non con enorme difficoltà.

La situazione può variare velocemente, ed è così mutabile perchè a seconda del traffico creato, alcuni router su Internet si sovraccaricano, vanno nel pallone più completo e finiscono per bloccarsi per alcuni minuti.

A seconda della fortuna o meno di trovarsi nella rotta di qualcuno di questi, si riesce più o meno a navigare.

Comunque ho potuto constatare che la maggior parte del traffico in crisi proviene dal dominio di Google ...... e purtroppo tutto il mondo, ormai, ne fa un uso smisurato

mmh io quando non mi fa entrare dentro una discussione insisto ealla 3° volta altro quasi sempre ....

ma per quanto riguarda la velocità negli ultimi giorni e solo un pò più lentà :muro:

apix_1024

per ora con fastweb a fidenza (parma) tutto ok. però certa gente non ha proprio un cazz da fare. ci guadagnasse almeno... :muro:

ShadoW

apix_1024 ha scritto:

per ora con fastweb a fidenza (parma) tutto ok. però certa gente non ha proprio un cazz da fare. ci guadagnasse almeno...

quoto:muro: :muro:

da me comincio a notare la differenza ,prima andava più veloce... negli ultimi giorni si sta rallentando di un casino:muro: :muro: :muro: :muro:

Totocellux

apix_1024 ha scritto:

.........
però certa gente non ha proprio un cazz da fare. ci guadagnasse almeno...

.... purtroppo le motivazioni che portano a creare dei problemi simili possono essere diverse, e di solito all'interno di un team che crea opere del genere, trovano posto uomini che le rappresentano un pò tutte queste motivazioni, anche quelle di tipo economico.

Un punto positivo (o quantomeno uno spunto di riflessione, che dovrebbe far diventare positiva tutta questa situazione) comunque esiste, ed è quello che dovrebbe far portare maggiore riflessione ed attenzione sia ai responsabili di rete delle aziende sia ai normali utilizzatori di pc, colpevoli in egual modo.

Questo possibile scenario, infatti, era già stato ipotizzato da diversi analisti a fine ottobre dello scorso anno, contestualmente all'uscita della patch di sicurezza di Windows (ritenuta di livello CRITICO dai responsabili Microsoft) e che serviva a ricucire la falla che era stata trovata aperta nel servizio Remote Procedure Call.

Tutto questo è servito a ben poco, a quanto pare :muro:

ShadoW

Totocellux ha scritto:

.... purtroppo le motivazioni che portano a creare dei problemi simili possono essere diverse, e di solito all'interno di un team che crea opere del genere, trovano posto uomini che le rappresentano un pò tutte queste motivazioni, anche quelle di tipo economico.
Un punto positivo (o quantomeno uno spunto di riflessione, che dovrebbe far diventare positiva tutta questa situazione) comunque esiste, ed è quello che dovrebbe far portare maggiore riflessione ed attenzione sia ai responsabili di rete delle aziende sia ai normali utilizzatori di pc, colpevoli in egual modo.

Questo possibile scenario, infatti, era già stato ipotizzato da diversi analisti a fine ottobre dello scorso anno, contestualmente all'uscita della patch di sicurezza di Windows (ritenuta di livello CRITICO dai responsabili Microsoft) e che serviva a ricucire la falla che era stata trovata aperta nel servizio Remote Procedure Call.

Tutto questo è servito a ben poco, a quanto pare

io questa pach non la conosco :cheazz:

mai istallata :cheazz:

anzi io disattivo pure il firewall(o come si scrive) e gli aggiornamenti di window :asd:

apix_1024

ShadoW ha scritto:

io questa pach non la conosco :cheazz:
mai istallata :cheazz:

anzi io disattivo pure il firewall(o come si scrive) e gli aggiornamenti di window

in pratica il tuo pc è infetto di aids e fa sesso con tutti gli altri senza protezioni!! :muro: :muro: :muro: attiva il firewall e metti un antivirus almeno avira antivir è leggero ed efficiente!! ma pensa te questo che cosa viene a dire:perfido: :nutkick:

via al lavoroooooo :asd:

ShadoW

apix_1024 ha scritto:

in pratica il tuo pc è infetto di aids e fa sesso con tutti gli altri senza protezioni!! :muro: attiva il firewall e metti un antivirus almeno avira antivir è leggero ed efficiente!! ma pensa te questo che cosa viene a dire:perfido:
via al lavoroooooo

:2funny:

no l'anti virus c'è :asd:

ho istallato avg ma solo quello c'è :fiufiu: