|
|
|
 |
|
|
| |
Notiziario Marketpress di
Mercoledì 03 Marzo 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
VIRUS REPORT TREND MICRO I VIRUS NEL MESE DI FEBBRAIO |
|
| |
|
|
| |
Milano, 3 marzo 2004 - Nel corso del mese di febbraio, Trend Micro ha rilevato circa 925 programmi pericolosi come worm, virus, Trojan horse e altre tipologie di codice "maligno". Le tre principali categorie riscontrate sono state Trojan horse, backdoor e worm. Guardando alle prime dieci minacce di febbraio è possibile constatare come il 70% dei casi abbia a che fare con worm. Ancora una volta, dunque, i worm restano il più diffuso tipo di minaccia che dobbiamo attualmente affrontare. Worm_mydoom.a, apparso alla fine di gennaio, è un esempio di questo genere di attività e del tipo di tecnologie utilizzate nei worm che si diffondono attraverso Internet. Worm_mydoom.a è al primo posto nella classifica Trend Micro delle prime dieci minacce (sulla base dei file sospetti inviati al nostro online scanner gratuito, Housecall): ha generato un enorme volume di traffico di rete (Internet e reti aziendali), particolarmente a livello di mail server. Questo worm ha colpito tutte le tipologie di utenti di ogni parte del mondo, specialmente utenti privati e Soho (small office – home office); molti lo hanno ricevuto nelle proprie mailbox personali o conoscono qualcuno che lo ha ricevuto. Worm_mydoom.a si è diffuso più rapidamente di Worm_sobig.f, rilasciato la scorsa estate. Come mai la propagazione è stata così veloce? Quali sono state le tecniche usate? Come già detto, questo worm si diffonde principalmente attraverso la posta elettronica arrivando sotto forma di allegato. Per lanciare in esecuzione l'allegato, il worm non sfrutta alcuna vulnerabilità: piuttosto, si affida completamente all'intervento diretto dell'utente. A tal fine impiega una tecnica di social engineering per dare al messaggio un aspetto familiare - un messaggio di sistema o la mail di un amico - spingendo l'ignaro utente ad aprire l'allegato e infettare così il proprio computer. Una volta colpito il sistema, il worm può iniziare il suo lavoro. Worm_mydoom.a raccoglie gli indirizzi email presenti nella rubrica e sull'hard disk della macchina infetta. Per incrementare la quantità di obiettivi, isola il nome di dominio degli indirizzi raccolti e crea nuovi destinatari sfruttando un elenco dei nomi di persona più frequenti. Per esempio, qualora il worm trovi l'indirizzo user@domain.Com, cercherà di replicarsi inviandosi a destinatari come alice@domain.Com, david@domain.Com, robert@domain.Com ecc. Per incrementare la velocità di propagazione, Worm_mydoom.a non invia i messaggi al mail server di default, bensì prova a ricorrere ad altri server ottenuti in questo modo: ai nomi di dominio ottenuti come detto, il worm aggiunge un prefisso da un elenco di nominativi frequenti. Per esempio: avendo trovato l'indirizzo user@domain.Com, il virus tenta di raggiungere eventuali mail server come mx.Domain.com, smtp.Domail.com, mail.Domain.com ecc. Worm_mydoom.a inserisce copie di se stesso all'interno delle cartelle condivise Kazaa usando nomi come winamp5.Exe od office_crack.Bat. Tali copie diventano quindi disponibili a tutti gli utenti della rete Kazaa. Il principale effetto negativo di questo worm è il rallentamento, dovuto al traffico, delle reti colpite. Inoltre, installa una backdoor sui sistemi infetti; un hacker o un virus possono quindi sfruttare tale backdoor per nascondere tentativi di attacco o eseguire qualunque altro programma/codice software. Dopo il rilascio di Worm_mydoom.a sono emerse altre minacce come Worm_mydoom.b, Worm_deadhat.a, Worm_doomjuice.a che hanno usato questa backdoor per propagarsi. Le backdoor possono comportare ulteriori pericoli: si potrebbe ad esempio installare un software per registrare i tasti digitati dall'utente e carpire così password, numeri di carte di credito ecc. L'attività dei virus non è cessata il 21 febbraio, quando Worm_mydoom.a ha automaticamente bloccato la propria routine di propagazione. Il 17 febbraio Trend Micro ha dichiarato un allarme giallo per Worm_bagle.b. Per replicarsi, Worm_bagle.b si affida completamente a tecniche di social engineering. Arriva sotto forma di file .Exe allegato alla posta elettronica. La creazione di una semplice regola che blocchi gli allegati .Exe è sufficiente per proteggersi da questo genere di codice maligno. Il worm aspetta che l'utente lanci in esecuzione il codice dannoso, dato che non possiede alcuna routine di autoattivazione. Worm_bagle.b assume in maniera illegittima l'identità del mittente inviando un breve messaggio che sostiene di fornire all'utente il suo Id. L'allegato si nasconde dietro all'icona di un file audio e, una volta lanciato, richiama il registratore di suoni Microsoft affinché l'utente veda solo questa applicazione e non le azioni che avvengono dietro le quinte. Come molti altri worm, Worm_bagle.b rilascia una backdoor lasciando il computer aperto a nuovi attacchi. Questo allarme è stato subito seguito, il 18 febbraio, da un altro allarme giallo per Worm_netsky.b. Ancora una volta, questo codice si affida a tecniche di social engineering. Oggetto e corpo del messaggio sono molto brevi - infatti, mentre cresce il numero di aziende che proibisce l'uso dell'Instant Messaging, gli utenti utilizzano la posta elettronica per comunicare in "T-time". Il breve messaggio usato da Worm_netsky.b imita dunque questa tendenza per confondere gli utenti. Anche questo worm assume l'identità del mittente e si diffonde attraverso le cartelle condivise di Kazaa mediante nomi come photoshop 9 crack.Exe, how to hack.Doc.exe ecc. La versione .B non è stata l'unica di Worm_netsky: una settimana più tardi, il 25 febbraio, un allarme è stato emesso per Worm_netsky.c Come per la variante precedente, anche qui l'attivazione del worm si basa su tecniche di social engineering. Tutte le caratteristiche restano praticamente immutate, ma questa versione riesce a creare un gran numero di messaggi email combinando varie possibilità per oggetto, corpo del messaggio e nome dell'allegato. Un altro aspetto tecnico riguarda l'impiego della compressione Upx da parte della versione .B e della compressione Petite da parte della versione .C. Per riassumere le attività di questo mese, possiamo osservare come il social engineering sia spesso utilizzato e rimanga il metodo tipico per lanciare in esecuzione codice maligno. Ciò indica che esiste ancora una notevole carenza di sensibilizzazione relativamente alle minacce Internet. Le aziende possono ridurre significativamente il rischio di infezione lanciando aggressive campagne di sensibilizzazione dei propri dipendenti: tali iniziative devono essere accompagnate dalla definizione di regole base come il blocco di tutti gli allegati contenenti determinati file o estensioni. Trendlabs Emea è attiva 24 ore al giorno, 7 giorni alla settimana, per monitorare tutte le attività sospette nell'area Emea (Europa, Medio Oriente e Africa) così da assicurare ai propri clienti i massimi livelli di protezione e servizio.
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
