W32.Chod@mm

W32.Chod@mm è un worm di distribuzione di massa che si propaga utilizzando MSN Messenger. Il worm ha capacità di backdoor e può essere controllato tramite i canali IRC. Inoltre sovrascrive il file Hosts e riduce le impostazioni di sicurezza.



Come rimuovere le voci dal file Host
Se questa minaccia ha modificato il file Host di Windows, ci sono due modi per eliminare queste voci:

• Installare ed eseguire l'attuale versione di LiveUpdate. Ciò consente di eliminare soltanto le voci che si riferiscono ai domini di Symantec.
• Modificare manualmente il file Host ed eliminare tutte le voci aggiunte dal worm.

Per eseguire l'attuale versione di LiveUpdate

1. Fare clic su download LiveUpdate .
   
   Nota: Se non si sta consultando questa pagina Web sul computer che sta ricevendo l'avviso di errore, l'indirizzo per il download del file è:
   
   ftp://ftp.symantec.com/public/english_us_canada/liveupdate/lusetup.exe
   
   Se necessario, digitare questo indirizzo nella barra dell'indirizzo del computer che presenta problema. Le modifiche al file Host non impediranno di accedere a questo sito.
   
   
2. Salvare il file sul desktop di Windows.
3. Fare doppio clic sull'icona lusetup.exe sul desktop per installare LiveUpdate.
4. Eseguire LiveUpdate.
5. Viene visualizzato il messaggio " LU1860: LiveUpdate ha rilevato un potenziale problema di sicurezza sul computer"?
   • In caso affermativo, consentire a LiveUpdate di "Rimuovere queste voci dai file hosts" (Consigliata).
     In questo modo sarà possibile eseguire LiveUpdate.
   • In caso negativo, quella non era la causa del problema. Ritornare alla sezione di rimozione.

Modificare manualmente il file Host ed eliminare tutte le voci aggiunte dal worm.

Nota: La posizione del file Hosts può variare e alcuni computer possono non avere questo file. Per esempio, se il file esiste in Windows 98, sarà solitamente in C:Windows; si trova nella cartella C:\WINNT\system32\drivers\etc in Windows 2000. Ci possono anche essere più copie di questo file in diverse posizioni.


Seguire le istruzioni relative al proprio sistema operativo:

• Windows 95/98/Me/NT/2000
  1. Fare clic su Start, andare su Trova o Cerca, poi fare clic su File o Cartelle.
  2. Accertarsi che il campo "Cerca in" sia impostato su (C:) e che ''Ricerca nelle sottocartelle'' sia selezionata.
  3. Nella casella "Nome" o "Cerca..", digitare:
     
     hosts
     
     
  4. Fare clic su Trova o Cerca.
  5. Per ogni file Hosts trovato, fare clic con il tasto destro sul file, quindi su Apri con.
  6. Deselezionare la casella “Utilizzare sempre questa opzione per aprire questo programma".
  7. Scorrere attraverso l'elenco dei programmi e fare doppio clic su Blocco note.
  8. Quando il file si apre, eliminare tutte le voci di riferimento ai siti Web elencati al punto 10 della sezione "Informazioni tecniche".
  9. Chiudere Blocco note e salvare le modifiche quando viene richiesto.
     
     
• Windows XP
  1. Fare clic su Start > Cerca.
  2. Fare clic su Tutti i file e le cartelle..
  3. Nella casella "Tutto o parte del nome", digitare:
     
     hosts
     
     
  4. Assicurarsi che "Cerca in" sia impostato su ''Unità disco rigido locali" oppure su (C:).
  5. Fare clic su ''Altre opzioni avanzate''.
  6. Selezionare "Cerca nelle cartelle di sistema".
  7. Selezionare "Cerca nelle sottocartelle".
  8. Fare clic su Cerca.
  9. Fare clic su Trova o Cerca.
  10. Per ogni file Hosts trovato, fare clic con il tasto destro sul file, quindi su Apri con.
  11. Deselezionare la casella Utilizzare sempre questa opzione per aprire questo programma.
  12. Scorrere attraverso l'elenco dei programmi e fare doppio clic su Blocco note.
  13. Quando il file si apre, eliminare tutte le voci di riferimento ai siti Web elencati al punto 10 della sezione "Informazioni tecniche".
  14. Chiudere Blocco note e salvare le modifiche quando viene richiesto.

Protezione

• Versione iniziale delle definizioni Rapid 14 de Marzo de 2005
• Ultima versione delle definizioni Rapid Release 2 de Agosto de 2008 revisione 020
• Versione iniziale delle definizioni Daily certified 14 de Marzo de 2005
• Ultima versione delle definizioni Daily certified 20 de Gennaio de 2009 revisione 048
• Data di iniziale delle definizioni Weekly Certified 16 de Marzo de 2005

Fare clic per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

• Livello di circolazione: Basso
• Numero di infezioni: 0 - 49
• Numero di siti: 0 - 2
• Distribuzione geografica: Basso
• Contenimento della minaccia: Semplice
• Rimozione: Moderato

Danno

• Livello del danno: Medio
• Payload: Apre una backdoor.
• Distribuzione di massa tramite e-mail: Invia un'e-mail agli indirizzi raccolti sul computer infetto.
• Modifica file: Modifica il file Hosts.
• Trasmette informazioni riservate: Sottrae le password per varie applicazioni.
• Riduce le prestazioni: Le prestazioni possono peggiorare quando viene lanciato un attacco "denial of service".
• Compromette le impostazioni di sicurezza: Termina i processi legati alla sicurezza e blocca l'accesso ai vari siti Web legati alla sicurezza.

Distribuzione

• Livello di distribuzione: Alto
• Oggetto dell'e-mail: Varia
• Nome dell'allegato: Varia con estensione del file .exe, .pif, o .scr
• Dimensione dell'allegato: 152.292 byte
• Obiettivo dell'infezione: Tenta di diffondersi via MSN Messenger.