ALERT: Dumaru si fa largo su Internet

peppoweb

Utente Attivo
WORM CON CAVALLO DI TROIA
Sta prendendo piede sui computer degli utenti connessi a Internet il nuovo worm Dumaro, scoperto il 16 agosto ma che negli ultimi giorni e' riuscito a rendersi pericoloso per la sua diffusione.

Dumaro installa nel computer infettato anche un cavallo di Troia, un software che permette a chi ha creato il virus di raccogliere dati e password dai computer colpiti.


CHI RIMANE INFETTATO

Dumaru e' studiato per colpire tutti i sistemi Windows, sono dunque immuni i vari Linux, Macintosh, OS/2 e UNIX.


FACILE DA RICONOSCERE

Dumaro arriva, come spessissimo accade, attraverso la posta elettronica, con un messaggio piuttosto subdolo: finge infatti di arrivare direttamente da Microsoft, dall'indirizzo "Microsoft <[email protected]>" e con un soggetto invitante. Ma ecco il dettaglio del messaggio:

Soggetto: Use this patch immediately !

Testo del messaggio:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!

Per fortuna anche il file allegato ha sempre lo stesso nome: patch.exe


COME FUNZIONA

Dumaro quando si installa nel computer prepara un cavallo di Troia basato sul protocollo IRC, invia se stesso a tutti gli account email che trova nei file del computer con le seguenti estensioni:

htm
wab
html
dbx
tbb
abd

Per spedirsi agli indirizzi Dumaro utilizza un proprio server SMTP, ovvero non ha bisogno di alcun software o server per diffondere i messaggi.

Inoltre, Dumaro modifica il contenuto di due file di sistema (win.ini e system.ini) e infetta i file exe (dunque i programmi) che trova nella directory principale delle partizioni del disco formattate con il file system NTFS.


COME DIFENDERSI

Tutti i principali produttori antivirus hanno aggiornato i propri sistemi per far fronte a Dumaru e agli utenti si raccomanda quindi di provvedere all'aggiornamento del proprio antivirus per evitare sorprese.

E' buona regola non aprire gli allegati ai messaggi email di cui non si e' certi della provenienza. A volte anche la sola anteprima del messaggio puo' essere causa di infezione.

ULTERIORI INFORMAZIONI

Una pagina di spiegazione sul funzionamento del worm e' stata pubblicata da Sophos a questo indirizzo: http://www.sophos.com/virusinfo/analyses/w32dumarua.html

Un tool per la rimozione e' invece disponibile qui: http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

Fonte: Salva PC
 

peppoweb

Utente Attivo
I-worm Dumaru: l'analisi di Alessandro Valenza

W32.Dumaru è un mass-mailing worm creato in Microsoft C++ e compresso con UPX, in grado di copiare all'interno della macchina infetta un Trojan. Attraverso un motore SMTP proprietario invia messaggi infetti a tutti gli indirizzi e-mail che trova all'interno della macchina infetta, estrapolandoli da file con estensione: .htm .wab .html .dbx .tdd .adb.

Una volta eseguito Dumaru copia se stesso all'interno delle seguenti cartelle:

%Cartella di Windows%dllreg.exe
%System%load32.exe
%System%vxdmgr32.exe

Crea un file di nome windrv.exe (di 8,192 byte) all'interno della cartella di installazione di Windows. Il file altro non è che un IRC Trojan che all'esecuzione si connette a un particolare canale IRC monitorato dal creatore del worm.

Tutte le operazione che compie il worm (compreso il backup di tutte le e-mail racimolate all'interno del sistema infetto) vengono depositate in un file di archivio chiamato winload.log depositato dal worm stesso nella cartella di installazione di Windows.

Per assicurarsi l'esecuzione al successivo riavvio del sistema operativo inserisce il seguente valore:

"load32" = "%cartella di Windows%load32.exe


nella chiave di registro di Windows:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Inserisce all'interno del win.ini il seguente valore:

[windows]
run=%Windir%dllreg.exe

e nel system.ini il valore:

[boot]
shell=explorer.exe %System%vxdmgr32.exe

NOTA: I file win.ini e system.ini sono presenti soltanto nei sistemi operativi Windows 95/98/ME

L'e-mail infetta ha la seguente struttura:

From: "Microsoft"
Oggetto: Use this patch immediately !
Messaggio:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Allegato: patch.exe

Fonte: PortaZero
 
Discussioni simili
Autore Titolo Forum Risposte Data
M Inviare dati nel db dopo risposta alert PHP 0
M Lanciare alert se il codice fiscale è già presente nel db e lasciare la scelta di inserire all'utente PHP 42
felino Bootstrap alert: usare lo stesso div per due messaggi consecutivi jQuery 1
M [Javascript] Copia incolla con alert Javascript 0
M [PHP] Visualizzare nell'alert il calcolo PHP 4
spider81man [PHP] Alert Box per confermare Inserimento o Cancellazione dato. PHP 4
A [Javascript] Alert su Pulsante Esci Javascript 0
M alert dopo aggiornamento automatico pagina php PHP 4
M Javascript/Php. Stringa di testo a capo con alert Javascript 7
P [Javascript] alert con formattazione Javascript 1
F Alert selezione checkbox jQuery 6
M Indirizzare ad una pagina con alert Javascript 5
M alert nasconde la schermata sottostante PHP 1
D Valore alert nel div Javascript 1
G validazione form con div tipo alert jQuery 0
Creatt Visualizzare un immagine al mopmento di un messaggio di alert Javascript 7
G Post dopo alert HTML e CSS 1
Monital Dopo un alert non si vede il div PHP 0
S problema alert con eclipse Javascript 2
otto9due Alert con php echo PHP 2
A Alert con collegamento a pagina Javascript 1
M Alert con campo php PHP 8
Devil-94 visualizzare alert con una sequenza di tasti Javascript 6
W Attivare un alert di un app Sviluppo app per Android 1
H Alert Scadenze PHP 0
P Alert ad apertura di pagina? Javascript 2
E PHP + alert PHP 3
A Jquery Validation e Alert di errore jQuery 1
F alert per browser obsoleti WordPress 2
A un'alternativa agli alert? Javascript 2
S Alert in c# Javascript 2
Shyson Non si colora il campo alert Javascript 5
Shyson Personalizzare window.alert Javascript 1
valient13 aprire un alert per cancellare Javascript 1
voldemort Alternative al alert() con jQuery jQuery 0
A form registrazione + php + alert javascript Javascript 6
P Creare un sistema di alert PHP 6
F alert con asp Classic ASP 1
grottafelix Finestra Alert prima di delete Classic ASP 0
peppoweb ALERT: Cartolina di Natale? Un virus Sicurezza e Virus 0
S Pop up o alert di uscita HTML e CSS 7
peppoweb ALERT VIRUS: Netsky.X e Y Sicurezza e Virus 0
peppoweb ALERT WORM: Sober.C, worm contro il P2P Sicurezza e Virus 3
peppoweb ALERT VIRUS: Due nuove versioni del virus MiMail Sicurezza e Virus 0
peppoweb ALERT: Worm/ Falsa email da Microsoft Sicurezza e Virus 0
B editare messaggi di alert Javascript 3
peppoweb ALERT!: Si fa vedere il worm dell'11 Settembre Sicurezza e Virus 6
peppoweb ALERT: Nuovo worm/virus in diffusione Sicurezza e Virus 0
peppoweb ALERT Virus: Sophos segnala W32/Jantic-B Sicurezza e Virus 0
peppoweb Alert VIRUS: allarme giallo per Mylife.M Sicurezza e Virus 0

Discussioni simili