|
|
|
 |
|
|
| |
Notiziario Marketpress di
Giovedì 29 Aprile 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
TREND MICRO AVVERTE DI UN ALLARME DI GRADO MEDIO PER WORM_BAGLE.Z - QUESTA VARIANTE DI BAGLE SI PROPONE COME UNA PASSWORD E TENTA LA CONNESSIONE A SITI WEB PRESENTI IN GERMANIA |
|
| |
|
|
| |
Milano, 29 Aprile 2004 – Trend Micro ha dichiarato un allarme di rischio “medio” per Worm_bagle.z al fine di avvisare gli utenti di quest’ultima variante del worm, che è stato segnalato in Europa e negli Stati Uniti. Allo stesso modo del suo predecessore Worm_bagle.x che utilizza tecniche di social engineering per confondere gli utenti nell’apertura degli allegati, Worm_bagle.z associa recenti caratteristiche con una variazione su un precedente stratagemma, camuffandosi come un documento protetto da password oppure un avviso di risposta. Questo “mass-mailer” continua ad usare un proprio motore Smtp per propagarsi, raccoglie indirizzi di posta elettronica dai Pc colpiti, ed utilizza le condivisioni di rete per diffondersi. Questo worm colpisce anche siti Web degni di nota presenti in Germania, inclusI www.Speigel.de , www.Heise.de (siti web che fanno riferimento alla stampa), siti web di musei come www.Deutsches-museum.de ed anche il sito ufficiale nazionale della Germania www.Deutschland.de Sarebbe da notare che alcuni dei siti tedeschi elencati effettivamente riferiscono a testo in Russo, per esempio http://www.Tekeli.de/ (per un elenco globale dei siti web in questione fate riferimento a http://it.Trendmicro-europe.com/enterprise/security_info/ve_detail.php?vname=worm_bagle.z ) Raiund Genes, Presidente delle Operazioni Europee di Trend Micro afferma:”I motivi di queste azioni non sono completamente chiari. E’ possibile che gli scrittori di questo worm stiano tentando di creare un attacco di tipo “Denial of service”contro questi siti web. E’ anche possibile che una delle Url in questione sia realmente il contatore delle infezioni, mentre gli altri sono elencati semplicemente per mascherare questa sorgente di infezione. In alternativa questo metodo può essere stato creato allo scopo di creare un “reporting” dei sistemi infetti verso il creatore del virus attraverso script speciali. Worm_bagle.z giunge con una intestazione nel soggetto come “Protected message” oppure “Re: Msg reply”. I l corpo del messaggio include un file .Jpg che si presume contenga una password richiesta per vedere l’ allegato, il quale si presenta con nomi tipo “Alive_condom”, “Loves_money”, oppure “Moreinfo”. L’allegato contiene in effetti un worm risiedente in memoria che colloca una copia di se stesso all’interno di Windows (come Drvddll.exe) e si aggiunge alle chiavi di registro di Windows per essere eseguito ad ogni riavvio. Allo stesso modo con cui dirige i sistemi infetti contro vari siti web in Germania (elencati sopra), Worm_bagle.z cancella le chiavi di registro che lancerebbero automaticamente le varianti di Netsky, evocando ancora la rivalità tra i due virus. Worm_bagle.z, come le varianti precedenti, al fine di evitare la sua scoperta è progettato per terminare i processi associati con i programmi antivirus e di sicurezza. Worm_bagle.z colpisce le piattaforme Windows 95, 98, Me, Nt, 2000 e Xp Questo worm è conosciuto anche con i seguenti alias: W32.bagle.x@mm or W32/bagle.aa@mm. I clienti Trend Micro sono protetti grazie al pattern file 877 o successivi, quelli degli Outbreak Prevention Services dovrebbero scaricare la Opp 109 per assicurarsi che i loro sistemi siano protetti contro la diffusione di quest’ultima minaccia. Per gli utenti dei Damage Cleanup Services, il Damage Cleanup template # 329 è disponibile per aiutarli nel ripristino automatico dei sistemi colpiti. Tutti gli altri utenti dovrebbero utilizzare Housecall, lo scanner gratuito online di Trend Micro, che può essere scaricato all’indirizzo http://housecall.Trendmicro.com/ Per le ultime informazioni siete pregati di visitare il sito: http://it.Trendmicro-europe.com/enterprise/security_info/ve_detail.php?vname=worm_bagle.z
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
