Netsky.B, diffusione veloce

peppoweb

Utente Attivo
NON TROPPO PERICOLOSO
Seppure sia stato scoperto da poche ore Netsky.B ha gia' dimostrato grandi capacita' di diffusione. Questo mass-mailing worm non provoca particolari danni ed e' noto anche con il nome di Moodown.B. Secondo alcuni le prime infezioni sono state registrate in Giappone e in Germania.

Ad essere colpiti sono i sistemi Windows dalla versione 95 in poi.

DIFFICILE DA INDIVIDUARE
Come quasi tutti i recenti worm anche Netsky.B utilizza un mittente a caso per le email che lo contengono. Il soggetto del messaggio con cui arriva puo' essere uno dei seguenti:

fake
hello
hi
information
read it immediately
something for you
stolen
unknown
warning

Il testo del messaggio e il nome dell'allegato possono essere scelti a caso da circa 40 diverse frasi e nomi. L'allegato puo' presentarsi con estensione .exe, .scr, .com o .pif.

COSA FA
Una volta eseguito l'allegato contenente Netsky.B, il sistema viene infettato dal worm che prima procede ad una serie di inserimenti nel registro di configurazione di Windows dove, non contento, cancella anche alcune chiavi utili all'avvio del sistema e all'individuazione del worm.

Al suo avvio, ma solo qualche volta, il worm presenta un finestra con il messaggio "The file could not be opened!" (Il file non puo' essere aperto!).

Il worm copia se stesso in varie directory e tra queste c'e' anche la cartella in cui e' installato Windows, dove si possono trovare 40 file .zip contenenti Netsky.B.

Quindi comincia a cercare negli hard disk del computer gli indirizzi email ai quali si autospedira' utilizzando un proprio SMTP, il protocollo che permette la gestione della posta elettronica su Internet.

Un sistema infetto da Netsky.B si ritrovera' tra i programmi in esecuzione un processo dal nome "AdmSkynetJklS003".

COME PROTEGGERSI
Come sempre il consiglio e' quello di evitare l'apertura di messaggi sospetti.

Aggiornare il proprio software antivirus controllando che il produttore abbia gia' fornito le chiavi di difesa.

ULTERIORI INFORMAZIONI
Per saperne di piu' o per seguire gli sviluppi di questo worm e' possibile collegarsi alle apposite pagine di due dei principali produttori di software antivirus: http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_NETSKY.B
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

Fonte: SalvaPC News
 

Discussioni simili