WORM CON CAVALLO DI TROIA
Sta prendendo piede sui computer degli utenti connessi a Internet il nuovo worm Dumaro, scoperto il 16 agosto ma che negli ultimi giorni e' riuscito a rendersi pericoloso per la sua diffusione.
Dumaro installa nel computer infettato anche un cavallo di Troia, un software che permette a chi ha creato il virus di raccogliere dati e password dai computer colpiti.
CHI RIMANE INFETTATO
Dumaru e' studiato per colpire tutti i sistemi Windows, sono dunque immuni i vari Linux, Macintosh, OS/2 e UNIX.
FACILE DA RICONOSCERE
Dumaro arriva, come spessissimo accade, attraverso la posta elettronica, con un messaggio piuttosto subdolo: finge infatti di arrivare direttamente da Microsoft, dall'indirizzo "Microsoft <security@microsoft.com>" e con un soggetto invitante. Ma ecco il dettaglio del messaggio:
Soggetto: Use this patch immediately !
Testo del messaggio:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Per fortuna anche il file allegato ha sempre lo stesso nome: patch.exe
COME FUNZIONA
Dumaro quando si installa nel computer prepara un cavallo di Troia basato sul protocollo IRC, invia se stesso a tutti gli account email che trova nei file del computer con le seguenti estensioni:
htm
wab
html
dbx
tbb
abd
Per spedirsi agli indirizzi Dumaro utilizza un proprio server SMTP, ovvero non ha bisogno di alcun software o server per diffondere i messaggi.
Inoltre, Dumaro modifica il contenuto di due file di sistema (win.ini e system.ini) e infetta i file exe (dunque i programmi) che trova nella directory principale delle partizioni del disco formattate con il file system NTFS.
COME DIFENDERSI
Tutti i principali produttori antivirus hanno aggiornato i propri sistemi per far fronte a Dumaru e agli utenti si raccomanda quindi di provvedere all'aggiornamento del proprio antivirus per evitare sorprese.
E' buona regola non aprire gli allegati ai messaggi email di cui non si e' certi della provenienza. A volte anche la sola anteprima del messaggio puo' essere causa di infezione.
ULTERIORI INFORMAZIONI
Una pagina di spiegazione sul funzionamento del worm e' stata pubblicata da Sophos a questo indirizzo: http://www.sophos.com/virusinfo/analyses/w32dumarua.html
Un tool per la rimozione e' invece disponibile qui: http://securityresponse.symantec.com/avcenter/venc/data/w32.dumaru@mm.removal.tool.html
Fonte: Salva PC
Sta prendendo piede sui computer degli utenti connessi a Internet il nuovo worm Dumaro, scoperto il 16 agosto ma che negli ultimi giorni e' riuscito a rendersi pericoloso per la sua diffusione.
Dumaro installa nel computer infettato anche un cavallo di Troia, un software che permette a chi ha creato il virus di raccogliere dati e password dai computer colpiti.
CHI RIMANE INFETTATO
Dumaru e' studiato per colpire tutti i sistemi Windows, sono dunque immuni i vari Linux, Macintosh, OS/2 e UNIX.
FACILE DA RICONOSCERE
Dumaro arriva, come spessissimo accade, attraverso la posta elettronica, con un messaggio piuttosto subdolo: finge infatti di arrivare direttamente da Microsoft, dall'indirizzo "Microsoft <security@microsoft.com>" e con un soggetto invitante. Ma ecco il dettaglio del messaggio:
Soggetto: Use this patch immediately !
Testo del messaggio:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Per fortuna anche il file allegato ha sempre lo stesso nome: patch.exe
COME FUNZIONA
Dumaro quando si installa nel computer prepara un cavallo di Troia basato sul protocollo IRC, invia se stesso a tutti gli account email che trova nei file del computer con le seguenti estensioni:
htm
wab
html
dbx
tbb
abd
Per spedirsi agli indirizzi Dumaro utilizza un proprio server SMTP, ovvero non ha bisogno di alcun software o server per diffondere i messaggi.
Inoltre, Dumaro modifica il contenuto di due file di sistema (win.ini e system.ini) e infetta i file exe (dunque i programmi) che trova nella directory principale delle partizioni del disco formattate con il file system NTFS.
COME DIFENDERSI
Tutti i principali produttori antivirus hanno aggiornato i propri sistemi per far fronte a Dumaru e agli utenti si raccomanda quindi di provvedere all'aggiornamento del proprio antivirus per evitare sorprese.
E' buona regola non aprire gli allegati ai messaggi email di cui non si e' certi della provenienza. A volte anche la sola anteprima del messaggio puo' essere causa di infezione.
ULTERIORI INFORMAZIONI
Una pagina di spiegazione sul funzionamento del worm e' stata pubblicata da Sophos a questo indirizzo: http://www.sophos.com/virusinfo/analyses/w32dumarua.html
Un tool per la rimozione e' invece disponibile qui: http://securityresponse.symantec.com/avcenter/venc/data/w32.dumaru@mm.removal.tool.html
Fonte: Salva PC
