|
|
|
|
|
Symantec.com > Aziende > Security Response > W32.Mytob.AR@mm
STAMPA QUESTA PAGINA

W32.Mytob.AR@mm

Livello di rischio2: Basso

Rilevato:
11 de Aprile de 2005
Aggiornato:
13 de Febbraio de 2007 12:38:03 PM
Va anche sotto il nome di:
Win32.Mytob.{AS, AU, BF} [Computer Associates], Net-Worm.Win32.Mytob.r [Kasper, W32/Mytob.r@MM [McAfee], W32/Mytob-{AV, AW} [Sophos], WORM_MYTOB.{AP, BD} [Trend Micro]
Tipo:
Worm
Lunghezza dell’infezione:
76.000 byte
Sistemi operativi minacciati:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32.Mytob.AR@mm è un worm di distribuzione di massa con le capacità di back door che utilizza il proprio motore SMTP per inviare e-mail agli indirizzi che raccoglie dal computer infetto.

Il worm si diffonde anche sfruttando la vulnerabilità Microsoft Windows Local Security Authority Service Remote Buffer Overflow (descritta nel Bollettino Microsoft sulla sicurezza MS04-011) e la vulenrabilità Microsoft Windows DCOM RPC Interface Buffer Overrun (descritta nel Bollettino Microsoft sulla sicurezza MS03-026).




Come rimuovere le voci dal file Host
Se questa minaccia ha modificato il file Host di Windows, ci sono due modi per eliminare queste voci:
  • Installare ed eseguire l'attuale versione di LiveUpdate. Ciò consente di eliminare soltanto le voci che si riferiscono ai domini di Symantec.
  • Modificare manualmente il file Host ed eliminare tutte le voci aggiunte dal worm.

Per eseguire l'attuale versione di LiveUpdate
  1. Fare clic su download LiveUpdate .

    Nota:     Se non si sta consultando questa pagina Web sul computer che sta ricevendo l'avviso di errore, l'indirizzo per il download del file è:

    ftp://ftp.symantec.com/public/english_us_canada/liveupdate/lusetup.exe

    Se necessario, digitare questo indirizzo nella barra dell'indirizzo del computer che presenta problema. Le modifiche al file Host non impediranno di accedere a questo sito.

  2. Salvare il file sul desktop di Windows.
  3. Fare doppio clic sull'icona lusetup.exe sul desktop per installare LiveUpdate.
  4. Eseguire LiveUpdate.
  5. Viene visualizzato il messaggio " LU1860: LiveUpdate has detected a potential security compromise on your computer"?
    • In caso affermativo, consentire a LiveUpdate di "Rimuovere queste voci dai file hosts" (Consigliata).
      In questo modo sarà possibile eseguire LiveUpdate.
    • In caso negativo, quella non era la causa del problema. Ritornare alla sezione di rimozione.


Modificare manualmente il file Host ed eliminare tutte le voci aggiunte dal worm.

Nota: La posizione del file Hosts può variare e alcuni computer possono non avere questo file. Per esempio, se il file esiste in Windows 98, sarà solitamente in C:Windows; si trova nella cartella C:\WINNT\system32\drivers\etc in Windows 2000. Ci possono anche essere più copie di questo file in diverse posizioni.


Seguire le istruzioni relative al proprio sistema operativo:
  • Windows 95/98/Me/NT/2000
    1. Fare clic su Start, andare su Trova o Cerca, poi fare clic su File o Cartelle.
    2. Accertarsi che il campo "Cerca in" sia impostato su (C:) e che ''Ricerca nelle sottocartelle'' sia selezionata.
    3. Nella casella "Nome" o "Cerca..", digitare:

      hosts
    4. Fare clic su Trova o Cerca.
    5. Per ogni file Hosts trovato, fare clic con il tasto destro sul file, quindi su Apri con.
    6. Deselezionare la casella “Utilizzare sempre questa opzione per aprire questo programma".
    7. Scorrere attraverso l'elenco dei programmi e fare doppio clic su Blocco note.
    8. Quando il file si apre, eliminare tutte le voci al punto 12 della sezione "Descrizione tecnica".
    9. Chiudere Blocco note e salvare le modifiche quando viene richiesto.

  • Windows XP
    1. Fare clic su Start > Cerca.
    2. Fare clic su Tutti i file e le cartelle..
    3. Nella casella "Tutto o parte del nome", digitare:

      hosts

    4. Assicurarsi che "Cerca in" sia impostato su ''Unità disco rigido locali" oppure su (C:).
    5. Fare clic su ''Altre opzioni avanzate''.
    6. Selezionare "Cerca nelle cartelle di sistema".
    7. Selezionare "Cerca nelle sottocartelle".
    8. Fare clic su Cerca.
    9. Fare clic su Trova o Cerca.
    10. Per ogni file Hosts trovato, fare clic con il tasto destro sul file, quindi su Apri con.
    11. Deselezionare la casella Utilizzare sempre questa opzione per aprire questo programma.
    12. Scorrere attraverso l'elenco dei programmi e fare doppio clic su Blocco note.
    13. Quando il file si apre, eliminare tutte le voci al punto 12 della sezione "Descrizione tecnica".
    14. Chiudere Blocco note e salvare le modifiche quando viene richiesto.


Date protezione antivirus

  • Versione iniziale Rapid Release12 de Aprile de 2005
  • Ultima versione Rapid Release20 de Agosto de 2008 revisione 017
  • Versione iniziale Daily Certified12 de Aprile de 2005
  • Ultima versione Daily Certified20 de Agosto de 2008 revisione 016
  • Data rilascio Weekly Certified iniziale13 de Aprile de 2005
Fare clic qui per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.

Valutazione della minaccia

In circolazione

  • Livello di circolazione:Low
  • Numero di infezioni:50 - 999
  • Numero di siti:More than 10
  • Distribuzione geografica:Low
  • Contenimento della minaccia:Easy
  • Rimozione:Moderate

Danno

  • Livello del danno:Medium
  • Effetto nocivo (payload):Apre una backdoor.
  • Distribuzione di massa tramite posta elettronica:Invia e-mail
  • Modifica file:Modifica il file Hosts.
  • Compromissione delle impostazioni di sicurezza:Blocca l'accesso a vari siti Web legati alla sicurezza.

Distribuzione

  • Livello di distribuzione:High
  • Oggetto del messaggio:Varia
  • Nome dell'allegato:Varia con estensione del file .bat, .cmd, .exe, .pif, .scr, o .zip.
  • Porte:Porta TCP 10089 e porta TCP 8080
Documento di:Jeong Mun
DETTAGLI TECNICI
©1995 - 2012 Symantec Corporation
Indice del sito|
Note legali|
Trattamento dei dati riservati|
Contattaci|
Siti globali|
Contratti di licenza