Se usate un Outlook Express di versione inferiore alla 5.5 Service Pack 2 e avete ricevuto Swen, siete già stati contagiati a vostra insaputa. Eseguite le seguenti operazioni, e finchè non le avrete portate tutte a termine, non scaricate più posta con Outlook Express, o sarà stato tutto inutile:
Rimuovete Swen (vedere Come eliminarlo)
Installate l'aggiornamento descritto nel bollettino MS01-020
Il presente documento è stato scritto a tempo di record da una Juliet che, per farlo, ha seriamente trascurato il proprio cactus anti-radiazioni da monitor. Ah, e anche il proprio ragazzo
Ho imparato DocBook praticamente in tre giorni, quindi abbiate pazienza se l'aspetto di questo documento non è un granchè—l'importante è che vi sia d'aiuto
Dato che, grazie a Swen, la mia mailbox è inutilizzabile, i vostri commenti, aggiunte, critiche e minacce, se volete che mi pervengano, vanno spediti ad uno di questi newsgroup, scrivendo “[SWEN-FAQ]” nel subject:
it.comp.sicurezza.varie
it.comp.sicurezza.virus
it.comp.sicurezza.windows
Se interessa o se serve, la pagina è disponibile anche nel suo formato originale (DocBook XML)
In questo articolo vengono dati solo suggerimenti, che è il lettore a scegliere coscientemente di seguire o meno. L'autrice, pertanto, declina ogni responsabilità per qualsiasi danno causato direttamente o indirettamente dalle informazioni contenute nell'articolo
1. Che cos'è Swen e come si manifesta | |
1.1. | Ricevo strani messaggi da Microsoft, cosa sono? |
Sono virus. Se non siete più che sicuri di quello che state facendo, non aprite l'allegato per nessun motivo. Se usate un Outlook Express di versione inferiore alla 5.5 Service Pack 2, probabilmente siete stati già contagiati, anche se non avete aperto gli allegati—Outlook Express l'ha fatto al posto vostro. Per maggiori informazioni, vedere Importante: per gli utenti di Outlook Express | |
1.2. | Microsoft invia virus? |
1.2. | Qualcuno mi odia? |
I messaggi con il virus Swen non vengono da Microsoft, e non sono stati scritti da un essere umano:
| |
1.3. | Il mio firewall/antivirus si chiude da solo e non riesco a riaprirlo, cosa succede? |
1.3. | Si apre una finestra di errore di MAPI32/kernel32.dll, cosa succede? |
Sono alcuni dei sintomi della presenza di Swen. Per liberarsi dell'ospite indesiderato, vedere Come eliminarlo. Per maggiori informazioni sui sintomi e sui danni causati dal virus, vedere Informazioni su Swen dai produttori di antivirus | |
1.4. | Che cosa fa Swen, esattamente? |
2. Come eliminarlo | |
2.1. | Il mio computer è stato infettato da Swen e non ho un antivirus: cosa posso fare? |
F-Secure distribuisce un programma gratuito per la rimozione di Swen | |
2.2. | Swen non mi lascia aprire l'antivirus: come posso eliminarlo? |
I produttori di antivirus sono a conoscenza del problema, e spiegano nelle loro pagine dedicate a Swen come liberarsene in caso di emergenza. Vedere Informazioni su Swen dai produttori di antivirus | |
3. Come non riceverlo più | |
3.1. | Ho Outlook Express, come faccio a eliminare le e-mail di Swen senza scaricarle? |
AttenzioneOutlook Express non ha filtri adatti ad eliminare le e-mail di Swen senza rischio di falsi positivi. Le procedure che seguono sono riportate a titolo puramente informativo, e presuppongono che voi non riceviate allegati importanti di dimensioni superiori ai 100 KB. Se possibile, usate uno dei programmi descritti in Applicazioni aggiuntive per filtrare le e-mail invece dei filtri di Outlook Express Outlook Express 4. Outlook Express 6. | |
3.2. | Ho Eudora, come faccio a eliminare le e-mail di Swen senza scaricarle? |
Eudora 5 e 6, modalità Sponsored e Paid.
| |
4. Come filtrarlo con un server | |
4.1. | Ho Hamster Classic, come faccio a filtrare le e-mail di Swen? |
Eliminare le e-mail di Swen da server POP3 esterni. Vedere Mailfilt.hst per Hamster Classic |
Tutti i produttori di antivirus hanno dedicato una pagina a Swen, spiegando più o meno dettagliatamente i danni, i sintomi, gli effetti collaterali e i meccanismi di propagazione tipici di questo virus, e come eliminarlo nonostante disattivi gli antivirus:
Ho preparato un'installazione limitata di Hamster Classic, dedicata unicamente allo svuotamento automatico di mailbox POP3 dalle e-mail spazzatura inviate da Swen. È pensato per chi vuole una soluzione rapida al problema Swen, e non può averla dal proprio programma di posta nè vuole passare ore a configurare Hamster Classic: l'installazione limitata è disponibile solo in lingua italiana, tutti i menu superflui sono stati nascosti e i server locali disattivati, il controllo delle caselle di posta viene fatto automaticamente e nessun messaggio viene salvato su disco. I già utenti di Hamster Classic dovrebbero leggere, al posto di questa sezione, Ho Hamster Classic, come faccio a filtrare le e-mail di Swen?
Il programma, preconfigurato e pronto all'uso, può essere scaricato da qui. Funziona su tutti i Windows, ed è interamente auto-contenuto. Dopo averlo scaricato, eseguire le seguenti operazioni per installarlo e configurarlo:
Estrarre tutti i file in un'unica directory
Fare doppio click sull'icona hamster.exe
Ignorare gli errori e gli avvisi—non ricompariranno più
Selezionare Ctrl-M)
-> (Spostarsi alla pagina Server POP3
Inserire il nome del proprio server di posta POP3 e premere
Premere Modifica
Inserire il proprio nome utente e password per il server di posta, quando richiesto
Premere Server POP3
nella finestraPer ogni altro server POP3 da controllare, ripetere le operazioni dalla 6 in poi
Premere Configurazione posta
nella finestraSelezionare Ctrl-G)
-> (Selezionare Avvia ridotto a icona e premere
Opzionale. Creare un collegamento al file hamster.exe nella cartella Esecuzione automatica per eseguire Hamster Classic automaticamente ad ogni avvio
Fatto ciò, Hamster Classic dovrebbe essere pronto, e ripulire le mailbox POP3 automaticamente ogni 20 minuti finchè il computer è connesso a Internet
Per eliminare le e-mail di Swen dai server POP3 esterni, inserire le seguenti righe nella sezione [*] di Mailfilt.hst:
=kill() X-ID:{[0-9]+} # NOTA: alcuni dei messaggi spediti da vecchie versioni di Swen (Gibe, ecc.) # hanno dimensioni molto piu' ridotte (attorno ai 13 KB). Aggiungere # "+@Bytes:%> 13000 +@Bytes:%<16000" in coda alle righe che seguono per fermare # anche quelle varianti =kill() Subject:{^ *((Current|Newest|Last|New|Latest) +)?((Net|Network|Microsoft|Internet) +)?((Critical|Security) +)?(Patch|Update|Pack|Upgrade) *$} {^ *((FW:|FWD:|RE:) +)?((Check|Check +out|Prove|Taste|Try|Try +on|Look +at|Take +a +look +at|See|Watch|Use|Apply|Install) +)?((these|the|that|this) +)((correction|corrective|security|critical|internet|important) +)(pack|package|patch|update) +((for +((Microsoft|MS) +)?((Windows|Internet +Explorer) +))?(((which|that) +)((came|comes) +))?from +(the +)?(M$|Microsoft|MS)( +(Corporation|Corp\.))) *$} +@Bytes:%> 140000 +@Bytes:%<165000 =kill() Subject:{^ *((Undelivered|Undeliverable|Returned) +)?(Mail|Message)(:( +Returned +To +(Sender|Mailer)|))?|((Failure|Abort|Error|Bug) +)?(Notice|Report|Announcement|Message|Advice|Letter)? *$} +@Content-type:multipart/alternative +@Bytes:%> 140000 +@Bytes:%<165000 =kill() Subject:" " +@Bytes:%> 140000 +@Bytes:%<165000