WORM A PORTA APERTA
Scoperto solo qualche ora fa, Alua (noto anche come Bagle.B) ha messo subito in allarme i centri di ricerca delle grandi aziende produttrici di software antivirus. Questo mass-mailing worm si sta infatti diffondendo molto rapidamente ed e' probabile che raggiunga l'Italia nelle prossime ore.
Il pericolo principale che si troveranno ad affrontare i proprietari dei computer infettati da Alua e' l'apertura di una backdoor, ovvero una porta di accesso al computer capace di permettere operazioni potenzialmente pericolose a chi ha messo in circolazione il worm.
Ad essere colpiti sono tutti i sistemi Windows dalla versione 95 in poi.
APPENA SCOPERTO
Il worm e' stato intercettato dai laboratori di sicurezza soltanto nelle ultime ore e i tecnici sono ancora al lavoro per capirne l'esatto funzionamento. Anche a questo si devono le differenze nei modi in cui i principali produttori di software di sicurezza stanno interpretando questa infezione.
Secondo Trend Micro, ad esempio, l'attuale diffusione del worm e' media ma le sue potenzialita' di diffusione sono elevatissime. Secondo il laboratorio Security Response di Symantec, invece, Alua va considerato un worm di livello 3, su 5 livelli disponibili.
In ogni caso questo worm dovrebbe cessare ogni attivita' il prossimo 25 febbraio 2004, lasciando pero' aperte le backdoor sui computer infetti.
COME RICONOSCERLO
Alua e' difficile da riconoscere perche' il soggetto del messaggio di posta elettronica con cui si diffonde puo' essere una frase qualunque, cosi' come il mittente, che e' scelto a caso tra gli indirizzi che il worm riesce a scovare all'interno del sistema infetto (nei file .wab, .txt. htm, .html).
I segni distintivi si trovano pero' nel corpo del messaggio che, pur variando di volta in volta, rimane riconoscibile:
Yours ID (caratteri vari)
- -
Thank
L'allegato si presenta come un file .exe il cui nome e' composto da 7 caratteri.
CHE DANNI PROVOCA
Fino ad ora si e' accertata la capacita' di Alua di autoinviarsi attraverso l'email sfruttando direttamente il protocollo SMTP, quello che viene usato per la trasmissione della posta elettronica su Internet.
Ben piu' grave, pero', e' come accennato l'apertura di una backdoor che potrebbe rappresentare un rischio serio per i dati contenuti nel computer. Inoltre, potrebbe consentire l'utilizzo delle macchine infettate per lanciare attacchi di tipo DoS (Denial of Service), che consistono nell'invio ad un determinato server di un numero talmente elevato di richieste da inibirne il funzionamento.
La porta aperta dal worm e' la TCP 8866, chi utilizza un firewall puo' dunque bloccare questa porta per evitare la propagazione di Alua.
COME PROTEGGERSI
Come sempre il consiglio e' quello di evitare l'apertura di messaggi sospetti, il cui contenuto e' simile a quello descritto nella sezione "Come Riconoscerlo".
Aggiornare il proprio software antivirus controllando che il produttore abbia gia' fornito le chiavi di difesa.
ULTERIORI INFORMAZIONI
Per saperne di piu' o per seguire gli sviluppi di questo worm e' possibile collegarsi alle apposite pagine di due dei principali produttori di software antivirus: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.B
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Fonte: SalvaPC News
Scoperto solo qualche ora fa, Alua (noto anche come Bagle.B) ha messo subito in allarme i centri di ricerca delle grandi aziende produttrici di software antivirus. Questo mass-mailing worm si sta infatti diffondendo molto rapidamente ed e' probabile che raggiunga l'Italia nelle prossime ore.
Il pericolo principale che si troveranno ad affrontare i proprietari dei computer infettati da Alua e' l'apertura di una backdoor, ovvero una porta di accesso al computer capace di permettere operazioni potenzialmente pericolose a chi ha messo in circolazione il worm.
Ad essere colpiti sono tutti i sistemi Windows dalla versione 95 in poi.
APPENA SCOPERTO
Il worm e' stato intercettato dai laboratori di sicurezza soltanto nelle ultime ore e i tecnici sono ancora al lavoro per capirne l'esatto funzionamento. Anche a questo si devono le differenze nei modi in cui i principali produttori di software di sicurezza stanno interpretando questa infezione.
Secondo Trend Micro, ad esempio, l'attuale diffusione del worm e' media ma le sue potenzialita' di diffusione sono elevatissime. Secondo il laboratorio Security Response di Symantec, invece, Alua va considerato un worm di livello 3, su 5 livelli disponibili.
In ogni caso questo worm dovrebbe cessare ogni attivita' il prossimo 25 febbraio 2004, lasciando pero' aperte le backdoor sui computer infetti.
COME RICONOSCERLO
Alua e' difficile da riconoscere perche' il soggetto del messaggio di posta elettronica con cui si diffonde puo' essere una frase qualunque, cosi' come il mittente, che e' scelto a caso tra gli indirizzi che il worm riesce a scovare all'interno del sistema infetto (nei file .wab, .txt. htm, .html).
I segni distintivi si trovano pero' nel corpo del messaggio che, pur variando di volta in volta, rimane riconoscibile:
Yours ID (caratteri vari)
- -
Thank
L'allegato si presenta come un file .exe il cui nome e' composto da 7 caratteri.
CHE DANNI PROVOCA
Fino ad ora si e' accertata la capacita' di Alua di autoinviarsi attraverso l'email sfruttando direttamente il protocollo SMTP, quello che viene usato per la trasmissione della posta elettronica su Internet.
Ben piu' grave, pero', e' come accennato l'apertura di una backdoor che potrebbe rappresentare un rischio serio per i dati contenuti nel computer. Inoltre, potrebbe consentire l'utilizzo delle macchine infettate per lanciare attacchi di tipo DoS (Denial of Service), che consistono nell'invio ad un determinato server di un numero talmente elevato di richieste da inibirne il funzionamento.
La porta aperta dal worm e' la TCP 8866, chi utilizza un firewall puo' dunque bloccare questa porta per evitare la propagazione di Alua.
COME PROTEGGERSI
Come sempre il consiglio e' quello di evitare l'apertura di messaggi sospetti, il cui contenuto e' simile a quello descritto nella sezione "Come Riconoscerlo".
Aggiornare il proprio software antivirus controllando che il produttore abbia gia' fornito le chiavi di difesa.
ULTERIORI INFORMAZIONI
Per saperne di piu' o per seguire gli sviluppi di questo worm e' possibile collegarsi alle apposite pagine di due dei principali produttori di software antivirus: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.B
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Fonte: SalvaPC News
