ALERT: Worm/ Falsa email da Microsoft

peppoweb

Utente Attivo
ATTENZIONE A SWEN (o GIBE-F)

Un worm sta sollevando l'attenzione degli osservatori specializzati per la velocita' con cui riesce a diffondersi su Internet. Si tratta di Gibe-F, anche noto come Swen, un worm capace di diffondersi attraverso piu' sistemi: posta elettronica, reti locali di computer, sistemi di condivisione peer-to-peer e altro ancora.

MESSAGGI FASULLI

Quando arriva via email, il worm e' un allegato ad un messaggio di posta elettronica che puo' assomigliare in tutto e per tutto ad una comunicazione ufficiale proveniente da Microsoft, oppure mascherarsi come messaggio che ha fallito la sua spedizione e sta quindi tornando indietro (delivery failure). L'email e' fasulla e contiene un allegato che non va aperto perche' capace di infettare il sistema.

NON PROVIENE DA MICROSOFT

L'email infetta contiene, in inglese, il pressante invito ad installare un presunto aggiornamento di Windows che dovrebbe mettere al riparo da qualsiasi problema di sicurezza.
Come se non bastasse, oltre ad una dettagliata descrizione dei sistemi supportati dall'aggiornamento, l'email fasulla rimanda nel testo anche ad articoli del team tecnico e di sicurezza di Microsoft che si riferiscono a note vulnerabilita', il tutto per indurre l'utente a considerare attendibile l'email e quindi a cliccare sul file allegato.

CHI PUO' ESSERE COLPITO

Ad essere vulnerabili sono tutti i sistemi Windows da Windows 95 a Windows Server 2003.

COME FUNZIONA

Se l'allegato viene aperto, il worm fa apparire una serie di finestre che inducono l'utente a ritenere che si tratti di un software di aggiornamento Microsoft. In realta', mentre questo accade, il worm si installa nel sistema.

Una volta dentro, Swen tenta di bloccare il funzionamento di sistemi di sicurezza come i firewall e i software antivirus, infila una copia di se stesso nella directory di Windows generando un file con un nome casuale, crea un secondo file con tutti gli indirizzi di posta elettronica che riesce ad individuare sul computer colpito e un terzo file con tutti i dati sul tipo di computer che ha colpito e sul quale si e' installato.

A questo punto il worm compie modifiche nel file di registro di Windows per garantirsi la riattivazione ad ogni riavvio di Windows e il funzionamento di un proprio sistema di posta elettronica. Addirittura presenta all'utente una schermata che sembra perfettamente legittima e che lo invita ad inserire i propri dati, compreso l'account email, in un modulo. Dati che poi il worm utilizza per diffondersi.

COME SI DIFFONDE

Si diffonde per posta elettronica ma anche attraverso le condivisioni in reti locali, le chat di IRC e i sistemi di file sharing come Kazaa.

Quando l'utente si connette ad IRC, dunque, Swen fa partire uno script che gli consente di inviarsi a tutti gli altri utenti della chat IRC alla quale si e' connesso il computer infetto. Su Kazaa, invece, il worm copia se stesso nella directory dei file condivisi dall'utente infetto in attesa di essere scaricato da altri utenti. Nelle reti locali, infine, Swen compie una mappatura dei sistemi che ne fanno parte e individua le directory in cui installarsi.

COME PROTEGGERSI

In queste ore tutti i principali produttori di software antivirus stanno aggiornando i propri sistemi di difesa ed e' dunque bene scaricare le ultime definizioni.

Inoltre, non e' mai accaduto che Microsoft abbia diffuso per posta elettronica un aggiornamento ad un utente che non abbia un contratto con l'azienda stessa e non abbia espressamente richiesto uno speciale servizio di assistenza. Dunque, tutte le email non richieste di questo tipo, per quanto possano sembrare ufficiali, devono essere scartate perche' potenzialmente pericolose.

I worm sfruttano una vulnerabilita' dei sistemi Windows per cui Microsoft ha rilasciato una patch nello scorso giugno. Chi non l'avesse installata puo' provvedere immediatamente a partire da questo indirizzo: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

ULTERIORI INFORMAZIONI

Per approfondire le caratteristiche di Gibe-F/Swen, Sophos ha realizzato una pagina di approfondimento a disposizione degli utenti: http://www.sophos.com/virusinfo/analyses/w32gibef.html

Spiegazioni per una (complessa) rimozione manuale del worm sono offerte a questo indirizzo: http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

Fonte: Salva Pc
 
Discussioni simili
Autore Titolo Forum Risposte Data
peppoweb ALERT WORM: Sober.C, worm contro il P2P Sicurezza e Virus 3
peppoweb ALERT!: Si fa vedere il worm dell'11 Settembre Sicurezza e Virus 6
peppoweb ALERT: Nuovo worm/virus in diffusione Sicurezza e Virus 0
peppoweb ALERT: worm Sobig.E Sicurezza e Virus 0
peppoweb ALERT: worm Sobig.C Sicurezza e Virus 0
M Inviare dati nel db dopo risposta alert PHP 0
M Lanciare alert se il codice fiscale è già presente nel db e lasciare la scelta di inserire all'utente PHP 42
felino Bootstrap alert: usare lo stesso div per due messaggi consecutivi jQuery 1
M [Javascript] Copia incolla con alert Javascript 0
M [PHP] Visualizzare nell'alert il calcolo PHP 4
spider81man [PHP] Alert Box per confermare Inserimento o Cancellazione dato. PHP 4
A [Javascript] Alert su Pulsante Esci Javascript 0
M alert dopo aggiornamento automatico pagina php PHP 4
M Javascript/Php. Stringa di testo a capo con alert Javascript 7
P [Javascript] alert con formattazione Javascript 1
F Alert selezione checkbox jQuery 6
M Indirizzare ad una pagina con alert Javascript 5
M alert nasconde la schermata sottostante PHP 1
D Valore alert nel div Javascript 1
G validazione form con div tipo alert jQuery 0
Creatt Visualizzare un immagine al mopmento di un messaggio di alert Javascript 7
G Post dopo alert HTML e CSS 1
Monital Dopo un alert non si vede il div PHP 0
S problema alert con eclipse Javascript 2
otto9due Alert con php echo PHP 2
A Alert con collegamento a pagina Javascript 1
M Alert con campo php PHP 8
Devil-94 visualizzare alert con una sequenza di tasti Javascript 6
W Attivare un alert di un app Sviluppo app per Android 1
H Alert Scadenze PHP 0
P Alert ad apertura di pagina? Javascript 2
E PHP + alert PHP 3
A Jquery Validation e Alert di errore jQuery 1
F alert per browser obsoleti WordPress 2
A un'alternativa agli alert? Javascript 2
S Alert in c# Javascript 2
Shyson Non si colora il campo alert Javascript 5
Shyson Personalizzare window.alert Javascript 1
valient13 aprire un alert per cancellare Javascript 1
voldemort Alternative al alert() con jQuery jQuery 0
A form registrazione + php + alert javascript Javascript 6
P Creare un sistema di alert PHP 6
F alert con asp Classic ASP 1
grottafelix Finestra Alert prima di delete Classic ASP 0
peppoweb ALERT: Cartolina di Natale? Un virus Sicurezza e Virus 0
S Pop up o alert di uscita HTML e CSS 7
peppoweb ALERT VIRUS: Netsky.X e Y Sicurezza e Virus 0
peppoweb ALERT VIRUS: Due nuove versioni del virus MiMail Sicurezza e Virus 0
B editare messaggi di alert Javascript 3
peppoweb ALERT: Dumaru si fa largo su Internet Sicurezza e Virus 1

Discussioni simili