Stan, o Martijn, o...

Per favor publica isto in un gruppo de novas europa.* appropriate. 
(Google.com ha comprate le servicio de USENET de Deja.com e io non succede 
a inviar messages...) :^(
====================

De: CERT Advisory <[log in to unmask]>
Data: Mon, 12 Feb 2001 21:07:27 -0500 (EST)

ADVERTENTIA DE CERT CA-2001-03, CODICE MALIGNE VBS/OnTheFly (Anna 
Kournikova)

Data original de publication: 12 de februario 2001
Ultime revision: 12 de februario 2001
Fonte: CERT/CC

SYSTEMAS AFFECTATE

Utilizatores de Microsoft Outlook qui non ha applicate actualizationes de 
securitate disponibile previemente.

SYNTHESE

Le codice maligne "VBS/OnTheFly" es un programma in VBScript que se 
dissemina via e-mail. A 24:00 GMT de 12 de februario 2001, le CERT 
Coordination Center ha recipite reportos de plus que 100 sitos differente. 
Varie de iste sitos ha reportate degradation del rete como resultato del 
traffico de e-mail generate per le codice maligne "VBS/OnTheFly".

Iste codice malitiose pote infectar un systema si le file annexate al 
message de e-mail es executate. Quando le codice maligne es executate in 
un systema, illo prende le actiones descripte in le section "Impacto".

I. DESCRIPTION

Quando le codice maligne executa, illo tenta inviar copias de se mesme, 
usante Microsoft Outlook, a tote le items de cata libro de adresses. Le 
message inviate ha le sequente characteristicas:

   SUBJECTO: "Here you have, ;o)"

   CORPORE:
             Hi:
             Check This!

   ANNEXO:   "AnnaKournikova.jpg.vbs"

Utilizatores qui recipe copias del codice maligne via posta electronic 
probabilemente va recognoscer le expeditor. Nos consilia que le 
utilizatores evita executar files de codice, includente VBScripts, 
recipite per posta electronic, nonobstante le nomine del expeditor, sin 
cognoscentia previe del origine del codice o un signatura digital valide.

Es possibile que le destinatario sia inducite a aperir iste annexo maligne 
viste que le file va apparer sin le extension .VBS si le option "Occultar 
extensions de file pro typos de file cognite" es activate in Windows.

II. IMPACTO

Quando le file VBS annexate es executate, le codice maligne tenta 
modificar le registro de Windows, creante le clave sequente:

   HKEY_CURRENT_USER\Software\OnTheFly="Worm made with Vbswg1.50b"

In sequentia, illo va poner un copia de se mesme in le directorio de 
Windows.

   C:\WINDOWS\AnnaKournikova.jpg.vbs

Finalmente, le codice maligne va tentar inviar messages de e-mail 
infectate, un a cata destinatario del Libro de Adresses de Windows. Post 
que le messages ha essite inviate, le codice maligne crea le sequente 
clave de registro pro impedir futur invios del codice maligne:

   HKEY_USERS\.DEFAULT\Software\OnTheFly\mailed=1

Le propagation del codice pote producer congestion in servitores de posta 
que pote impedir los de functionar adequatemente.

Ulteriormente a iste effecto, apparentemente non existe un action 
destructive associate a iste codice maligne. Totevia, le datos historic 
monstra que le communitate de invasores pote rapidemente modificar le 
codice pro additionar un comportamento plus destructive.

III. SOLUTION

Actualiza tu software antivirus

Es importante que le utilizatores actualiza lor software antivirus. Alcun 
commerciantes de software antivirus ha publicate information, utensiles, o 
bases de datos actualizate pro adjutar a combatter iste codice maligne. Un 
lista de information antivirus specific de commerciantes pote esser 
trovate in le appendice A.

Applica le actualization de securitate de e-mail de Microsoft Outlook

pro proteger se contra iste codice malitiose, e altere similares, le 
utilizatores de Outlook 98 e 2000 pote voler installar le actualization de 
securitate de e-mail includite in un Outlook SR-1. Plus information super 
iste actualization es disponibile a:

   http://office.microsoft.com/2000/downloaddetails/Out2ksec.htm

Tu pote considerar equalmente utile le sequente documento super le 
securitate de Outlook:
 
   http://www.microsoft.com/office/outlook/downloads/security.htm

Le actualization de securitate de Outlook forni functionalitates que pote 
impedir que annexos continente contento executabile sia exhibite al 
utilizatores. Altere typos de annexos pote esser configurate de maniera 
que illos debe esser salvate in disco ante que illos pote esser aperte (o 
executate). Iste characteristicas pote reducer bastante le chances que un 
utilizator executara incorrectemente un annexo maligne.

Filtra le virus in e-mail

Sitos pote utilizar technicas de filtration de e-mail pro eliminar 
messages continente lineas de subjecto que notorimente contine le codice 
maligne, o pote filtrar annexos completemente.

Exercita le precaution durante le apertura de annexos

Exercita le precaution quando tu recipe e-mail con annexos. Es 
recommendabile que le utilizatores disactiva le apertura automatic o le 
previsualization de annexos in lor programmas de e-mail. Le utilizatores 
non deberea jammais aperir annexos de un origine non confidibile, o que 
pare suspecte de alcun maniera. Finalmente, summas de controle 
cryptographic debe equalmente esser usate pro validar le integritate del 
file.

IV. Protection general de cavallos de Troia e virus propagate per e-mail

Alcun exemplos previe de files maligne que notorimente se ha propagate per 
posta electronic include:

   Virus de macro Melissa - discutite in CA-99-04
   http://www.cert.org/advisories/CA-1999-04.html

   False actualization de version de Internet Explorer - discutite in 
CA-99-02
   http://www.cert.org/advisories/CA-1999-02.html

   Cavallo de Troia Happy99.exe - discutite in IN-99-02
   http://www.cert.org/incident_notes/IN-99-02.html

   Virus CIH/Chernobyl - discutite in IN-99-03
   http://www.cert.org/incident_notes/IN-99-03.htm

In cata un del casos supra, le effectos del file maligne es activate 
solmente quando le file in question es executate. Generalmente le 
ingenieria social es utilizate pro inducer le destinatario a executar le 
file maligne. Alcun del technicas de ingenieria social que nos ha viste 
esser utilizate include:

* Affirmar falsemente que le file annexate contine un correction o un 
actualization de un software.

* Insinuar o usar contento recreative pro seducer le utilizator a executar 
un file maligne.

* Usar technicas de expedition de e-mail que face que le message pare 
haber venite de un fonte familiar o confidibile.

* Impacchettar files maligne in formas illusorimente familiar (p.ex., le 
uso de icones de programmas o nomines de files familiar ma illusori).

Le melior consilio quanto a files maligne es evitar executar los in prime 
loco. Le advertentia de CERT CA-1999-02.html e le sequente consilio 
technic de CERT discute le codices maligne e offere suggestiones pro 
evitar los.

   http://www.cert.org/advisories/CA-99-02.html

   http://www.cert.org/tech_tips/malicious_code_FAQ.html

APPENDICE A. - INFORMATION DE COMMERCIANTES

Appendix A. Information de commerciantes de antivirus

   Aladdin Knowledge Systems
   http://www.aks.com/home/csrt/valerts.asp#AnnaK

   Command Software Systems, Inc.
   http://www.commandcom.com/virus/vbsvwg.html

   Computer Associates
   http://ca.com/virusinfo/virusalert.htm#vbs_sstworm

   F-Secure
   http://www.f-secure.com/v-descs/onthefly.shtml

   Finjan Software, Ltd.
   http://www.finjan.com/attack_release_detail.cfm?attack_release_id=47

   McAfee
   http://www.mcafee.com/anti-virus/viruses/vbssst/default.asp

   Dr. Solomon, NAI
   http://vil.nai.com/vil/virusSummary.asp?virus_k=99011

   Sophos
   http://www.sophos.com/virusinfo/analyses/vbsssta.htm

   Symantec
   [log in to unmask]" target="_blank">http:[log in to unmask]

   Trend Micro
 
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=VBS_KALAMAR.A

Tu pote desirar visitar le pagina de ressources concernente virus de 
computatores de CERT/CC situate a:

   http://www.cert.org/other_sources/viruses.html
 
______________________________________________________________________

Iste documento ha essite scripte per Cory Cohen, Roman Danyliw, Ian 
Finlay, John Shaffer, Shawn Hernan, Kevin Houle, Brian B. King, e Shawn 
Van Ittersum.

______________________________________________________________________

Iste documento es disponibile (in anglese) a:

   http://www.cert.org/advisories/CA-2001-03.html
 
______________________________________________________________________

INFORMATIONES PRO CONTACTO CON CERT/CC

    Email: [log in to unmask]
           Telephono: +1 412-268-7090 (24 horas, linea-rubie)
           Fax: +1 412-268-6989
           Adresse postal:
           CERT Coordination Center
           Software Engineering Institute
           Carnegie Mellon University
           Pittsburgh PA 15213-3890
           U.S.A.

Le personal de CERT responde al linea-rubie a 08:00-20:00 EST(GMT-5) / 
EDT(GMT-4) de lunedi a venerdi; illes es de servicio pro emergentias in 
altere horas, durante le feriatos del S.U.A., e durante le week-ends.

Utilizar encryptation

Nos te recommenda vehementemente de encryptar informationes importante 
inviate per e-mail. Nostre clave PGP public es disponibile a:

   http://www.cert.org/CERT_PGP.key

Si tu prefere usar DES, telephona al linea-rubie de CERT pro obtener 
information additional.

Obtener informationes super securitate

Publicationes de CERT e altere informationes super securitate es 
disponibile in nostre sito web:

   http://www.cert.org/

Pro subscriber le lista postal de CERT pro obtener consultativos e 
bulletines, invia un e-mail a [log in to unmask] Per favor include in le 
corpore de tu message:

   subscribe cert-advisory

* "CERT" e "CERT Coordination Center" es registrate in le U.S. Patent and 
Trademark Office.
 
______________________________________________________________________

NOTA DE TRADUCTION

Traducite a Interlingua in 13 de februario 2001 per Emerson José Silveira 
da Costa.

Information super Interlingua:

   http://www.interlingua.com/