ANCORA ALL'ASSALTO
Cominciano a destare preoccupazione le ultime due varianti di Netsky, la X e la Y. Si tratta di due worm distinti che possono colpire tutte le versioni di Windows non protette dalla 95 in poi. Sono emersi in tempi molto ravvicinati ed e' per questo che alcuni laboratori antivirus definiscono X la variante Y e viceversa.
Queste due versioni di Netsky, una volta insidiatesi nel computer, oltre ad inviare messaggi email in giro per il mondo, aprono una backdoor che consente agli autori di accedere dall'esterno alla macchina. Inoltre sono studiati per utilizzare il computer infetto e farlo partecipare ad un attacco informatico di tipo DOS (Denial of Service) che si scatenera' tra il 28 e il 30 aprile verso i seguenti siti: www.nibis.de www.medinfo.ufl.edu www.educa.ch
La variante X di Netsky ha una particolarita' che puo' renderne piu' difficile l'individuazione: si propone con testi in italiano.
NETSKY.X
Netsky.X si presenta nella casella di posta elettronica con un allegato con estensione .pif delle dimensioni di 26.112 byte.
Se viene eseguito, il worm si insedia nel computer compiendo una serie di operazioni. La prima di queste e' la scrittura sul registro di configurazione di Windows dei comandi necessari per assicurarsi di essere avviato ogni volta che si accende il computer. Esegue una copia di se stesso che scrive nella directory di Windows (il nome dei file e': FirewallSvr.exe e fuck_you_bagle.txt).
Subito dopo, esegue una scansione di tutti i dischi che non siano CD-ROM alla ricerca di file contenenti indirizzi email a cui autoinviarsi, utilizzando un proprio server SMTP.
Come accennato, questa variante e' capace di assegnare al soggetto, testo dell'email e nome dell'allegato un testo nella lingua che corrisponde al dominio Internet nazionale di primo livello dell'indirizzo email.
Ad esempio, se il destinatario e' nome@quale.it, il dominio di primo livello e' .it e l'email si presenta in italiano cosi':
Soggetto: Re: documento
Messaggio: Legga prego il documento.
Allegato: documento.pif
Altrettanto avviene con i domini di altre numerose nazionalita'.
Un'altra caratteristica di Netsky.X e' quella di aprire una backdoor sulla porta TCP 82, porta alla quale il worm rimane in attesa di ricevere un file da eseguire sul computer infettato. Al momento ancora non si conosce il file che potrebbe essere inviato a questa porta ma e' palese il grosso problema di sicurezza che rappresenta e la potenziale minaccia all'integrita' dei dati e del computer.
NETSKY Y
Si presenta con un allegato dal nome che assomiglia ad un indirizzo internet e che comincia con "www." e si conclude con ".com", la sua dimensione e' circa di 19KB.
Esclusi l'allegato e i testi del messaggio di posta ellettronica, Netsky.Y si comporta in modo del tutto simile a Netsky.X, sia per quanto riguarda l'infezione del computer, che per la ricerca e l'invio di messaggi infettati.
Il messaggio e' riconoscibile perche' e' composto nel seguente modo:
Soggetto: Delivery failure notice ID- (e qui viene aggiunto un numero casuale) Il testo del messaggio contiene invece alcune righe scritte in inglese.
COME PROTEGGERSI
Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.
SSR ha messo a disposizione un tool per rimuovere le due varianti di Netsky: http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky@mm.removal.tool.html
ULTERIORI INFORMAZIONI
Maggiori informazioni su Netsky X e Y sono disponibili in inglese ai seguenti indirizzi:
Per la variante X: http://www.sophos.com/virusinfo/analyses/w32netskyy.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.x@mm.html
Per la variante Y http://www.sophos.com/virusinfo/analyses/w32netskyx.html
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_NETSKY.Y
Fonte: SalvaPC News
Cominciano a destare preoccupazione le ultime due varianti di Netsky, la X e la Y. Si tratta di due worm distinti che possono colpire tutte le versioni di Windows non protette dalla 95 in poi. Sono emersi in tempi molto ravvicinati ed e' per questo che alcuni laboratori antivirus definiscono X la variante Y e viceversa.
Queste due versioni di Netsky, una volta insidiatesi nel computer, oltre ad inviare messaggi email in giro per il mondo, aprono una backdoor che consente agli autori di accedere dall'esterno alla macchina. Inoltre sono studiati per utilizzare il computer infetto e farlo partecipare ad un attacco informatico di tipo DOS (Denial of Service) che si scatenera' tra il 28 e il 30 aprile verso i seguenti siti: www.nibis.de www.medinfo.ufl.edu www.educa.ch
La variante X di Netsky ha una particolarita' che puo' renderne piu' difficile l'individuazione: si propone con testi in italiano.
NETSKY.X
Netsky.X si presenta nella casella di posta elettronica con un allegato con estensione .pif delle dimensioni di 26.112 byte.
Se viene eseguito, il worm si insedia nel computer compiendo una serie di operazioni. La prima di queste e' la scrittura sul registro di configurazione di Windows dei comandi necessari per assicurarsi di essere avviato ogni volta che si accende il computer. Esegue una copia di se stesso che scrive nella directory di Windows (il nome dei file e': FirewallSvr.exe e fuck_you_bagle.txt).
Subito dopo, esegue una scansione di tutti i dischi che non siano CD-ROM alla ricerca di file contenenti indirizzi email a cui autoinviarsi, utilizzando un proprio server SMTP.
Come accennato, questa variante e' capace di assegnare al soggetto, testo dell'email e nome dell'allegato un testo nella lingua che corrisponde al dominio Internet nazionale di primo livello dell'indirizzo email.
Ad esempio, se il destinatario e' nome@quale.it, il dominio di primo livello e' .it e l'email si presenta in italiano cosi':
Soggetto: Re: documento
Messaggio: Legga prego il documento.
Allegato: documento.pif
Altrettanto avviene con i domini di altre numerose nazionalita'.
Un'altra caratteristica di Netsky.X e' quella di aprire una backdoor sulla porta TCP 82, porta alla quale il worm rimane in attesa di ricevere un file da eseguire sul computer infettato. Al momento ancora non si conosce il file che potrebbe essere inviato a questa porta ma e' palese il grosso problema di sicurezza che rappresenta e la potenziale minaccia all'integrita' dei dati e del computer.
NETSKY Y
Si presenta con un allegato dal nome che assomiglia ad un indirizzo internet e che comincia con "www." e si conclude con ".com", la sua dimensione e' circa di 19KB.
Esclusi l'allegato e i testi del messaggio di posta ellettronica, Netsky.Y si comporta in modo del tutto simile a Netsky.X, sia per quanto riguarda l'infezione del computer, che per la ricerca e l'invio di messaggi infettati.
Il messaggio e' riconoscibile perche' e' composto nel seguente modo:
Soggetto: Delivery failure notice ID- (e qui viene aggiunto un numero casuale) Il testo del messaggio contiene invece alcune righe scritte in inglese.
COME PROTEGGERSI
Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.
SSR ha messo a disposizione un tool per rimuovere le due varianti di Netsky: http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky@mm.removal.tool.html
ULTERIORI INFORMAZIONI
Maggiori informazioni su Netsky X e Y sono disponibili in inglese ai seguenti indirizzi:
Per la variante X: http://www.sophos.com/virusinfo/analyses/w32netskyy.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.x@mm.html
Per la variante Y http://www.sophos.com/virusinfo/analyses/w32netskyx.html
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_NETSKY.Y
Fonte: SalvaPC News