|
|
|
 |
 |
|
| |
Notiziario Marketpress di
Martedì 13 Maggio 2003 |
|
| |
|
|
| |
NETWORK ASSOCIATES ASSEGNA UNA VALUTAZIONE DI RISCHIO MEDIA AL WORM W32/FIZZER.GEN@MM
|
|
| |
|
|
| |
Milano, 13 maggio 2002 - Network Associates ha assegnato una valutazione di rischio media sia per gli utenti Corporate che per gli utenti Home al nuovo Worm appena scoperto. Si tratta del worm mass-mailing W32/fizzer.gen@mm Il worm è dotato di varie componenti e di un timer interno per avviare più processi in momenti diversi: 1. Il worm si auto invia agli indirizzi prelevati in più punti: Lista dei contatti di Outlook; Windows Address Book (Wab); Indirizzi trovati sui sistemi locali; Indirizzi creati a caso; 2. Irc bot (Internet Relay Chat); 3. Aim bot (Aol Instant Messenger); 4. Keylogger; 5. Kazaa worm; 6. Http server; 7. Remote access server; 8. Meccanismi di auto-aggiornamento; 9. Anti-virus software termination. Il worm contiene un proprio motore Smtp e utilizza il server Smtp di default come specificato nel setting dell´Internet Account Manager. Ma può anche servirsi di uno delle svariate centinaia di server Smtp esterni. Il worm perviene nelle caselle di posta elettronica sotto forma di allegato con diverse tipologie di messaggio. L´indirizzo del mittente può essere modificato cosicché il messaggio sembra provenire da altri mittenti. Il corpo del messaggio e l´oggetto possono variare come anche il nome degli allegati. Gli allegati hanno un´estensione eseguibile standard (.Com, .Exe, .Pif, .Scr). Alcuni esempi di messaggio: Oggetto: why? ; Corpo: The peace; Allegato: desktop.Scr; Oggetto: Re: You might not appreciate this...; Corpo: lautlach; Allegato: service.Scr;oggetto: Re: how are you?; Corpo: I sent this program (Sparky) from anonymous places on the net; Allegato: Jesse20.exe; Oggetto: Fwd: Mariss995; Corpo: There is only one good, knowledge, and one evil, ignorance; Allegato: Mariss995.exe; Oggetto: Re: The way I feel - Remy Shand; Corpo: Nein; Allegato: Jordan6.pif. Una volta aperto l´allegato, il worm si attiva estraendo i file dalla directory di Windows (%Windir%). Come si propaga: Dopo qualche minuto, il worm aziona il proprio motore Smtp per auto inviarsi a tutti gli indirizzi presenti sulla rubrica di Outlook. Si auto-invia inoltre a indirizzi creati a caso. In questo modo: Parte 1 Nome a caso (dalla lista interna); Parte 2 Numero a caso (opzionale); Parte 3 Scelta di un dominio a caso (dalla lista interna): aol.Com ; earthlink.Com; gte.Net ; hotmail.Com; juno.Com; msn.Com; netzero.Com; yahoo.Com. L´oggetto e il corpo del messaggio sono costituiti da una lista estesa di parole e frasi in Inglese e in Tedesco. Il nome dell´allegato è tratto anch´esso da una lista di sostantivi seguiti da un numero e successivamente dall´estensione .Com, .Exe, .Pif, or .Scr. Inoltre i nomi dei file possono essere scelti copiando il nome di un file valido che si trovi sulla macchina infettata del mittente (ie.Desktop.ini -> desktop.Scr). Il motore minimo in grado di rilevare questo attacco è la versione 4.1.60 engine, per rimuovere il worm è comunque necessario un motore 4.2.40. I laboratori Avert raccomandano a tutti gli utenti (Enterprise e Consumer) di aggiornare i sistemi immediatamente per proteggersi dalla nuova minaccia. Per informazioni e tutti i suggerimenti dei laboratori Avert si consultino i seguenti indirizzi:http://www.Mcafeeb2b.com/naicommon/avert/virus-alerts/avert-risk-assessment.asp e il Vil:http://vil.nai.com/vil/content/v_100295.htm |
|
| |
|
|
| |
<<BACK |
|
|
|
|
|
|
|
