Un worm di massmailing davvero preoccupante: a poche ore dall’advisory pubblicato riguardo a Sober , torna a farsi sentire prepotentemente sulla fruibilità della rete un nuovo worm, che sta già causando notevolissimi disagi in tutto il mondo: la sua diffusione, a poche ore dalle prima intercettazioni, è già classificata come “alta”.
“MyDoom”, noto anche come “Novarg”, è un worm di stampo “classico”
utilizza l’e-mail come principale veicolo di diffusione e richiede l’attivazione manuale dell’allegato da parte dell’utente per poter entrare in esecuzione: una volta “dentro”:
_apre le porte TCP da 3127 a 3198 consentendo al proprio ideatore di collegarsi alla macchina e prenderne il pieno controllo, compromettendo la sicurezza di tutto il sistema
_Una mail contente il virus viene spedita, utilizzando anche un SMTP interno, a tutti gli indirizzi rastrellati sul pc infetto e di cui viene alterato casualmente il mittente
_Si copia nelle cartelle condivise di Kazaa, il noto programma di filesharing, con il nome “winamp5”, “icq2004-final”, “activation_crack”, “strip-girl-2.0bdcom_patches”, “rootkitXP”, “office_crack”, “nuke2004”
_Si prepara a lanciare un attacco di tipo DDoS contro il sito Internet di Sco Group,
Il worm, che non utilizza particolare tecniche persuasive per convincere gli utilizzatori a lanciare l’allegato, tranne documenti dai potenzialmente interessanti quali “body”, “data”, “doc”, “document”, “file”, “message”, “readme”, “test” e altri, è già riconosciuto dagli antivirus aggiornati: è ALTAMENTE CONSIGLIABILE fare comunque una scansione con il tool gratuito messo a disposizione da Sophos
che permette, fra l’altro, anche l’eliminazione automatica del worm.
La mail contente il virus è comunque facilmente riconoscibile poiché porta un subject riferito ad un ipotetico delivery notification come “error”, “mail delivery system”, “mail transaction failed”, “server report”, “status” o una serie generata a caso di caratteri. In alternativa, utilizza anche i subject “Hi” oppure “Hallo”.
Come nella maggior parte dei casi, il virus deve essere mandato in esecuzione manualmente dall’utente per poter agire: eliminando semplicemente la mail incriminata si eviterà il contagio.
Il malware, concepito sicuramente come forma di “protesta armata” conto le attività legali intraprese da SCO Group contro Linux, utilizza un sistema interno che ne bloccherà la diffusione dopo il 12 febbraio: fino ad allora si raccomanda di mantenere ALTISSIMA la guardia.
Segnalato da Zane
Antivirus update
|