Oggi è lunedì 26 Giugno 2017
     
 

Furlanis Elettronica SaS di Furlanis Andrea & C.
Via Gaetano Pellegrini, 20 - 37136 VERONA VR
Tel: +39 045 581711 - Fax: +39 045 581597
E-mail: info@furel.it - Partita IVA: 01889680235

  Home page - Area riservata - Informazioni - Siti consigliati

SICUREZZA: Un worm molto pericoloso!!

 
27/01/2004. Più di 500 rilevamenti/ora sui nostri server, è stato scoperto da poche ore ma ha già dimostrato le sue grandi potenzialità di diffusione, si chiama MyDoom.A, è capace di compromettere la sicurezza dei sistemi che aggredisce. Per queste caratteristiche gli osservatori antivirus hanno già qualificato MyDoom.A tra i più pericolosi. MyDoom.A, noto anche come Novarg.A o MiMail.R, attacca tutti i sistemi Windows.
 
 

COME SI DIFFONDE: MyDoom utilizza i computer infettati per distribuirsi ulteriormente in rete, via email o attraverso i network del peer-to-peer. In particolare, come molti altri worm, MyDoom scansiona i file del computer colpito a caccia di indirizzi di posta elettronica ai quali spedisce una email con un allegato che lo contiene. Aperto l'allegato, il worm si infila nel computer della sua vittima. Oltre a diffondersi via email, MyDoom piazza una copia di se stesso anche nella cartellina condivisa di cui l'utente colpito potrebbe disporre se utilizza sistemi peer-to-peer come Kazaa. In quel caso il file infetto assume il nome di un software molto conosciuto, come Winamp piuttosto che ICQ, cercando di indurre così gli altri utenti del peer-to-peer a scaricarlo ed attivarlo.

COME RICONOSCERLO: Come molti altri worm, anche MyDoom inserisce un mittente casuale tra quelli trovati nel computer infettato per dare l'idea a chi lo riceve che il messaggio è stato spedito da un apersona conosciuta. Il soggetto del messaggio può essere uno tra i seguenti: Test, hi, hello, Mail Delivery System, Mail Transaction Failed, Server Report, Status, Error. Mentre, il testo dell'email può contenere una delle seguenti frasi: Mail transaction failed. Partial message is available, The message contains Unicode characters and has been sent as a binary attachment, The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment, Anche il nome dell'allegato, ovvero del worm, varia ma la sua dimensione rimane sempre la stessa: 22.258 byte.

GLI EFFETTI DI MYDOOM: Una volta attivato, il worm apre le porte TCP dalla 3127 alla 3198, una procedura che mette a rischio l'integrità del computer colpito in quanto potrebbe consentire ad un cracker o all'autore del worm di entrare nel sistema infetto. La backdoor così creata consente non solo di arrivare dall'esterno ai computer che sono connessi in rete con il computer infetto ma è anche di eseguire sulla macchina colpita altri file scaricati da Internet. Inoltre, MyDoom è studiato per trasformare i computer infetti in macchine di attacco di rete: dal primo febbraio fino al 12 febbraio, infatti, MyDoom tenterà di far partire una aggressione di tipo distributed denial-of-service (dDoS) contro il sito www.sco.com. Si tratta di un attacco al quale parteciperanno tutti i computer infetti che spediranno ai server che gestiscono quel sito un alto numero di richieste nel tentativo di comprometterne il funzionamento e ostacolarne l'accesso. Il 12 febbraio MyDoom cessera' qualsiasi attività.

INTERVIENE SUL REGISTRY: Quando viene attivato, MyDoom inserisce il file shimgapi.dll nella cartellina System di Windows. Nella stessa cartellina inserisce anche il file Taskmon.exe: se tale file già esiste dentro System il worm lo sovrascrive. Shimgapi.dll altro non è che una sorta di proxy server che apre le porte TCP e consente all'autore del worm di accedere da remoto alla macchina colpita o di farle scaricare ed eseguire file presi da Internet. Dopo aver aperto le porte, Shimgapi.dll si inserisce nel file di registro di Windows dove compie alcune modifiche e aggiunge anche il valore System\Taskmon.exe. Così da preparare il computer colpito per partecipare all'attacco denial-of-service contro www.sco.com.

COME DIFENDERSI: Vista la natura sfuggente del worm, che presenta messaggi email sempre diversi o si maschera in file in apparenza innocui, è necessario usare la massima prudenza, in particolare ricordando che le dimensione del file infetto che arriva allegato all'email sono, come detto, sempre le stesse. Tutti i principali produttori antivirus hanno già aggiornato le proprie definizioni contro MyDoom ed è quindi saggio procedere subito all'aggiornamento del software di protezione sul proprio computer.

ULTERIORI INFORMAZIONI: Per approfondire la conoscenza di questo virus si può fare riferimento alle pagine del Security Response: securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html. Anche il centro antivirus di Sophos ha messo a punto una pagina informativa su MyDoom: www.sophos.com/virusinfo/analyses/w32mydooma.html.