Attenzione alle cartoline che provengono dal sito BlueMountain. Contengono un Worm non distruttivo con funzioni di backdoor
Se ricevete la classica segnalazione, in lingua inglese, che qualcuno ha preparato per voi una "cartolina" sul noto sito Internet BlueMountain e questa ha un allegato occorre fare molta attenzione. Se l'allegato si chiama BlueMountaineCard.PIF non bisogna aprirlo, altrimenti si incappa quasi sicuramente nel virus Cult.C.
Tale virus è un Worm non distruttivo, con funzioni di backdoor. In parole semplici, sebbene non cancelli file né rovini dati sul sistema infettato, comunque consente l'accesso al sistema infettato da parte di hacker, aprendo alcuni canali (porte) di comunicazione accessibili via rete.
Il formato del messaggio che il virus invia dal sistema infetto è il seguente:
La sicurezza del sistema infettato è minacciata dal fatto che il virus comunica, via protocollo Irc, probabilmente al suo autore, alcuni parametri del sistema. Poi attende dei comandi attraverso una porta di comunicazione riservata allo scopo. Un hacker esperto può dunque accedere al nostro sistema ed eseguire alcune operazioni, come ad esempio attivare una spedizione di email, aggiornare il codice del virus, inviarlo usando altri canali Irc, reperire informazioni sul sistema infettato e prelevare o eseguire file presenti sui suoi dischi locali.
Se ricevete la classica segnalazione, in lingua inglese, che qualcuno ha preparato per voi una "cartolina" sul noto sito Internet BlueMountain e questa ha un allegato occorre fare molta attenzione. Se l'allegato si chiama BlueMountaineCard.PIF non bisogna aprirlo, altrimenti si incappa quasi sicuramente nel virus Cult.C.
Tale virus è un Worm non distruttivo, con funzioni di backdoor. In parole semplici, sebbene non cancelli file né rovini dati sul sistema infettato, comunque consente l'accesso al sistema infettato da parte di hacker, aprendo alcuni canali (porte) di comunicazione accessibili via rete.
Il formato del messaggio che il virus invia dal sistema infetto è il seguente:
Il messaggio ha come allegato il file BlueMountaineCard.PIF lungo 22016 bytes, che è il virus vero e proprio. Se si apre questo file, in sistemi Windows 9x, Me, 2000, Nt, XP, il virus entra in azione. Prepara il messaggio sopra citato e lo invia, usando un proprio motore di spedizione di posta, ad indirizzi di alcuni domini diffusi:
In pratica, il comportamento è diverso dal solito: non vengono usati gli indirizzi della rubrica dei contatti del sistema infettato, ma generati degli indirizzi casuali per i sopra citati domini di posta elettronica. Ciò riduce la possibilità di infettare amici e conoscenti, ma comporta una elevatissima spedizione di messaggi, con conseguente sovraccarico della connessione Internet e del server postale del provider.
La sicurezza del sistema infettato è minacciata dal fatto che il virus comunica, via protocollo Irc, probabilmente al suo autore, alcuni parametri del sistema. Poi attende dei comandi attraverso una porta di comunicazione riservata allo scopo. Un hacker esperto può dunque accedere al nostro sistema ed eseguire alcune operazioni, come ad esempio attivare una spedizione di email, aggiornare il codice del virus, inviarlo usando altri canali Irc, reperire informazioni sul sistema infettato e prelevare o eseguire file presenti sui suoi dischi locali.
