Italia
 Siti Globali
Prodotti
Acquisto
Servizio e Supporto
Partner
Security Response
Downloads
Informazioni sulla Symantec
Ricerca
Feedback


©1995-2008 Symantec Corporation.
All rights reserved.

Legal Notices
Privacy Policy
aggiornamenti di sicurezza

W95.HybrisF

Categoria 2
Scoperto in data: 17/11/2000
Ultimo aggiornamento in data: 26/10/2004

A causa di una diminuzione dei casi di infezione rilevati, il Symantec Security Response ha modificato il livello di gravità di questo worm, portandolo dal grado 3 al grado 2.

W95.HybrisF è uno dei plug-in codificati scaricati dal worm W95.Hybris.gen.

Noto anche come: W95.Hybris.Plugin, W32/Hybris@MM [McAfee], I-Worm.Hybris.dropper [Kaspersky], WORM_HYBRIS.DR1 [Trend], Win32.Hybris.dr [Computer Associates]
Tipo: worm
Sistemi operativi minacciati: Windows 95, Windows 98, Windows Me
Sistemi operativi non minacciati: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x

protezione
  • Definizioni dei virus (LiveUpdate™ Weekly)

    • 17/11/2000
  • Definizioni dei virus (Intelligent Updater)

    • 17/11/2000

    valutazione della minaccia

    Wild

    Grafico della minaccia
    Bassa Bassa Alta

    Wild:
    Bassa

    Danno:
    Bassa

    Distribuzione:
    Alta

    informazioni tecniche

    Il worm è in grado di infettare i file Windows Portable Executable (PE) (vedere la sezione Informazioni aggiuntive). Vengono infettati unicamente i file PE muniti di una sezione del codice sufficientemente lunga. Il plug-in dell'infezione virale isola l'area del codice originale e la sovrascrive, se trova spazio sufficiente per inserirsi. Questa tecnica di infezione progettata per eludere i controlli euristici è difficile (ma non impossibile) da riparare. Al momento, questo plug-in viene rilevato come W95.HybrisF ed è disponibile uno strumento di rimozione per eliminarlo.

    recommendations

    Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

    • Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l’utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
    • Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l’accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
    • Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
    • Imporre una politica severa sull’uso delle password. Password complesse rendono più difficoltoso l’accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
    • Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
    • Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all’interno della propria organizzazione. Eseguire un’analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
    • Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l’allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un’infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.
    istruzioni sulla rimozione

    Come rimuovere il worm:
    1. Eseguire LiveUpdate per assicurarsi di disporre delle definizioni dei virus più recenti.
    2. Accertarsi che Norton AntiVirus sia impostato per eseguire la scansione di tutti i file.
    3. Riavviare il computer in Modalità provvisoria (Windows 95/98/Me).
      • Windows 95
        1. Uscire da tutti i programmi, quindi spegnere il computer.
        2. Dopo avere tolto l'alimentazione, attendere 30 secondi. È necessario spegnere completamente il computer per rimuovere il virus dalla memoria. Non usare il pulsante Reimposta.
        3. Accendere il computer. Quando viene visualizzato il messaggio "Avvio di Windows 95 in corso" premere il tasto F8.
        4. Digitare il numero che corrisponde alla Modalità provvisoria, quindi premere Invio.
      • Windows 98/Me
        1. Fare clic su Start, quindi su Esegui.
        2. Digitare msconfig e poi fare clic su OK. Viene visualizzata la finestra di dialogo Utilità di configurazione di sistema.
        3. Fare clic sulla scheda Generali, quindi sul pulsante Avanzate.
        4. Selezionare Attiva menu Esecuzione automatica, fare clic su OK, quindi di nuovo su OK.
        5. Uscire da tutti i programmi, quindi spegnere il computer.
        6. Dopo avere tolto l'alimentazione, attendere 30 secondi. È necessario spegnere completamente il computer per rimuovere il virus dalla memoria. Non usare il pulsante Reimposta.
        7. Accendere il computer, e attendere che venga visualizzato il menu.
        8. Digitare il numero che corrisponde alla Modalità provvisoria, quindi premere Invio.

          NOTA: dopo avere portato a termine tutte le operazioni illustrate nel documento, ripetere i passaggi da 1 a 4, avendo cura al passaggio 4 di deselezionare l’opzione Attiva menu Esecuzione automatica. Al successivo riavvio del computer non verrà più visualizzato il Menu di avvio.
    4. Eseguire una scansione completa del sistema.
      • Se Norton AntiVirus rileva W95.HybrisF, riavviare in Modalità normale, quindi scaricare ed eseguire lo strumento per W95.HybrisF. Questo strumento è in grado di riparare qualsiasi file Windows executable infettato da W95.HybrisF.
      • Se Norton AntiVirus rileva un'infezione diversa da W95.HybrisF, scegliere Ripara per ciascuno dei file trovati infetti. Se Norton AntiVirus non è in grado di riparare i file, scegliere Elimina.
    5. Al termine della scansione, riavviare il computer in Modalità normale.


    Informazioni aggiuntive:

    Cosa sono i file Portable Executable (PE)?
    I PE sono file che possono essere trasportati in tutti i sistemi operativi Microsoft a 32-bit. Lo stesso formato eseguibile PE può essere eseguito su qualsiasi versione di Windows 95, 98, Me, NT e 2000. Si prega di notare che seppure tutti i file PE sono file eseguibili, non tutti i file eseguibili sono però Portable.

    I file screen saver (.scr) sono un buon esempio di file Portable Executable.

    Revisioni:

    23. 07.02. Il grado di pericolosità di questo worm è stato portato dal livello 4 al 3, a causa di una significativa diminuzione delle richieste di assistenza.


    Versione del documento in inglese

    Fare clic qui per visualizzare la versione inglese di questo documento

    NOTA: a causa del tempo richiesto per portare a termine la traduzione di un documento in altre lingue, il contenuto delle versioni tradotte potrebbe differire da quello del documento originale in lingua inglese. Ciò si verifica quando il documento inglese viene aggiornato durante il processo di traduzione. Si prega di notare che il documento in lingua inglese contiene sempre le informazioni più aggiornate.


    Documento realizzato da: SARC Engineer