Virus Kamasutra Colpisce Milano - "In tilt i pc di Palazzo Marino"

[Gabriele Riva]

..."Kamasutra", ha già infettato i 10.000 pc del comune di Milano, collegati a 150 server...

"Kamasutra" è programmato per cancellare tutti i dati contenuti nelle macchine allo scoccare del giorno 3 di ogni mese. Da qui la decisione dei tecnici di Palazzo Marino: pc tassativamente spenti da questa sera e per tutto domani. Soltanto superata la giornata di domani si potrà procedere alla sua eliminazione.

"Lunedì prossimo, quindi, tutti gli impiegati di Palazzo Marino potranno riaccendere tranquillamente il proprio pc senza problemi", rassicura l'assessore all' Anagrafe e ai Servizi Civici Giancarlo Martella, e rassicura che gli sportelli comunali saranno regolarmente in funzione.

Un buon antivirus, noo?

Tratto da La Repubblica

[qsator]

Si vede proprio che la dipendenza da Bill è ancora alta!!!

Forse non conoscono ancora un software chiamato LINUX che come server è una bomba!

Ciao

[Mario Maggi]

Dal link a La Repubblica:

e prende di mira sistemi diffusissimi quali 'Microsoft', 'Adobe' e 'Zip'; una volta entrato in una casella di posta elettronica, si moltiplica auto-inviandosi a tutti gli indirizzi elencati.

[Paolo Cattani]

Noi ci siamo beccati il virus:

-non è vero che si presenta come email **o: questo capita solo al primo fesso che apre il messaggio. Quando comincia a spedire i messaggi da solo, si presenta come persona conosciuta, e spesso fa diversi passaggi da un'utente all'altro. Per esempio, da noi è arrivata una mail personale dalla famiglia dell'amministartore delegato, ignaro di essere contagiato: ovviamente, vista la provenienza, tutti l'hanno aperta.

-il virus viene identificato dagli antivirus, ma non rimosso, perchè effettivamente cancella tutte le chiavi di registro degli antivirus, cancella tutti gli exe (potrebbero essere dei virus remover) e impedisce ad explorer di aprire finestre, così non si riesce a vederlo nelle directory.

-per far agire i tool ri rimozione, si è obbligati a copiare il programmino su floppy, cambiare l'estensione da exe a txt (altrimenti il virus lo vede e lo cancella, o non lascia aprire la finestra del floppy) e poi copiarlo da qualche parte, rinominarlo come exe e farlo partire subito, prima che il virus se ne accorga.

Il virus ha ripetutamente cancellato anche il tool di rimozione, dopo pochi minuti che era stato installato, e gli antivirus hanno dovuto essere reinstallati da capo. Non abbiamo notizie invece di cancellazione di file excel, word etc, anche perchè siamo riusciti ad eleiminarlo prima del tre del mese.

Il virus si propaga anche nelle LAN, sfruttando il fatto che riesce a penetrare le password delle cartelle condivise, e si trasferisce autonomamente nei client, anche se non hanno connessioni internet. Ci abbiamo messo giorni a debellarlo, staccando i pc dalla rete e ripulendoli.

E' sicuramente uno dei più ***i che mi siano capitati, state attenti. E settate gli antivirus in modo che cancellino i file, invece di avvertirvi soltanto: basta che un solo PC della rete sia infetto, per ritrovarsi nelle grane (si potrebbe usare un firewall, ma allora come si farebbe a lavorare in rete?)

[geoline]

Io l'ho ricevuto almeno 6 volte nell'ultima settimana.

AVG lo ha sempre messo nel Voult.

Scommetto che chi è impestato ha il Widowstec Norton

Ciao

[Paolo Cattani]

Cerrrrto che c'era M..orton! Ma il problema sono gli utenti di rete che non sono certo dei fenomeni con il pc: bisogna faticare persino per convincerli a lasciarti la postazione per disinfettarla. Chi usa professionalmente un pc singolo, di solito sa cosa fa e non ha mai problemi.

[oiuytr]

si potrebbe usare un firewall, ma allora come si farebbe a lavorare in rete?

[Paolo Cattani]

Se parli del firewall sul router, questo.. maledetto s*****o è in grado di passarlo, con quello sui singoli pc non si riesce a lavorare in condivisione totale. Bisogna bloccare la porta che usa per i pacchetti, ma bisognerebbe saperla indovinare prima che si infiltri.

[oiuytr]

con quello sui singoli pc non si riesce a lavorare in condivisione totale. Bisogna bloccare la porta che usa per i pacchetti, ma bisognerebbe saperla indovinare prima che si infiltri.

[irpick]

Se correttamente configurato, un firewall software blocca la maggior parte dei virus che si propagano tramite lan. Ovviamente la configurazione deve essere permessa solo dall'amministratore della lan e non dagli utenti dei pc...

[nll]

irpick , in cosa ritieni non corrette le affermazioni di Francesco Carbognani?

Sulle prestazioni di un buon firewall è proprio così, anche se la garanzia al 100% non la potrai mai avere con alcun firewall.

Sul fatto che Francesco auspichi che solo un amministratore possa intervenire sul firewall... anche questo è una questione di sicurezza e sono d'accordo con lui che è meglio che sia l'amministratore a dettare le regole di sicurezza del firewall, altrimenti gli utenti (con i giusti privilegi solo i power user potrebbero farlo, e solo sulla propria macchina) potrebbero allentare i controlli su siti poco affidabili, solo perché da quelli si possono scaricare files di grande interesse (film, mp3, software, c r a c k e simili) che nulla hanno a che fare con l'attività dell'ufficio.

[oiuytr]

Sul fatto che Francesco auspichi che solo un amministratore possa intervenire sul firewall... anche questo è una questione di sicurezza e sono d'accordo con lui che è meglio che sia l'amministratore a dettare le regole di sicurezza del firewall, altrimenti gli utenti (con i giusti privilegi solo i power user potrebbero farlo, e solo sulla propria macchina) potrebbero allentare i controlli su siti poco affidabili, solo perché da quelli si possono scaricare files di grande interesse (film, mp3, software, c r a c k e simili) che nulla hanno a che fare con l'attività dell'ufficio.

[irpick]

perchè "Se correttamente configurato, un firewall software blocca la maggior parte dei virus "

1) Se blocca tutto Impedisce all'utente di lavorare ..

2) se servono servizi accessori (Db condivisivi e/o desktop remoti VPN ecc )si devono abilitare una serie di servizi a rischio.

3) il dare accesso ad alcuni utenti e/o applicazioni non garantisce in automatico l'immunità in quanto possono

essere presenti parti di codice nelle stesse.

[oiuytr]

1) Se blocca tutto Impedisce all'utente di lavorare ..

[irpick]

Se blocca tutto non e' correttamente configurato

[niclatesla]

Rispondo con info colte di prima mano.

1) L'antivirus era Symantec

2) I PC infettati erano circa 7500 su 10500

3) Quasi tutti i sistemi del CdM sono basati su OS Microsoft (purtroppo)

4) I virus erano 2

5) I server sono tanti (TANTI) e non proprio sotto controllo

6) Le reti pure (!)

5) Il fattore "uomo" rimane sempre il piu' critico, per quanto si possa proteggere un sistema.

Non mi sento sinceramente di fare alcuna critica.

La rete e' vastissima, complessa e con un discreto (!) numero di terminali.

I servers sono stati messi off-line volutamente per non permettere al virus di diffondersi e dato che aveva capacita' (come gia' scritto) di disattivare l'antivirus e, non ultime, di mutazione.

Hanno reagito tempestivamente e con professionalita', limitando i danni al minimo.

Ribadisco, il fattore uomo e' fondamentale.

Nicla