Individuato negli USA, sembra possa rappresentare un vero pericolo per la capacità di replicarsi rapidamente. Il codice del virus è sviluppato in Visual Basic ed è in grado di attaccare sistemi Windows che utilizzano Outlook come client di posta elettronica. La genesi del worm è la solita: attacca il sistema e si autospedisce automaticamente a tutti i destinatari contenuti nella rubrica di Outlook. Il worm è di tipo polimorfico, in grado di cambiare il modo di presentarsi e di nascondersi quindi ai software antivirus. Anna giunge tramite un messaggio di posta elettronica con queste caratteristiche:
Oggetto: Here you have, ;o)
Testo: Hi:Check This!
Allegato: AnnaKournikova.jpg.vbs

7 dicembre 1999 - Si chiama W95/Babylonia e viene dal Brasile.

E' un virus dal rischio molto elevato. Si aggira sulla rete soprattutto nei newsgroup e nelle chat. Si installa nel sistema ed il suo creatore lo può aggiornare online in ogni momento. Come si capirà, il rischio è elevatissimo perché attraverso di esso è possibile ottenere informazioni molto riservate, come numeri di carte di credito, password, codici criptati e dati personali. Al momento, Babylonia si diffonde in due diversi modi:
sotto forma di file "serialz.hlp" offerto come file contenente crack per software commerciale. Questo file porta alla trasmissione del virus e infetta tutti i file .Exe che trova sul sistema. Il secondo modo è con il solito attachment di una posta elettronica con il nome di "X-MAS.EXE" la cui icona è un Babbo Natale.
Dopo aver infettato la macchina, il virus cerca la connessione per contattare ogni 60 secondi un sito giapponese per cercare un plug-in, per tentare di far arrivare sul sistema dell'utente "qualsiasi cosa". Dopo aver fatto tutto questo, il virus autoinvia una email all'indirizzo babylonia_counter@hotmail.com dove tiene una anagrafica di tutti i computer attaccati.

10 novembre 1999- E' stato localizzato un nuovo virus (tecnicamente si tratta di un worm) il suo nome è Bubbleboy VBS/Bubbleboy , il livello di rischio è MEDIO.

Si tratta di Bubbleboy, un worm ritenuto non molto pericoloso che si diffonde via email e che sembra attaccare Outlook e Outlook Express di Microsoft su Windows98 e Windows2000.
Per la prima volta si verifica ciò che fino a poco tempo fa si riteneva impossibile: essere infettati via email senza aprire l'allegato. Secondo quanto asserisce Network Associates, in alcune condizioni esiste la possibilità che si venga infettati anche senza aprire l'attachment dell'email nella quale è presente il virus. In Outlook , per essere colpiti si deve aprire la email, in Outlook Express il solo preview consente l'infezione.
Occorre precisare che il rischio è minimo, si tratta di un "proof-of-concept", ossia un virus che crea un nuovo meccanismo di diffusione e si limita a quello. Ma è preoccupante perché apre la strada a possibili successivi virus più potenti ideati per utilizzare lo stesso sistema di diffusione.
La email infetta porta, come mittente, l'utente che è stato colpito e nella cui rubrica si trovava il destinatario, come oggetto la frase "Bubbleboy is back!". Nel corpo del messaggio c'è una frase "The BubbleBoy incident, pictures and sounds" e nell'attachment l'URL non funzionante http://www.towns.com/dorms/tom/bblboy.htm
Il meccanismo di infezione Bubbleboy è semplice. Una volta inseritosi nel sistema si allega ad una email che parte in gran segreto avendo come destinazione tutti i nomi iscritti nell'address book dell'utente Outlook. Dopo "essersi spedito" crea il file UPDATE.HTA in "C:\windows\start menu\programs\startup" per impedire, in caso di ritorno, che l'operazione non si ripeta.

Stando a quanto afferma Network Associates, gli utenti attaccati non si rendono conto di esserlo, perché gli effetti dell'infezione sono limitati al remailing di cui si è parlato e alla modifica del nome del proprietario del sistema e dell'azienda, a cui vengono assegnati i nomi: Bubbleboy e Vandelay Industries

20 settembre 1999 - E' stato localizzato un nuovo virus (tecnicamente si tratta di un trojan) il suo nome è Count2K. alias Y2KCOUNT, Count2K.sfx, Count2K.dr il livello di rischio è MEDIO.

Count2k giunge via e-mail con un file attach "Y2KCOUNT.EXE" di 124,885 bytes

Si tratta di un worm, variante italiana di LoveLetter, il virus più famoso e conosciuto del 2000. Il suo nome è Cartolina, ed è stato segnalato nel nostro paese con una diffusione che per il momento non desta molte preoccupazioni.
Il virus, facilmente identificabile, giunge in un messaggio che ha per oggetto la frase "C'è una cartolina per te" e nel corpo del messaggio: "Ciao, un tuo amico ti ha spedito una cartolina virtuale... mooolto particolare!". Allega il file infetto "Cartolina.vbs".

11 giugno 1999- E' stato localizzato un nuovo terribile micidiale virus (tecnicamente si tratta di un verme) il suo nome è W32/ExploreZip.worm.

Si tratta di un nuovo virus che ha messo in serie difficoltà i grossi sistemi di posta della Microsoft e della General Electric, costrette a disattivare i server per poterlo eliminare. W32/ExploreZip è molto temibile. Proveniente da Israele (o almeno è stato localizzato in questa nazione) abbina la capacità di replicarsi di Melissa a quella terribilmente distruttiva di Chernobyl. Il virus infetta i sistemi MAPI oriented , ovvero quei sistemi come Exchange e quelli basati su Messaging Application Programming Interface.
Come già detto si diffonde attraverso i messaggi email inviando un file attach di nome "zipped_file.exe".

Si tratta di un worm , il cui pericoloso codice si va diffondendo in modo esponenziale. Ripercorre le caratteristiche di Bubbleboy e di Kak, ideati per attaccare gli utenti di Outlook solo leggendo la e-mail. VBS/Forgotten.A@mm è stato creato con Visual Basic Script e viene trasmesso con una e-mail in formato HTML che avvisa l'ignaro utente che la legge di attivare gli ActiveX

Virus conosciuto con diversi altri nomi, tra cui W32.Hybris@m e W32.Hybris.gen., viene trasmesso in un messaggio di posta elettronica ben identificabile, dal momento che non sono indicati nè mittente né destinatario . Il virus è trasportato dal solito attachment allegato al messaggio il cui nome, scritto in maiuscolo, è assolutamente casuale con estensione.exe o.scr.
Il suo comportamento è tipico. Una volta lanciato il file, si installa nel sistema modificando o rimpiazzando il file di Windows Wsock32.dll. Questo consente al virus di allegarsi ai messaggi di posta elettronica che autoinvia ogni volta che si fa partire una propria email.

Una volta installato, il worm, tenta di connettersi al newsgroup alt.comp.virus per trasmettere le proprie definizioni cifrate . Contemporaneamente controlla se le definizioni presenti sono più recenti e in questo caso si auto-aggiorna.La Symantec ha identificato dei moduli che permettono al virus di infettare anche file.zip.

Happy 99 Modifica un file del sistema operativo (in modo del tutto trasparente) e quindi riesce a replicarsi ad ogni invio di messaggi email . Non provoca danni gravi come ad esempio la perdita di dati o il crash del sistema.
Come già detto Happy 99 si diffonde attraverso i messaggi email se viene attivato il programma Happy99.exe allegato al messaggio stesso. Fortunatamente il virus non provoca guai talmente seri da mettersi le mani nei capelli. Una volta attaccati si potrà vedere aprire un piccola finestra con dei fuochi d'artificio.
I personal computer equipaggiati con Windows 95 o Windows 98 consentono al virus di riprodursi con estrema facilità. Gli utenti muniti di Windows NT possono stare un po' più tranquilli, nel senso che vedranno ugualmente la finestra con i fuochi d'artificio, ma la routine infettante (per un errore del software) non sarà in grado di infettare il PC e di replicarsi.

Gli esperti della Trend Micro lo hanno classificato ad alto rischio. Attacca i sistemi Windows dotati di client Outlook o Outlook Express. L'infezione viene contratta aprendo l'allegato che arriva via e-mail.

Il messaggio:
Oggetto: Homepage
Messaggio: Hi! You've got to see this page! It's really cool ;O) Nome dell'allegato: HOMEPAGE.HTML.VBS
Da notare che il nome del file presenta una doppia estensione e potrebbe quindi trarre in inganno l'utente.
Dopo l'apertura dell'allegato il file si autoreplica inviando e-mail infette a tutti gli utenti presenti nella rubrica ed indirizza verso siti pornografici.

Il virus attacca sistemi Windows NT e Windows 9x e si diffonde con messaggi di posta che promettono di contenere al loro interno fotografie di nudo della cantante.
Oggetto: Where are you?
Messagio: This is my pic in the beach!
Allegato: JENNIFERLOPEZ_NAKED.JPG.VBS
Il payload del virus ricerca su tutti i dischi della macchina infettata, i files con estensione VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT, .HTA, JPG, .JPEG e li sostituisce con il proprio codice con l'estensione VBS . In aggiunta, il worm crea un file chiamato W95/CIH (CIH_14.EXE) nella cartella di installazione di Windows. In questo file è presente il noto e pericoloso virus W95/CIH che, alla prima esecuzione di Windows infetterà il computer attaccato.

5/5/2000 - Si va diffondendo molto velocemente con una innumerevole quantità di varianti. Si presenta come una appassionata lettera di amore, ma in realtà trasporta un pericoloso virus scritto in VBScript capace di auto-replicarsi attraverso l'invio di messaggi a tutti i nominativi della rubrica di Outlook e di mIRC.
Giunge con la solita e-mail che riporta nell'oggetto :

• "ILOVEYOU"
• "Susitikim shi vakara kavos puodukui..."
• "Joke"

13 maggio 2000 VBS/LoveLetter.B (aka VeryFunny, VBS.LoveLetter.C)

Subject Line: Very Funny.vbs
Attachment: fwd: Joke
HTML File: Very Funny.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg
Hidden files: mp3 mp2
MessageBody: none

Subject Line: Susitikim shi vakara kavos puodukui...
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
HTML File: LOVE-LETTER-FOR-YOU.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg
Hidden files: mp3 mp2
MessageBody: kindly check the attached LOVELETTER coming from me.

Subject Line: Mothers Day Order Confirmation
Attachment: mothersday.vbs
HTML File: mothersday.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs
Download files: none
Overwritten Files: vbs vbe js jse css wsh sct hta ini bat
Hidden files: mp3 mp2
MessageBody: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special.
We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com

Subject Line: Important ! Read carefully !!
Attachment: IMPORTANT.TXT.vbs
HTML File: LOVE-LETTER-FOR-YOU.HTM
Droped Files: ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg
Hide files: mp3 mp2
MessageBody: Check the attached IMPORTANT coming from me !

Subject Line: Dangerous Virus Warning
Attachment: virus_warning.jpg.vbs
HTML File: Urgent_virus_warning.htm
Droped Files: MSKernel32.vbs Win32DLL.vbs
Download files: setup24.exe
Overwritten Files: js jse css wsh sct hta wav txt gif doc htm html xls jpg jpeg
Hidden files: mp3 mp2
MessageBody: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it.

Subject Line: Virus ALERT!!!
Attachment: protect.vbs
HTML File: protect.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs
Download files: none Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2 com bat
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg com bat Hidden files: mp3 mp2
MessageBody: Appears as a letter from Symantec Customer Service.

Subject Line: Bewerbung Kreolina Attachment: BEWERBUNG.TXT.vbs HTML File: BEWERBUNG.HTM Droped Files: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe Download files: WIN-BUGSFIX.exe Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg Hide files: mp3 mp2 MessageBody: Sehr geehrte Damen und Herren! Note: German, pretending to be a resume.

Subject Line: Important ! Read carefully !! Attachment: IMPORTANT.TXT.vbs HTML File: LOVE-LETTER-FOR-YOU.HTM Droped Files: ESKernel32.vbs ES32DLL.vbs WinFAT32.exe Download files: WIN-BUGSFIX.exe Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2 MessageBody: Check the attached IMPORTANT coming from me ! Note: Internal differences to the E variant in the code.

Subject Line: Important ! Read carefully !!
Attachment: IMPORTANT.TXT.vbs
HTML File: LOVE-LETTER-FOR-YOU.HTM
Droped Files: ESKernel32.vbs ES32DLL.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg mp3 mp2
MessageBody: Check the attached IMPORTANT coming from me !
Note: Internal differences to the E variant in the code.

Subject Line: Thank You For Flying With Arab Airlines Attachment: ArabAir.TXT.vbs HTML File: no-hate-FOR-YOU.HTM Droped Files: MSUser32.vbs User32DLL.vbs WinFAT32.exe Download files: WIN-BUGSFIX.exe Overwritten Files: vbs vbe js jse css wsh sct hta dll exe Hidden files: sys dll MessageBody: Please check if the bill is correct, by opening the attached file.

Subject Line: How to protect yourself from the IL0VEY0U bug!
Attachment: Virus-Protection-Instructions.vbs
HTML File: Virus-Protection-Page.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg
Hidden files: mp3 mp2
MessageBody: Here's the easy way to fix the love virus.

Subject Line: ILOVEYOU
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
HTML File: LOVE-LETTER-FOR-YOU.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg
Hidden files: mp3 mp2
MessageBody: kindly check the attached LOVELETTER coming from me.
Note: This variant didn't have author's comments. "Khaled Mardam-Bey" is replaced with "Bla Bla Bla"

Subject Line: Variant Test
Attachment: IMPORTANT.TXT.vbs
HTML File: IMPORTANT.HTM
Droped Files: sndvol32.vbs IEAKDLL.vbs
Download files: none
Overwritten Files: vbs vbe mpeg avi qt qtm mpg
Hidden files: mpeg mpg
MessageBody: This is a variant to the vbs virus.

Subject Line: Yeah, Yeah another time to DEATH...
Attachment: Vir-Killer.vbs
HTML File: LOVE-LETTER-FOR-YOU.HTM
Droped Files:
Download files: Vir-Killer.exe (file not posted)
Overwritten Files: vbs vbe zip rar
Hidden files: asm pas
MessageBody: This is the Killer for VBS.LOVE-LETTER.WORM.
Note: This variant will not spread through mIRC.

Subject Line: PresenteUOL
Attachment: UOL.TXT.vbs
HTML File: UOL.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs
Download files: none
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg
Hidden files: mp3 mp2 exe com ini
MessageBody: O UOL tem um grande presente para voce, e eh exclusivo. Veja o arquivo em anexo.

Subject Line: LOOK!
Attachment: LOOK.vbs
HTML File: LOOK.HTM
Droped Files: MSUser32.vbs User32DLL.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta xl
Hidden files: mp3 mp2
MessageBody: hehe...check this out.
Note: Similar to J variant. The only difference is it overwrites mp3, mp2 instead of lnk and exe.

Subject Line: Recent Virus Attacks-Fix
Attachment: BAND-AID.DOC.vbs
HTML File: BAND-AID.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs
Download files: Overwritten Files: vbs vbe js jse css wsh sct hta bat jpg jpeg gif tif tiff wav lnk bak doc xls rtf txt htm html ml mny zip bmp cab inf mp3 mp2
Overwritten Files: vbs vbe js jse css wsh sct hta bat jpg jpeg gif tif tiff wav lnk bak doc xls rtf txt htm html ml mny zip bmp cab inf mp3 mp2 Hidden files: none
MessageBody: Attached is a copy of a script that will reverse the effects of the LOVE-LETTER-TO-YOU.TXT.vbs as well as the FW:JOKE, Mother's Day and Lithuanian Siblings.
Note: Minor change in the text in mIRC script.

Subject Line: I Cant Believe This!!!
Attachment: KillEmAll.TXT.vbs
HTML File: killer.HTM
Droped Files: killer1.vbs killer2.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta gif bmp
Hidden files: wav mid
MessageBody: I Cant Believe I Have Just Recieved This Hate Email .. Take A Look!
Note: This variant will not spread through mIRC.

Subject Line: ILOVEYOU
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
HTML File: LOVE-LETTER-FOR-YOU.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg
Hidden files: mp3 mp2
MessageBody: kindly check the attached LOVELETTER coming from me.
Note: Exact same code as A variant, with programming format.

Subject Line: IMPORTANT: Official virus and bug fix
Attachment: Bug and virus fix.vbs
HTML File: Bug and virus fix.htm
Droped Files: MSKernel32.vbs Win32DLL.vbs
Download files: none
Overwritten Files: vbs vbe js jse css wsh sct hta exe com dll sys pwl txt
Hidden files: none
MessageBody: This is an official virus and bug fix. I got it from our system admin. It may take a short while to update your system files after you run the attachment.

Subject Line: ILOVEYOU
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
HTML File: LOVE-LETTER-FOR-YOU.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg
Hidden files: mp3 mp2
MessageBody: kindly check the attached LOVELETTER coming from me.
Note: With extra comments in the code

Subject Line: ILOVEYOU
Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
HTML File: LOVE-LETTER-FOR-YOU.HTM
Droped Files: MSKernel32.vbs Win32DLL.vbs WinFAT32.exe
Download files: WIN-BUGSFIX.exe
Overwritten Files: vbs vbe js jse css wsh sct hta jpg jpeg
Hidden files: mp3 mp2
MessageBody: kindly check the attached LOVELETTER coming from me.
Note: With extra comments in code

8/11/2000 - Il virus I love you è ancora in circolazione, o per meglio dire è tornato. La 44esima mutazione si sta riproponendo questi giorni. Stando a quanto asseriscono i laboratori della McAfee, la versione che va diffondendosi sarebbe nata verso la fine di Settembre con la stessa genetica del virus originale. La diffusione avviene attraverso attachment di messaggi di posta elettronica auto-inviati a tutti gli indirizzi email contenuti nella rubrica di Outlook delle "vittime". L'oggetto dell'email infetta che veicola il virus riporta: "US PRESIDENT AND FBI SECRETS", oppure, in alternativa : "PLEASE VISIT HTTP://WWW.2600.COM". Il messaggio cita anche 2600.com, famigerato sito dedicato all'hacking, il corpo della e-mail invita l'utente ad aprire l'allegato con la frase: "VERY JOKE..! SEE PRESIDENT AND FBI TOP SECRET PICTURES.."

E' stato lanciato un allarme per un nuovo worm altamente distruttivo, che, statndo alle notizie delle ultime ore ha iniziato a diffondersi molto rapidamente, dando segnali di una forte espansione. MiniZip è classificato con rischio "high".
Da quanto si è avuto modo di apprendere, di una variante del già noto ExploreZip.worm, un virus che lo scorso giugno non ha risparmiato vittime. L'interesse principale di MiniZip sono i documenti delle applicazioni di Microsoft Office, come Word, Excel e PowerPoint, che se infettati, vengono distrutti e non possono essere recuperati.
MiniZip si autoinvia come reply a tutti i messaggi ricevuti da applicazioni di posta elettronica su MAPI, come Outlook, Outlook Express ed Exchange, tutti prodotti Microsoft, e Netscape Mail. E' il primo worm internet compresso autoeseguibile (.exe zippato). Appena giunge sul sistema , inizia a verificare tutti i dischi ricercando file di tipo .doc, .xls, .ppt, .c, .cpp, .h e .asm. , e dopo averli trovati li svuota completamente eliminando i contenuti.
Per fortuna viene riconosciuto con una certa facilità. Quando si auto-invia loa fa sotto forma di file compresso chiamato "zipped_files.exe". Lo si può riconoscere anche dal corpo del messaggio, in inglese: "I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs".
Il file compresso, se aperto, segnala un finto messaggio di errore "Cannot open file: It does not appear to be a valid archive. If this file is part of a zip format backup set, insert the last disk of the backup set and try again. Please press F1 for help". Un messaggio standard che ricorda molto quello originale di WinZip.
Una volta avviato, il virus si autocopia nella directory di sistema di Windows, sotto forma di file "Explore.exe". Dopodichè modifica il file WIN.INI per essere attivato ad ogni avvio del sistema operativo. Su WindowsNT, vengono modificati anche i file di registro. Fatto questo, il virus cancella i dati contenuti nei file sul disco C, continuando ad esplorare il sistema per attaccare tutti gli altri dischi.

"Mypics" è nuovo virus altamente distruttivo in grado di produrre rilevanti e pesantissimi danni. Il virus è ancora classificato come un virus a rischio medio poiché la sua diffusione non è ancora elevata.

Al fine di riformattare i dischi fissi del computer attaccato, il virus si nasconde fingendosi un problema legato ad Anno2000. Questo è chiaramente un falso problema. Il suo obiettivo è quello di riformattare i dischi rigidi sul sistema, e il reindirizzamento del browser su pagine a contenuto pornografico.
Tecnicamente si tratta di un Worm (Worm.Mypic, W32/Mypics.worm) che si autoireplica inviandosi attraverso le e-mail in un attachment che si chiama "Pics4You.exe".
Allegato ad una email nel quale è scritto: "here some pictures for you!". Tale file, se aperto, installa nella RAM e si allega a messaggi inviati segretamente ai primi 50 indirizzi che trova nella rubrica del sistema infettato.
Nelle macchine attaccate, il prossimo primo gennaio, verrà generato un file sotto C dal nome CBIOS.COM. Tale file riscriverà le informazioni di setup del BIOS del PC. Questo provocherà un messaggio di errore "CMOS checksum is invalid" e non appena l'utente cercherà di riavviare il sistema il worm tenterà di formattare i dischi C e D, dopo aver riscritto l'autoexec.bat con le seguenti righe:

ctty nul
format d: /autotest /q /u
format c: /autotest /q /u
c:\cbios.com

Dopodichè rimpiazzerà la home page di Internet Explorer con l'indirizzo http://www.geocities.com/SiliconValley/Vista/8279/index.html

08/01/2000 - Seoul (Corea del Sud) - Dal centro ricerche della coreana Dr.Ahn arriva la segnalazione di infezioni virali legate agli auguri per il 2000.
Attenzione ai messaggi non attesi che arrivano per gli auguri di buon anno. Non aprire gli allegati.
L'azienda afferma che il virus può essere facilmente identificato poichè si autoinvia sotto forma di messaggio di auguri proveniente dal servizio "Messagemates.com". Dr.Ahn ritiene che W32/NewApt.worm rischia di diffondersi rapidamente su tutta la rete. Si camuffa bene perché l'attachment che crea la email, con cui si autoinvia dal computer infetto a molti altri destinatari, cambia nome casualmente di volta:

• baby.exe
• bboy.exe
• boss.exe
• casper.exe
• chestburst.exe
• cooler1.exe
• cooler3.exe
• copier.exe
• cupid2.exe
• farter.exe
• fborfw.exe
• goal.exe
• goal1.exe
• g-zilla.exe
• irngiant.exe
• hog.exe
• monica.exe
• panther.exe
• panthr.exe
• party.exe
• pirate.exe
• s.exe
• saddam.exe
• theobbq.exe
• video.exe

Si tratta di un virus noto da tempo, ma che non sembrava destare troppe preoccupazioni. Sembra, invece, che la sua capacità invasiva sia parecchio elevata.
Si diffonde via e-mail con un attachment la cui vera estensione viene nascosta, ed il file allegato può avere uno dei seguenti nomi:

• I_wanna_see_you.txt.pif
• Matrix_screen_saver.scr
• Love_letter_for_you.txt.pif
• New_playboy_screen_saver.scr
• Bill_gates_piece.jpg.pif
• Tiazinha.jpg.pif
• Feiticeira_nua.jpg.pif
• Geocities_free_sites.txt.pif
• New_napster_site.txt.pif
• Metallica_song.mp3.pif
• Anti_cih.exe
• Internet_security_forum.doc.pif
• Alanis_screen_saver.scr
• Reader_digest_letter.txt.pif
• Win_$100_now.doc.pif
• Is_linux_good_enough!.txt.pif
• Qi_test.exe
• Avp_updates.exe
• Seicho_no_ie.exe
• You_are_fat!.txt.pif
• Free_xxx_sites.txt.pif
• I_am_sorry.doc.pif
• Me_nude.avi.pif
• Sorry_about_yesterday.doc.pif
• Protect_your_credit.html.pif
• Jimi_hendrix.mp3.pif
• Hanson.scr
• F___ing_with_dogs.scr
• Matrix_2_is_out.scr
• Zipped_files.exe
• Blink_182.mp3.pif

Si tratta di un worm che si installa nel sistema causando un crash, inoltre si autoinvia automaticamente agli indirizzi presenti nella rubrica di Outlook
Il livello di rischio per il momento è medio. Il virus negli ultimi giorni ha iniziato a creare problemi tra alcune delle più importanti aziende americane.
Win32/Melting.worm è un virus già conosciuto , arriva in un messaggio di posta elettronica che ha per oggetto la frase "Fantastic Screensaver" e in attachment il file MelingScreen.exe che non deve essere aperto assolutamente. In caso di avvio del file infetto, il virus cerca i file .exe che si trovano nella directory di Windows, rinominando il primo .exe che trova in .bin e copiandosi in sostituzione dell'exe originale.

Il virus, comunque, è condizionato alla presenza sul PC delle librerie di Visual Basic 5, e viene attivato dall'apertura dell'applicazione contagiata copiandosi nella directory C:\WINDOWS\MeltingScreen.exe, cercando poi nel registro di configurazione la chiave HKEY_CURRENT_USER\MeltingScreen\String Se questa chiave non è presente , la crea e si autoinvia ad ogni indirizzo contenuto nella rubrica di Outlook del sistema infetto.

13/11/2000 - Presenza dell'icona a forma di occhio nella parte inferiore destra del vostro monitor

• quando il cursore del mouse viene posizionato sull'icona in oggetto, appare l'avviso "Lo estamos mirando..."
• Se si clicca sull'icona appare il box message "Nunca presionar este boton".
• Quando il bottone viene premuto appare il mesaggio, "Feliz Navidad", con il commento "Lamentablemente cayo en la tentacion y perdio su computadora". Una volta infettati, tutte le e-mail trasmesse dal PC attaccato inoltreranno automaticamente il virus.

20 maggio 2000 - Nuovo micidiale virus, variante del famigerato "I Love You". Il codice infetto viene inviato, come al solito, sotto forma di allegato insieme ad una e-mail, con l'oggetto "FW:" ed il nome di un file casuale e l'estensione vbs. Per essere più precisi, e per fare un esempio, il worm-virus può individuare sul vostro pc il file "config.txt" ed allegare al messaggio e-mail in arrivo, "FW:config.txt" ed in allegato "config.txt.vbs". Il nuovo virus è quindi polimorfico. Il suo codice consente, cioè, di aggiungere allo script dei caratteri, modificando così la sua lunghezza e camuffando quindi l'impronta che utilizzano i software antivirus per l'individuazione. Questa astuzia lo rende ancora più difficile da identificare.
Il virus attacca mofidicando le chiavi di registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\ HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunServices\ to run the copy in the Windows folder. Precauzioni:

• gli amministratori di rete devono filtrare tutti i messaggi e-mail contenenti script Vbs.
• gli utenti di Outlook devono scaricare l'ultima patch fornita da Microsoft e disabilitare la funzione di scripting.
• disabilitare lo Scripting Host di Windows 98 (dal Pannello di Controllo alla finestra Installazione Applicazioni, aprire l'elenco delle componenti dell'Installazione di Windows e deselezionare quindi "Windows Scripting Host" sotto Accessori).

Worm creato in Visual Basic 6. Viene trasmesso attraverso un file chiamato CREATIVE.EXE che si presenta con una falsa icona Shockwave Media Player.
Questo virus viene trasmesso con un attach via e-mail con un messaggio avente queste caratteristiche:
Oggetto = A great Shockwave flash movie
Corpo messaggio = Check out this new flash movie that I downloaded just now ... It's Great
Bye
Allegato = creative.exe
All'avvio del file allegato Creative.exe il worm viene installato nella directory principale ed in quella del sistema operativo:

• c:\creative.exe
• c:\[WINDOWS directory]\TEMP\creative.exe
• c:\[WINDOWS directory]\Start Menu\Programs\StartUp\creative.exe

Si tratta di un verme ad alto rischio trasmesso con una e-mail con queste caratteristiche:
----------------------------------------------
Subject: C:\CoolProgs\Pretty Park.exe
Test: Pretty Park.exe :)
----------------------------------------------
in allegato è contenuto il file "Pretty park.exe" ed in alcuni casi "Pretty~1.exe". Questo verme auto-invia email ogni 30 minuti a tutti gli indirizzi contenuti nella rubrica e associati ad Outlook Express.

20 gennaio 2000 - E' un Internet worm che arriva con un attach via email trasmesso con un messaggio reply di questo tipo:
Sent: Thursday, January 13, 2000 12:08 PM
To: SMTP:sender@domain.com
Subject: Re: original subject line

''Cognome, Nome' wrote:
====
-
-
-
====
P2000 Mail auto-reply:
' I'll try to reply as soon as possible.
Take a look to the attachment and send me your opinion! '
> Get your FREE P2000 Mail now! <

L'attach contiene uno dei seguenti file:

• billgt.exe
• card.exe
• docs.exe
• fun.exe
• hamster.exe
• humor.exe
• images.exe
• joke.exe
• midsong.exe
• news_doc.exe
• pics.exe
• PsPGame.exe
• searchURL.exe
• SETUP.EXE
• s3msong.exe
• tamagotxi.exe

20/06/2000 - La questione forse più inquietante sul nuovo worm VBS/Stages è la diversa valutazione che ne viene data da due delle maggiori aziende antivirus. Secondo Computer Associates, infatti, il virus non può provocare i danni di LoveLetter o Melissa e può essere facilmente fermato. Stando a Trend Micro, invece, il worm è pericoloso,·potrebbe diffondersi rapidamente e colpire seriamente reti e computer Windows dotati di Outlook.

Stando a Trend Micro, il nuovo codice infetto, denominato ufficialmente "VBS_Stages.A.", si nasconde in un attachment di posta elettronica denominato "LIFE_STAGES.TXT.SHS". L'estensione SHS (Shell Scrapt Object) viene "nascosta" da Outlook, cosicché l'utente che riceve l'attach è portato a pensare che si tratti di un innocente file di testo .txt.

Una volta aperto, sostiene Trend Micro, il virus, un codice Visual Basic Script, rinomina e cancella i file di registro e pensa alla propria diffusione, replicandosi su tutti i drive raggiungibili e autoinviandosi via email con Outlook o via mIRC in chat.

Il messaggio infetto, che secondo Trend Micro potrebbe diffondersi molto rapidamente, può arrivare con subject diversi, modificati a caso dal virus stesso, vale a dire: "Funny", "Fw:Funny", "Life stages text", "Funny text" o "Fw:Funny text". Nel "corpo" dell'email, invece, il messaggio è "The male and female stages of life" oppure "The male and female stages of life. Bye."

Il worm, quando attivato con la sua apertura da parte dell'utente, si dimostra ben costruito. Apre infatti una finestra di Notepad in cui si legge un raccontino umoristico in inglese sulle "fasi della vita" (Stages of life) dell'uomo e della donna. Mentre l'utente legge il racconto, il virus "si occupa" del sistema.

Secondo Computer Associates il worm è stato individuato soltanto presso due grandi organizzazioni e non dà segni di diffondersi con grande velocità. Stando a Trend Micro, invece, sarebbero quattro le rilevazioni effettuate in punti diversi degli Stati Uniti. Non solo, altre presenze sarebbero segnalate in India e Australia. Domenica, Trend Micro ha deciso di far passare lo status di "pericolo" del virus da "medium" a "high".

20/06/2000 - Si nasconde come al solito in un attachment di posta elettronica chiamato "LIFE_STAGES.TXT.SHS" di 39.936 bytes. L'estensione SHS (Shell Scrapt Object) rimane nascosta ad Outlook, in modo che l'utente che riceve l'attach è portato a pensare che si tratti di un innocente file di testo .txt ed esegua quindi l'apertura senza prendere precauzioni. Una volta aperto l'allegato, un codice Visual Basic Script, rinomina e cancella i file di registro autoreplicandosi su tutti i drive presenti e autoinviandosi via email con Outlook o via mIRC in chat. Il file infetto potrebbe diffondersi con molta rapidità e può arrivare con subject diversi, modificati casualmente dal virus stesso, vale a dire:

• "Funny",
• "Fw:Funny",
• "Life stages text",
• "Funny text"
• "Fw:Funny text".

13 maggio 2000 - Questo nuovo virus sembra stia diffondendosi con una certa velocità in Europa, soprattutto in Germania ed Austria. Creato per attaccare sistemi Windows attraverso Outlook, non necessita dell'attivazione del Windows Scripting Host. Avviando il file allegato trasmesso con una e-mail con le seguenti caratteristiche:
Subject: "Servus Alter"
Corpo dell'email: "Hier ist das Spiel, das du unbedingt wolltest!;-)"
Attach: SouthPark.exe
Il virus viene attivato lanciando il file allegato alla e-mail. Scritto in Visual Basic 5 , necessita che nel sistema sia installato, sotto windows/system, il file MSVBVM50.DLL. Il worm si autoinvia a tutti gli indirizzi contenuti nella rubrica di Outlook e, copiandosi con il suo nome nelle directory di tutti i drive installati, esegue una ulteriore copia di se stesso sotto c:\winguard.exe . Modifica, inoltre, il registro di configurazione dando istruzioni per essere attivato al primo riavvio.

La sua opera prosegue creando ulteriori due file, C:\Windowsstart.dll e C:\Windowssystem.dll, per registrare la data della prima infezione nel sistema e il numero di riavvi del PC dal momento dell'infezione.

Al primo riavvio dopo l'infezione, viene creato un file, C:\Windows\Swapfile.vxd, contenente codice privo di significato, che diventando di dimesioni sempre maggiori, finisce per saturare lo spazio del disco fisso.

20 gennaio 2000 - Il file viene trasmesso con una email di 10.000 bytes, che se avviato sostiutisce il file WSOCK32.DLL per consentire il replicarsi e la successiva distribuzione via email.

Nel registro di configurazione viene creata la chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce\ Ska.exe="Ska.exe"

Si va diffondendo sempre di più un fastidiosissimo virus chiamato Happy 99, che a giudicare dalle numerose email di aiuto che abbiamo ricevuto, risulta più radicato di quanto si possa pensare. In questa pagina cercheremo di dare dei consigli su come affrontarlo e come sconfiggerlo.

Happy 99 Modifica un file del sistema operativo ( in modo del tutto trasparente ) e quindi riesce a replicarsi ad ogni invio di messaggi email . Non provoca danni gravi come ad esempio la perdita di dati o il crash del sistema.

Il virus attacca e si diffonde con messaggi di posta e si autoreplica attraverso gli indirizzi presenti in Outlook. Promette di presentare le candidate a Miss World, ma in realtà cela ben altro. Il worm è altamente distruttivo se viene attivato , ma la sua diffusione , per il momento, non desta molta preoccupazione.
Il messaggio:

Oggetto: "Miss World"
Messaggio: Hi, [email recipient] Enjoy the latest pictures of Miss World from various Country
Allegato: MWORLD.EXE, MISSWRLD.EXE., o MISSWORLD.EXE (varia)

Una volta lanciato il file allegato, compare una finestra con una applicazione Flash ed il worm attiva la riscrittura del file Autoexec.bat inserendo il codice distruttivo e dando istruzione di riformattare gli hard disks C e, se presente, D

W97M/Thurs.A o " giovedì " è un virus recente, scoperto il 26/8/99. W97M/Thus.A è un macro virus di Word97. L'infezione ha raggiunto i sistemi interbancari di circa 8 nazioni e l'allarme, lanciato da Network Associates , ha determinato il passaggio del fattore di rischio da "medio" ad "alto". Quando il macro virus si installa non da indicazioni evidenti della sua presenza, gli utenti non si accorgeranno che un documento è stato infettato, tranne che per un particolare: poichè il virus infetta il file normal.dot, questi avrà una dimensione di 27k in più. Un altro sintomo potrebbe essere dato dal mancato avvertimento, aprendo un file sicuramente non infetto, contenente una macro istruzione. Ciò è causato dal fatto che il virus disattiva le Macro Warning di Word. Il virus contiene un modulo chiamato "ThisDocument" che si incarica di attaccare qualsiasi file Word creato sulla macchina infetta. Il virus resta latente fino alla data del 13 dicembre, data in cui tenterà di cancellare tutti i file contenuti nel disco fisso c: (sottodirectories comprese).

Trojan.Kill. Si tratta di un virus che, stando agli esperti dell'azienda Computer Associates, si è diffuso poichè presente in diverse copie pirata di Windows98. Il virus sembra sia in grado di cancellare una discreta parte del contenuto dell'hard disk del pc infettato. Nell'invitare tutti gli utenti ad acquistare software originale, la Computer Associates ha comunque comunicato di aver reso disponibile una cura scaricabile gratuitamente . Da quanto si sa, Trojan.Kill si diffonde in diversi modi, soprattutto attraverso le email in attachment , ma anche sui dischi di rete condivisi. Si riconosce grazie al file di "installazione" del virus che si chiama "Instalar.exe".

W32/Trinoo è un trojan scoperto alla fine di febbraio 2000, il suo livello di rischio è per il momento medio, ma la sua diffusione va rapidamente aumentando. Arriva come al solito attraverso l'attach di una e-mail. Modificazione del registro di configurazione, con la presenza del file "SERVICE.EXE" . Esiste la possibilità che sulla stessa macchina sia stato installato anche un altro programma backdoor (trojan). Una volta lanciato il file infetto, verrà modificata la chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run=service.exe in modo da eseguire il file service.exe al primo startup di Windows.

E' stato rilevato in queste ore dalla Computer Associates. Si presenta come un innocuo messaggio di auguri che inganna le vittime ignare. Si tratta di un worm che, come altri suoi predecessori, attacca gli utenti di Windows che utilizzano Outlook Express come client di posta elettronica. Arriva al solito come allegato ad un messaggio di posta elettronica che ha, come subject, "New Year!" e nel testo la frase: "Wow Happy New Year!". Il file allegato ha il nome "happynewyear.txt" , ma in realtà si tratta di un file Visual Basiccon doppia estensione: happynewyear.txt.vbs. che in Outlook viene visualizzata. Una volta lanciato lanciato, il worm si installa nel sistema ed avvia un trojan che si autoinvia come allegato nei messaggi di posta elettronica a tutti gli utenti presenti nella rubrica di Outlook del computer attaccato. Successivamente il worm tenta di scaricare il file "Teen.exe" da alcuni siti Internet.

01/12/2000 - W95.Ussrhymn@m, individuato per la prima volta lo scorso 9 novembre, entra ora tra i worm da osservare con attenzione per la sua potenziale azione distruttiva . La data della sua attivazione dovrebbe essere quella del 1 gennaio prossimo, giorno in cui il virus dovrebbe annunciare sua presenza e l'inizio della sua opera facendo sentire un vecchio inno sovietico . W95.Ussrhymn@m, stando a quello che asseriscono i laboratori della Symantec, è un virus che colpisce i sistemi Windows. Non presenta grosse capacità di mascheramento, ma è capace di disabilitare alcuni programmi antivirus non essendo così facilmente individuabile.Colpisce i file PE (Portable Executable) ed inserisce i file infetti eseguibili in archivi compressi con winzip o winrar. W95.Ussrhymn@m si attiva a seguito dell'apertura di file infetto. Installa il proprio codice nella prima parte dell'applicazione infetta, inserendosi sopra le prime righe di codice. Successivamente il virus effettua un loop che, a quanto informa Symantec, è stato probabilmente progettato per obbligare gli emulatori 32bit a rinunciare prima di intercettare il virus. La sua capacità di diffusione non sembra molto alta, anche perché non si diffonde via email ma tramite la condivisione dei file infetti in una rete. A questo punto vengono attaccati tutti i file.exe e.scr trovano sulla rete a cui è connesso il computer o su hard disk e drive periferici (da A a Z). E' stato rilevato che il virus può attaccare il file Wsock32.dll facendone una copia, infettandolo e poi creando un file Wininit.ini che si autorinomina in Wsock32.dll quando il computer viene fatto ripartire.

Fonte: http://www.pcself.com/virus/index.html