UN FRATELLO DISPETTOSO
Nelle scorse ore si e' cominciata a diffondere su Internet una prima variante di MyDoom, il worm oggetto dell'ultimo lancio di SalvaPC News e che nel giro di poche ore ha raggiunto una diffusione tale da mettere in allarme provider, utenti e certamente le aziende che producono software antivirus.
Forse proprio per le capacita' di diffusione di MyDoom, qualcuno, con ogni probabilita' gli stessi autori del codicillo diabolico, ha pensato di mettere in circolazione questa nuova versione, identificata come MyDoom.B, che ha molto in comune con l'originale ma aggrava i tempi dell'infezione.
E' quindi possibile che nelle prossime ore appaiano anche altre varianti di questo worm, con l'obiettivo di colpire il maggior numero possibile di computer dotati di sistemi Windows, sfruttando quello spazio di tempo che trascorre tra l'inizio della diffusione di un worm e le reazioni dei produttori antivirus, delle grandi societa' e degli utenti.
COSA FA
Come la prima versione, anche MyDoom.B fara' scattare un attacco di tipo Denial of Service (DoS) verso il sito www.sco.com a partire dal prossimo primo febbraio. Ma di piu': la nuova versione attacchera' nello stesso modo anche il sito www.microsoft.com dal 3 febbraio.
La distribuzione del virus dovrebbe cessare il primo marzo 2004, anche se i danni che potrebbe creare nell'arco di un mese resterebbero a lungo.
CHE DANNI PROVOCA
Oltre ad inviare email all'impazzata contenenti il worm, un sistema colpito da MyDoom.B e' un sistema a rischio a causa di una backdoor, ovvero una porta che viene aperta dal worm che consente di scaricare ed eseguire sul computer infetto dall'esterno pressoche' qualsiasi genere di file o programma. Questa backdoor rimarra' aperta anche dopo il primo marzo 2004.
Inoltre, la nuova variante blocca l'accesso da parte del computer vittima a tutti i principali indirizzi Internet dei maggiori produttori di software antivirus, un sistema per rendere piu' complesse le operazioni di rimozione di MyDoom.B.
COME RICONOSCERLO
Come il suo fratello maggiore, anche MyDoom.B inserisce un mittente casuale nelle email che autoinvia tra quelli trovati nel computer infettato.
Il soggetto del messaggio puo' essere uno tra i seguenti:
Mail Transaction Failed
Unable to deliver the message
Status
Delivery Error
Mail Delivery System
hello
hi
Error
Server Report
Returned mail
Oppure essere composto da una semplice sequenza di caratteri.
Mentre il testo dell'email puo' contenere una delle seguenti frasi:
Sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
COME DIFENDERSI
Oltre alla raccomandazione di non aprire gli allegati delle email sospette, bisogna anche considerare che questi possono apparire come dei normali file di testo (.txt), innocui documenti (.doc) o semplici pagine Web (.htm). In realta' sono estensioni che mascherano la vera natura del file allegato: il worm possiede infatti quella che viene chiamata "doppia estensione" e che molti programmi di posta elettronica non sono in grado di visualizzare. Quindi dietro un file che appare come un testo (.txt) si puo' tranquillamente celare, ad esempio, un esecutibile (.exe).
Tutti i principali produttori antivirus stanno preparando le proprie definizioni contro MyDoom.B ed e' quindi bene procedere quanto prima all'aggiornamento del software di protezione sul proprio computer.
ULTERIORI INFORMAZIONI
Per approfondire la conoscenza di questo worm si puo' fare riferimento alle pagine del Security Response: http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Anche il centro antivirus di Sophos ha messo a punto una pagina informativa su MyDoom: http://www.sophos.com/virusinfo/analyses/w32mydoomb.html
Il quadro della situazione visto da PI: http://punto-informatico.it/p.asp?i=46726
Infine, e' diponibile anche un tool per la rimozione di MyDoom.A (o Novarg.A): http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Fonte: SalvaPC News
Nelle scorse ore si e' cominciata a diffondere su Internet una prima variante di MyDoom, il worm oggetto dell'ultimo lancio di SalvaPC News e che nel giro di poche ore ha raggiunto una diffusione tale da mettere in allarme provider, utenti e certamente le aziende che producono software antivirus.
Forse proprio per le capacita' di diffusione di MyDoom, qualcuno, con ogni probabilita' gli stessi autori del codicillo diabolico, ha pensato di mettere in circolazione questa nuova versione, identificata come MyDoom.B, che ha molto in comune con l'originale ma aggrava i tempi dell'infezione.
E' quindi possibile che nelle prossime ore appaiano anche altre varianti di questo worm, con l'obiettivo di colpire il maggior numero possibile di computer dotati di sistemi Windows, sfruttando quello spazio di tempo che trascorre tra l'inizio della diffusione di un worm e le reazioni dei produttori antivirus, delle grandi societa' e degli utenti.
COSA FA
Come la prima versione, anche MyDoom.B fara' scattare un attacco di tipo Denial of Service (DoS) verso il sito www.sco.com a partire dal prossimo primo febbraio. Ma di piu': la nuova versione attacchera' nello stesso modo anche il sito www.microsoft.com dal 3 febbraio.
La distribuzione del virus dovrebbe cessare il primo marzo 2004, anche se i danni che potrebbe creare nell'arco di un mese resterebbero a lungo.
CHE DANNI PROVOCA
Oltre ad inviare email all'impazzata contenenti il worm, un sistema colpito da MyDoom.B e' un sistema a rischio a causa di una backdoor, ovvero una porta che viene aperta dal worm che consente di scaricare ed eseguire sul computer infetto dall'esterno pressoche' qualsiasi genere di file o programma. Questa backdoor rimarra' aperta anche dopo il primo marzo 2004.
Inoltre, la nuova variante blocca l'accesso da parte del computer vittima a tutti i principali indirizzi Internet dei maggiori produttori di software antivirus, un sistema per rendere piu' complesse le operazioni di rimozione di MyDoom.B.
COME RICONOSCERLO
Come il suo fratello maggiore, anche MyDoom.B inserisce un mittente casuale nelle email che autoinvia tra quelli trovati nel computer infettato.
Il soggetto del messaggio puo' essere uno tra i seguenti:
Mail Transaction Failed
Unable to deliver the message
Status
Delivery Error
Mail Delivery System
hello
hi
Error
Server Report
Returned mail
Oppure essere composto da una semplice sequenza di caratteri.
Mentre il testo dell'email puo' contenere una delle seguenti frasi:
Sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
COME DIFENDERSI
Oltre alla raccomandazione di non aprire gli allegati delle email sospette, bisogna anche considerare che questi possono apparire come dei normali file di testo (.txt), innocui documenti (.doc) o semplici pagine Web (.htm). In realta' sono estensioni che mascherano la vera natura del file allegato: il worm possiede infatti quella che viene chiamata "doppia estensione" e che molti programmi di posta elettronica non sono in grado di visualizzare. Quindi dietro un file che appare come un testo (.txt) si puo' tranquillamente celare, ad esempio, un esecutibile (.exe).
Tutti i principali produttori antivirus stanno preparando le proprie definizioni contro MyDoom.B ed e' quindi bene procedere quanto prima all'aggiornamento del software di protezione sul proprio computer.
ULTERIORI INFORMAZIONI
Per approfondire la conoscenza di questo worm si puo' fare riferimento alle pagine del Security Response: http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Anche il centro antivirus di Sophos ha messo a punto una pagina informativa su MyDoom: http://www.sophos.com/virusinfo/analyses/w32mydoomb.html
Il quadro della situazione visto da PI: http://punto-informatico.it/p.asp?i=46726
Infine, e' diponibile anche un tool per la rimozione di MyDoom.A (o Novarg.A): http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Fonte: SalvaPC News