no non compare

oh ca**o! mi sa che me so beccato un virus!

bella sfiga...io nn mi bekko più virus da moltissimo tempo!

nemmeno io! io però ce l'ho,ma l'ho "bloccato" con zone alarm.
conviene eliminarlo...o lo tengo lì buono buono?
non mi ha mai dato danni...sarà un virus di quelli innocui?

ma l'antivirus non me lo vede, invece sul sito eset dice che nod32 individua il virus a partire dalle definizioni 1.291 io le ho a 1.794! perchè?

ecco la descrizione:
Si tratta di una nuova variante della famiglia di worm Sober. Viene riconosciuto anche con i seguenti nomi:

W32.Sober.X@mm, Email-Worm.Win32.Sober.y, W32/Sober-Z, W32/Sober.AH.worm, Email-Worm.Win32.Sober.Y, W32.Sober.AG.

Questa variante di Sober è stata inviata direttamente nelle caselle di posta elettronica degli utenti finali usando tecniche di SPAM. Testo e oggetto del messaggio infetto possono variare e ha in allegato un archivio ZIP contenente il file del worm.
La lunghezza del file infetto è di 55390 byte. Il codice è compresso con il programma UPX.

Dettagli tecnici

Quando viene eseguito il file contenuto all’interno dell’allegato ZIP, il worm mostra sullo schermo un falso messaggio di errore, volto a ingannare l’utente sulla reale natura del programma. La finestra del messaggio si presenta nel modo seguente

Intestazione: WinZip Self-Extractor
Messaggio: Error in packed Header

Il worm crea alcune copie di se stesso all’interno della cartella %Windir%\WinSecurity, dove la variabile simbolica %WinDir% rappresenta il percorso predefinito della cartella di Windows. I file creati hanno i seguenti nomi

* csrss.exe
* services.exe
* smss.exe

Inoltre crea ulteriori copie del proprio codice codificate in base-64

* socket1.ifo
* socket2.ifo
* socket3.ifo

Nella cartella predefinita di Windows vengono creati anche i file che seguono

* bbvmwxxf.hml
* filesms.fms
* langeinf.lin
* nonrunso.ber
* rubezahl.rub
* runstop.rst

Infine, il worm crea i file seguenti nella cartella %WinDir%\WinSecurity

* mssock1.dli
* mssock2.dli
* mssock3.dli

I file menzionati sopra sono usati dal worm per memorizzare gli indirizzi e-mail trovati nel sistema infettato.

Allo scopo di venire eseguito automaticamente ad ogni avvio del sistema, il worm crea le seguenti chiavi di Registro

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
_Windows = "%WinDir%\WinSecurity\services.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
Windows = "%WinDir%\WinSecurity\services.exe"

La copia del worm con il nome crss.exe, tra l’altro ha il compito di monitorare l’esistenza di queste chiavi nel Registro, che vengono ricreate nel caso in cui siano cancellate.

Il worm si diffonde via e-mail, usando un proprio motore SMTP (Simple Mail Transfer Protocol) per inviare i messaggi di posta elettronica infetti. I messaggi si presentano nel modo che segue

Oggetto: (uno dei seguenti)

• Registration Confirmation
• Your Password

Messaggio: (uno dei seguenti)

• Account and Password Information are attached!
• Protected message is attached!

seguito dalle stringhe:

***** Go to: http://www.{target domain}
***** Email: postman@{target domain}

Allegato: (uno dei seguenti)

• reg_pass.zip
• reg_pass-data.zip

Oggetto: (uno dei seguenti)

• Mail delivery failed
• smtp mail failed

Messaggio:
This is an automatically generated Delivery Status Notification.

SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached!

Allegato: (uno dei seguenti)

• mail.zip
• mail_body.zip

Oggetto: hi,_ive_a_new_mail_address

Messaggio:
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!

plz read and check ...
cyaaaaaaa

Allegato: mailtext.zip

Mittente: (uno dei seguenti, a seconda della firma del messaggio)

• {mittente}@fbi.gov
• {mittente }@cia.gov

dove {mittente } può essere uno dei seguenti:

• Admin
• Department
• Mail
• Office
• Post

Oggetto: (uno dei seguenti)

• You visit illegal websites
• Your IP was logged

Messaggio:

Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:
Please answer our questions!
The list of questions are attached.

Yours faithfully,
Steven Allison

seguito da una delle stringhe:

*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000

++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505

++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time

Allegato: (uno dei seguenti)

• list.zip
• question_list.zip

Oggetto: Paris Hilton & Nicole Richie

Messaggio:
The Simple Life:

View Paris Hilton & Nicole Richie video clips , pictures & more
Download is free until Jan, 2006!

Please use our Download manager.

Allegato: downloadm.zip

Il worm invia anche messaggi in lingua tedesca.

L’allegato ZIP infetto contiene una copia del worm con il nome

File-packed_dataInfo.exe

Quando viene eseguito, il worm cerca sul sistema gli indirizzi e-mail ai quali inviare dei messaggi infetti contenti copie di se stesso. La ricerca viene effettuata in tutti i file che presentano le estensioni incluse nella lista che segue

* ABC
* ABD
* ABX
* ADB
* ADE
* ADP
* ADR
* ASP
* BAK
* BAS
* CFG
* CGI
* CLS
* CMS
* CSV
* CTL
* DBX
* DHTM
* DOC
* DSP
* DSW
* EML
* FDB
* FRM
* HLP
* IMB
* IMH
* IMM
* INBOX
* INI
* JSP
* LDB
* LDIF
* LOG
* MBX
* MDA
* MDB
* MDE
* MDW
* MDX
* MHT
* MMF
* MSG
* NAB
* NCH
* NFO
* NSF
* NWS
* ODS
* OFT
* PHP
* PHTM
* PL
* PMR
* PP
* PPT
* PST
* RTF
* SHTML
* SLK
* SLN
* STM
* TBB
* TXT
* UIN
* VAP
* VBS
* VCF
* WAB
* WSH
* XHTML
* XLS
* XML

Il worm termina tutti i processi attivi che contengono una delle seguenti stringhe di testo

* aswclnr
* avwin.
* brfix
* fxsbr
* gcas
* gcip
* giantanti
* guardgui.
* hijack
* inetupd.
* microsoftanti
* nod32.
* nod32kui
* s-t-i-n
* s_t_i_n
* sober
* stinger

Inoltre, il worm cerca nei processi attivi la presenza del programma MRT.EXE, ovvero il Microsoft Windows Malicious Software Removal Tool (il programma gratuito installato e aggiornato da Microsoft per la rimozione del malware più diffuso) ed eventualmente nel termina l’esecuzione, rendendo il sistema più vulnerabile ad infezioni di altro tipo.

Il worm mostra sullo schermo anche i seguenti messaggi:

Intestazione: AntiVirus
Messaggio: No Viruses, Trojans or Spyware found!
Status OK

Intestazione: LiveUpdate {Symantec}

Messaggio: No connection!

Istruzioni per la rimozione

NOD32 è stato in grado di identificare in via euristica questa nuova variante di Sober, ovvero ancora prima che venisse aggiornato il database delle firme digitali. L'identificazione per firme digitali è stata aggiunta nel database 1.1291. Per gli utenti che non avessero installato NOD32, Future Time ha rilasciato un programma di rimozione gratuito

e dove lo scarico un programma per fare
"una pulizia e via"?
nel senso che non devo installare ma che posso eliminarlo a problema risolto?

lì sul sito

il link per favore...così mi levo dalle palle il worm fastidioso!

se vai giù kn la pagina sembra una visita okulistika..ke c sn tte le lettere strane...kmq formatta almeno risolvi

prova questi: http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober
provali tutti, sono per le tre varianti del virus

Ma xk nn ti scariki l'antivirus?? xD

csrss.exe è uno dei file fondamentali per fare andare windows... percui lascialo dove è che è meglio o potresti avere problemi, alcuni virus però potrebbero attaccarlo... o mandare messaggi tesi ad ingannarti....

cosa succede effettivamente al tuo computer ?

ragazzi fermi!!!!!!!!!!!!!!!Non è un virus è un componente!!!!!!!!!!!!