NUOVE VARIANTI
Si stanno diffondendo con una certa audacia due nuove varianti di Beagle, il worm scoperto nei primi mesi del 2004, Y e Z, che alcuni laboratori considerano un'unica variante AD.
Anche questa nuova formulazione del worm ha l'obiettivo di infettare i computer per trasformarli in macchine capaci di sparare email in grandi quantita' su tutta la Rete.
I sistemi vulnerabili a Beagle Y e Z sono tutti i sistemi Windows non protetti, dalla versione 95 in poi. Non rischiano l'infezione i sistemi Linux, Dos, Unix, Macintosh e OS/2.
COSA FANNO
Queste due versioni di Beagle si insinuano nel computer attraverso la posta elettronica ed una volta attivati mostrano una finestra di errore di Windows con scritto "Can't find a viewer associated with the file" (Impossibile trovare un visualizzatore associato al file). Questa finestra dovrebbe mettere in allarme immediatamente. Dopo la sua apparizione, il worm da' inizio alle operazioni sul registro di configurazione di Windows, con due obiettivi primari: disabilitare eventuali software antivirus e assicurare che Beagle possa essere avviato automaticamente dal sistema operativo ad ogni riavvio.
Impostato il registro, Beagle comincia a copiare se stesso nei dischi del computer, a partire dalle directory di sistema per arrivare alle cartelle che contengono la sequenza di caratteri "shar".
Non contenti, Beagle Y e Z compiono l'operazione piu' pericolosa tra quelle previste nel loro codice: l'apertura di una backdoor sulla porta TCP 1234. Questa porta puo' essere sfruttata da Beagle per costringere il computer infetto a inviare migliaia di email in giro per Internet, ma puo' anche essere utilizzata da un cracker per insidiarsi all'interno del computer colpito.
Come tutti i worm e come le sue precedenti varianti, Beagle ricerca poi indirizzi email all'interno del computer, scovandoli nei file conservati nel computer. Sono questi gli indirizzi ai quali il worm spedisce le sue email virali usando un proprio server SMTP, ovvero un proprio software per l'invio dei messaggi che puo' girare senza che il proprietario del computer si accorga di alcunche'.
COME RICONOSCERLO
Beagle puo' pervenire da un indirizzo email qualsiasi, anche quello di una persona conosciuta. Questo avviene perche' il worm trova nel computer da cui proviene quell'indirizzo e lo imposta come mittente. Solo un esperto puo' capire che il mittente e' fittizio analizzando tutti i dati relativi ad un messaggio di posta elettronica (gli "header").
L'email che contiene le varianti Y e Z di Beagle ha il soggetto e il testo del messaggio in inglese ed ha sempre un allegato. I testi, proprio come il nome del file allegato, vengono selezionati da Beagle tra quelli che sono stati predeterminati dall'autore del worm. Il file allegato ha pero' sempre la stessa dimensione (62 KB per la variante Y e 67 KB per la Z).
COME PROTEGGERSI
Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.
Evitare di aprire mail sospette.
ULTERIORI INFORMAZIONI
Maggiori informazioni su Beagle.Y e Beagle.Z sono disponibili in inglese ai seguenti indirizzi:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
http://www.sophos.com/virusinfo/analyses/w32baglead.html
Si stanno diffondendo con una certa audacia due nuove varianti di Beagle, il worm scoperto nei primi mesi del 2004, Y e Z, che alcuni laboratori considerano un'unica variante AD.
Anche questa nuova formulazione del worm ha l'obiettivo di infettare i computer per trasformarli in macchine capaci di sparare email in grandi quantita' su tutta la Rete.
I sistemi vulnerabili a Beagle Y e Z sono tutti i sistemi Windows non protetti, dalla versione 95 in poi. Non rischiano l'infezione i sistemi Linux, Dos, Unix, Macintosh e OS/2.
COSA FANNO
Queste due versioni di Beagle si insinuano nel computer attraverso la posta elettronica ed una volta attivati mostrano una finestra di errore di Windows con scritto "Can't find a viewer associated with the file" (Impossibile trovare un visualizzatore associato al file). Questa finestra dovrebbe mettere in allarme immediatamente. Dopo la sua apparizione, il worm da' inizio alle operazioni sul registro di configurazione di Windows, con due obiettivi primari: disabilitare eventuali software antivirus e assicurare che Beagle possa essere avviato automaticamente dal sistema operativo ad ogni riavvio.
Impostato il registro, Beagle comincia a copiare se stesso nei dischi del computer, a partire dalle directory di sistema per arrivare alle cartelle che contengono la sequenza di caratteri "shar".
Non contenti, Beagle Y e Z compiono l'operazione piu' pericolosa tra quelle previste nel loro codice: l'apertura di una backdoor sulla porta TCP 1234. Questa porta puo' essere sfruttata da Beagle per costringere il computer infetto a inviare migliaia di email in giro per Internet, ma puo' anche essere utilizzata da un cracker per insidiarsi all'interno del computer colpito.
Come tutti i worm e come le sue precedenti varianti, Beagle ricerca poi indirizzi email all'interno del computer, scovandoli nei file conservati nel computer. Sono questi gli indirizzi ai quali il worm spedisce le sue email virali usando un proprio server SMTP, ovvero un proprio software per l'invio dei messaggi che puo' girare senza che il proprietario del computer si accorga di alcunche'.
COME RICONOSCERLO
Beagle puo' pervenire da un indirizzo email qualsiasi, anche quello di una persona conosciuta. Questo avviene perche' il worm trova nel computer da cui proviene quell'indirizzo e lo imposta come mittente. Solo un esperto puo' capire che il mittente e' fittizio analizzando tutti i dati relativi ad un messaggio di posta elettronica (gli "header").
L'email che contiene le varianti Y e Z di Beagle ha il soggetto e il testo del messaggio in inglese ed ha sempre un allegato. I testi, proprio come il nome del file allegato, vengono selezionati da Beagle tra quelli che sono stati predeterminati dall'autore del worm. Il file allegato ha pero' sempre la stessa dimensione (62 KB per la variante Y e 67 KB per la Z).
COME PROTEGGERSI
Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.
Evitare di aprire mail sospette.
ULTERIORI INFORMAZIONI
Maggiori informazioni su Beagle.Y e Beagle.Z sono disponibili in inglese ai seguenti indirizzi:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
http://www.sophos.com/virusinfo/analyses/w32baglead.html
