UN WORM PERSISTENTE
Netsky.D e' un worm scoperto dai laboratori antivirus nella notte tra il 29 febbraio e il primo marzo, un worm che ora sta arrivando anche in Italia colpendo un certo numero di computer Windows.
La sua diffusione sta seguendo un percorso atipico e il worm si sta rivelando piu' fastidioso e persistente del temuto, tanto che i principali osservatori di settore hanno portato ad un livello molto elevato la soglia di attenzione. Netsky.D e' in grado di attaccare i sistemi Windows dalla versione 95 in poi.
COME FUNZIONA
Una volta attivato il worm, il computer rimane infettato e Netsky.D procede alla modifica del Registro di Windows per accertarsi di essere attivato ad ogni riavvio del computer. Inoltre, disabilita una serie di funzionalita' di Windows legate alla sicurezza e ai sistemi antivirus e ne inserisce una nuova serie per garantirsi di poter operare indisturbato sulla macchina infetta.
Da quel momento in poi, il worm scansiona tutti i dischi del computer a caccia di file che contengano indirizzi email, indirizzi ai quali tenta di inviare un messaggio con un una copia di se stesso in allegato. Grazie all'uso di un proprio SMTP, Netsky.D puo' far partire queste spedizioni indipendentemente dalle azioni intraprese dall'utente, sempre che il computer sia conneso a Internet.
Una particolarita' di Netsky.D e' che se la data del computer infetto e' quella di oggi, martedi' 2 marzo, tra le 6 e le 9 del mattino il PC emettera' una serie di bip per un certo periodo di tempo con frequenze casuali.
LE EMAIL INFETTE
Il mittente dell'email che contiene l'allegato infetto e' un mittente fasullo, preso a caso da Netsky.D tra gli indirizzi email individuati sul computer colpito. Il soggetto dell'email, il nome del file allegato e il corpo del messaggio sono tutti termini inglesi ma cambiano di volta in volta, scelti a caso da una lunga lista di possibilita' contenuta nel worm. L'unico elemento fisso e' l'estensione dell'allegato, .pif.
Di interesse notare che il worm e' programmato per non inviare email infette ad una lunga serie di indirizzi email che possano essere relativi ad entita' come le societa' antivirus, le societa' di sicurezza informatica, Microsoft e la polizia federale americana (FBI). Un sistema evidentemente pensato per rendere piu' difficile il tracciamento del worm e la stima della sua reale diffusione.
COME DIFENDERSI
Le definizioni dei software antivirus precedenti al primo marzo non sono efficaci contro Netsky.D. Vista la sua crescente diffusione in Italia e' urgente aggiornare i software stessi accertandosi che l'update sia quello che comprende anche il blocco contro Netsky.D. Vi sono utenti italiani colpiti da questo worm che hanno aggiornato l'antivirus nei giorni precedenti a questa infezione e che si ritenevano al sicuro.
Se il proprio sistema venisse colpito da Netsky.D e' urgente provvedere alla sua identificazione e rimozione. Vista la sua capacita' di disabilitare le funzionalita' antivirus e' necessario provvedere alla disinfezione manuale.
Per farlo, Sophos mette a disposizione una pagina generica per la rimozione dei worm: http://www.sophos.com/support/disinfection/worms.html
E Symantec Security offre un tool gratuito: http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
ULTERIORI INFORMAZIONI
Netsky.D ha gia' un altro fratello, Netsky.E, anch'esso dedicato a colpire i sistemi Windows. La versione E, scoperta oggi, viene comunque bloccata dagli antivirus aggiornati e dunque capaci di schermare i sistemi dalla versione D.
Fonte: Salva PC News
Netsky.D e' un worm scoperto dai laboratori antivirus nella notte tra il 29 febbraio e il primo marzo, un worm che ora sta arrivando anche in Italia colpendo un certo numero di computer Windows.
La sua diffusione sta seguendo un percorso atipico e il worm si sta rivelando piu' fastidioso e persistente del temuto, tanto che i principali osservatori di settore hanno portato ad un livello molto elevato la soglia di attenzione. Netsky.D e' in grado di attaccare i sistemi Windows dalla versione 95 in poi.
COME FUNZIONA
Una volta attivato il worm, il computer rimane infettato e Netsky.D procede alla modifica del Registro di Windows per accertarsi di essere attivato ad ogni riavvio del computer. Inoltre, disabilita una serie di funzionalita' di Windows legate alla sicurezza e ai sistemi antivirus e ne inserisce una nuova serie per garantirsi di poter operare indisturbato sulla macchina infetta.
Da quel momento in poi, il worm scansiona tutti i dischi del computer a caccia di file che contengano indirizzi email, indirizzi ai quali tenta di inviare un messaggio con un una copia di se stesso in allegato. Grazie all'uso di un proprio SMTP, Netsky.D puo' far partire queste spedizioni indipendentemente dalle azioni intraprese dall'utente, sempre che il computer sia conneso a Internet.
Una particolarita' di Netsky.D e' che se la data del computer infetto e' quella di oggi, martedi' 2 marzo, tra le 6 e le 9 del mattino il PC emettera' una serie di bip per un certo periodo di tempo con frequenze casuali.
LE EMAIL INFETTE
Il mittente dell'email che contiene l'allegato infetto e' un mittente fasullo, preso a caso da Netsky.D tra gli indirizzi email individuati sul computer colpito. Il soggetto dell'email, il nome del file allegato e il corpo del messaggio sono tutti termini inglesi ma cambiano di volta in volta, scelti a caso da una lunga lista di possibilita' contenuta nel worm. L'unico elemento fisso e' l'estensione dell'allegato, .pif.
Di interesse notare che il worm e' programmato per non inviare email infette ad una lunga serie di indirizzi email che possano essere relativi ad entita' come le societa' antivirus, le societa' di sicurezza informatica, Microsoft e la polizia federale americana (FBI). Un sistema evidentemente pensato per rendere piu' difficile il tracciamento del worm e la stima della sua reale diffusione.
COME DIFENDERSI
Le definizioni dei software antivirus precedenti al primo marzo non sono efficaci contro Netsky.D. Vista la sua crescente diffusione in Italia e' urgente aggiornare i software stessi accertandosi che l'update sia quello che comprende anche il blocco contro Netsky.D. Vi sono utenti italiani colpiti da questo worm che hanno aggiornato l'antivirus nei giorni precedenti a questa infezione e che si ritenevano al sicuro.
Se il proprio sistema venisse colpito da Netsky.D e' urgente provvedere alla sua identificazione e rimozione. Vista la sua capacita' di disabilitare le funzionalita' antivirus e' necessario provvedere alla disinfezione manuale.
Per farlo, Sophos mette a disposizione una pagina generica per la rimozione dei worm: http://www.sophos.com/support/disinfection/worms.html
E Symantec Security offre un tool gratuito: http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
ULTERIORI INFORMAZIONI
Netsky.D ha gia' un altro fratello, Netsky.E, anch'esso dedicato a colpire i sistemi Windows. La versione E, scoperta oggi, viene comunque bloccata dagli antivirus aggiornati e dunque capaci di schermare i sistemi dalla versione D.
Fonte: Salva PC News
