UNA SCORPACCIATA DI VARIANTI
Continua la proliferazione di worm gia' noti ma che nelle ultime settimane hanno dato dimostrazione di poter dar vita a numerose varianti aggressive che e' bene conoscere: Netsky ha raggiunto la versione K, Beagle (Bagle) la F, Mydoom e' alla H, Sober e' redivivo con la variante D. A questi bisogna aggiungere nuovi worm che tentano di farsi largo come Keko o Hiton.
A diffondersi maggiormente nelle ultime ore sono pero' Sober.D e Netsky.K.
Aumenta il livello di attenzione per questi due worm che si diffondono via posta elettronica sfruttando un proprio sistema SMTP per la spedizione dei messaggi e che cercano gli indirizzi email da utilizzare sia come mittenti che come destinatari dei messaggi infetti nei file presenti sui computer colpiti.
Ad essere colpiti sono i sistemi Windows.
Netsky.K aggredisce tutte le versioni, dalle piu' vecchie (3.x) alle ultime (XP e 2003); Sober.D infetta i sistemi con Windows dalla versione 95 in poi.
NETSKY.K
A destare maggiore preoccupazione e' la variante K di Netsky, scoperta solo ieri. Tra i suoi obiettivi anche la cancellazione di voci del registro di Windows, allo scopo di compromettere il funzionamento di alcuni dei piu' diffusi software, tra i quali anche quelli di sicurezza e antivirus.
Netsky.K e' difficile da riconoscere perche' utilizza una libreria di parole e frasi in inglese dalla quale sceglie a caso sia il soggetto che il testo del messaggio di posta elettronica che poi invia agli indirizzi recuperati nei dischi del computer infettato. L'allegato delle email spedite, che contiene il virus, ha pero' sempre estensione .pif e dimensione di 22.016 byte.
SOBER.D
La sua principale occupazione e' quella di mandare messaggi di posta elettronica a quanti piu' utenti possibili. Quando si avvia, modifica il registro di Windows per assicurarsi di essere attivato ogni volta che il computer viene acceso dall'utente.
L'infezione di Sober.D e' piu' evidente di altri worm perche'‚ una volta completate le operazioni sul registro, mostra una finestra con una delle seguenti diciture:
- This patch has been successfully installed.
- This patch does not need to be installed on this system.
- Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [nome del file].exe
Connection lost or blocked by Firewall
Il mittente delle email spedite da Sober.D e' facilmente riconoscibile perche' e' scelto a caso tra i seguenti nomi: Alert, Center, Help, Info, News, Patch, Studio, Security, UpDate. A cui aggiunge il dominio "@microsoft" in modo che sembri provenire dal produttore del sistema operativo (es: [email protected]).
Il dominio di primo livello dell'indirizzo del mittente delle email puo' essere indifferentemente .com, .de o .at.
Il soggetto dei messaggi puo' essere uno sei seguenti:
- Microsoft Alert: Please Read!
- Microsoft Alarm: Bitte Lesen!
Il testo del messaggio appare in inglese o in tedesco ed invita ad installare la patch allegata che, pero', e' il worm. SalvaPC ricorda che Microsoft non distribuisce mai le patch ai propri software via email ma solo attraverso il sistema su web noto come Windows Update.
Il nome del file allegato puo' essere uno dei seguenti, indifferentemente con estensione .exe o .zip: Patch, MS-Security, MS-UD, UpDate, sys-patch, MS-Q. La sua dimensione e' di 33.792 byte.
COME PROTEGGERSI
Per entrambi questi worm e' necessario aggiornare le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.
E' possibile identificare ed eliminare vari worm, tra cui Netsky e Sober, utilizzando un tool gratuito distribuito da Network Associates al seguente indirizzo: http://vil.nai.com/vil/stinger/
ULTERIORI INFORMAZIONI
Maggiori informazioni su Netsky.D sono disponibili in inglese ai seguenti indirizzi: http://www.sophos.com/virusinfo/analyses/w32netskyk.html
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Per Sober.D si possono visitare i seguenti indirizzi, in inglese: http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
http://it.mcafee.com/virusInfo/default.asp?id=description&virus_k=101081
Fonte: SalvaPC News
Continua la proliferazione di worm gia' noti ma che nelle ultime settimane hanno dato dimostrazione di poter dar vita a numerose varianti aggressive che e' bene conoscere: Netsky ha raggiunto la versione K, Beagle (Bagle) la F, Mydoom e' alla H, Sober e' redivivo con la variante D. A questi bisogna aggiungere nuovi worm che tentano di farsi largo come Keko o Hiton.
A diffondersi maggiormente nelle ultime ore sono pero' Sober.D e Netsky.K.
Aumenta il livello di attenzione per questi due worm che si diffondono via posta elettronica sfruttando un proprio sistema SMTP per la spedizione dei messaggi e che cercano gli indirizzi email da utilizzare sia come mittenti che come destinatari dei messaggi infetti nei file presenti sui computer colpiti.
Ad essere colpiti sono i sistemi Windows.
Netsky.K aggredisce tutte le versioni, dalle piu' vecchie (3.x) alle ultime (XP e 2003); Sober.D infetta i sistemi con Windows dalla versione 95 in poi.
NETSKY.K
A destare maggiore preoccupazione e' la variante K di Netsky, scoperta solo ieri. Tra i suoi obiettivi anche la cancellazione di voci del registro di Windows, allo scopo di compromettere il funzionamento di alcuni dei piu' diffusi software, tra i quali anche quelli di sicurezza e antivirus.
Netsky.K e' difficile da riconoscere perche' utilizza una libreria di parole e frasi in inglese dalla quale sceglie a caso sia il soggetto che il testo del messaggio di posta elettronica che poi invia agli indirizzi recuperati nei dischi del computer infettato. L'allegato delle email spedite, che contiene il virus, ha pero' sempre estensione .pif e dimensione di 22.016 byte.
SOBER.D
La sua principale occupazione e' quella di mandare messaggi di posta elettronica a quanti piu' utenti possibili. Quando si avvia, modifica il registro di Windows per assicurarsi di essere attivato ogni volta che il computer viene acceso dall'utente.
L'infezione di Sober.D e' piu' evidente di altri worm perche'‚ una volta completate le operazioni sul registro, mostra una finestra con una delle seguenti diciture:
- This patch has been successfully installed.
- This patch does not need to be installed on this system.
- Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [nome del file].exe
Connection lost or blocked by Firewall
Il mittente delle email spedite da Sober.D e' facilmente riconoscibile perche' e' scelto a caso tra i seguenti nomi: Alert, Center, Help, Info, News, Patch, Studio, Security, UpDate. A cui aggiunge il dominio "@microsoft" in modo che sembri provenire dal produttore del sistema operativo (es: [email protected]).
Il dominio di primo livello dell'indirizzo del mittente delle email puo' essere indifferentemente .com, .de o .at.
Il soggetto dei messaggi puo' essere uno sei seguenti:
- Microsoft Alert: Please Read!
- Microsoft Alarm: Bitte Lesen!
Il testo del messaggio appare in inglese o in tedesco ed invita ad installare la patch allegata che, pero', e' il worm. SalvaPC ricorda che Microsoft non distribuisce mai le patch ai propri software via email ma solo attraverso il sistema su web noto come Windows Update.
Il nome del file allegato puo' essere uno dei seguenti, indifferentemente con estensione .exe o .zip: Patch, MS-Security, MS-UD, UpDate, sys-patch, MS-Q. La sua dimensione e' di 33.792 byte.
COME PROTEGGERSI
Per entrambi questi worm e' necessario aggiornare le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.
E' possibile identificare ed eliminare vari worm, tra cui Netsky e Sober, utilizzando un tool gratuito distribuito da Network Associates al seguente indirizzo: http://vil.nai.com/vil/stinger/
ULTERIORI INFORMAZIONI
Maggiori informazioni su Netsky.D sono disponibili in inglese ai seguenti indirizzi: http://www.sophos.com/virusinfo/analyses/w32netskyk.html
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
Per Sober.D si possono visitare i seguenti indirizzi, in inglese: http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
http://it.mcafee.com/virusInfo/default.asp?id=description&virus_k=101081
Fonte: SalvaPC News