Vai alla freccia - Homepage - BlogRoom - Mappa
Visualizza Messaggi.


Nick: Average
Oggetto: [virus] attenti a questi 2
Data: 30/4/2004 9.44.20
Visite: 99

Netsky.K e Sober.D: worm invasion
N. 87 di martedì 9 marzo 2004


UNA SCORPACCIATA DI VARIANTI

Continua la proliferazione di worm già noti ma che nelle ultime settimane hanno dato dimostrazione di poter dar vita a numerose varianti aggressive che è bene conoscere: Netsky ha raggiunto la versione K, Beagle (Bagle) la F, Mydoom è alla H, Sober è redivivo con la variante D. A questi bisogna aggiungere nuovi worm che tentano di farsi largo come Keko o Hiton.

A diffondersi maggiormente nelle ultime ore sono però Sober.D e Netsky.K.
Aumenta il livello di attenzione per questi due worm che si diffondono via posta elettronica sfruttando un proprio sistema SMTP per la spedizione dei messaggi e che cercano gli indirizzi email da utilizzare sia come mittenti che come destinatari dei messaggi infetti nei file presenti sui computer colpiti.

Ad essere colpiti sono i sistemi Windows.
Netsky.K aggredisce tutte le versioni, dalle più vecchie (3.x) alle ultime (XP e 2003); Sober.D infetta i sistemi con Windows dalla versione 95 in poi.

NETSKY.K

A destare maggiore preoccupazione è la variante K di Netsky, scoperta solo ieri. Tra i suoi obiettivi anche la cancellazione di voci del registro di Windows, allo scopo di compromettere il funzionamento di alcuni dei più diffusi software, tra i quali anche quelli di sicurezza e antivirus.

Netsky.K è difficile da riconoscere perchè utilizza una libreria di parole e frasi in inglese dalla quale sceglie a caso sia il soggetto che il testo del messaggio di posta elettronica che poi invia agli indirizzi recuperati nei dischi del computer infettato. L'allegato delle email spedite, che contiene il virus, ha però sempre estensione .pif e dimensione di 22.016 byte.

SOBER.D

La sua principale occupazione è quella di mandare messaggi di posta elettronica a quanti più utenti possibili. Quando si avvia, modifica il registro di Windows per assicurarsi di essere attivato ogni volta che il computer viene acceso dall'utente.

L'infezione di Sober.D è più evidente di altri worm perchè‚ una volta completate le operazioni sul registro, mostra una finestra con una delle seguenti diciture:
- This patch has been successfully installed.
- This patch does not need to be installed on this system.
- Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [nome del file].exe
Connection lost or blocked by Firewall

Il mittente delle email spedite da Sober.D è facilmente riconoscibile perchè è scelto a caso tra i seguenti nomi: Alert, Center, Help, Info, News, Patch, Studio, Security, UpDate. A cui aggiunge il dominio "@microsoft" in modo che sembri provenire dal produttore del sistema operativo (es: help@microsoft.com).
Il dominio di primo livello dell'indirizzo del mittente delle email può essere indifferentemente .com, .de o .at.

Il soggetto dei messaggi può essere uno sei seguenti:
- Microsoft Alert: Please Read!
- Microsoft Alarm: Bitte Lesen!

Il testo del messaggio appare in inglese o in tedesco ed invita ad installare la patch allegata che, però, è il worm. SalvaPC ricorda che Microsoft non distribuisce mai le patch ai propri software via email ma solo attraverso il sistema su web noto come Windows Update.

Il nome del file allegato può essere uno dei seguenti, indifferentemente con estensione .exe o .zip: Patch, MS-Security, MS-UD, UpDate, sys-patch, MS-Q. La sua dimensione è di 33.792 byte.

COME PROTEGGERSI

Per entrambi questi worm è necessario aggiornare le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.

È possibile identificare ed eliminare vari worm, tra cui Netsky e Sober, utilizzando un tool gratuito distribuito da Network Associates al seguente indirizzo: vil.nai.com/vil/stinger/

ULTERIORI INFORMAZIONI

Maggiori informazioni su Netsky.D sono disponibili in inglese ai seguenti indirizzi:
www.sophos.com/virusinfo/analyses/w32netskyk.html
securityresponse.symantec.com/avcenter/venc/data/w32.netsky.k@mm.html

Per Sober.D si possono visitare i seguenti indirizzi, in inglese:
securityresponse.symantec.com/avcenter/venc/data/w32.sober.d@mm.html
it.mcafee.com/virusInfo/default.asp?id=description&virus_k=101081

fonte: http://punto-informatico.it/salvapc/index.asp?i=87



Rispondi al Messaggio | Indietro | Indice topic | Quota Testo | Vai su| Segnala ad un amico|Successivo


[virus] attenti a questi 2   30/4/2004 9.44.20 (98 visite)   Average
   come proteggersi?   30/4/2004 9.57.30 (20 visite)   MILLWALL^
      re:come proteggersi?   30/4/2004 10.2.28 (20 visite)   eLLeGi
         esisteranno pure   30/4/2004 10.4.22 (11 visite)   MILLWALL^
            re:esisteranno pure   30/4/2004 10.10.35 (13 visite)   insize
               ant˜ ho la cervicale   30/4/2004 11.24.6 (5 visite)   MILLWALL^ (ultimo)
      re:come proteggersi?   30/4/2004 11.17.26 (6 visite)   Average
   re:[virus] attenti a questi 2   30/4/2004 10.17.16 (6 visite)   JacKn|Fe
      re:[virus] attenti a questi 2   30/4/2004 10.18.40 (5 visite)   JacKn|Fe
Nick:
Password:
Oggetto:
Messaggio:

vai in modalità avanzata
                 


Rimani nel thread dopo l'invio

Ricerca libera nel sito by Google (Sperimentale, non sono ancora presenti tutti i contenuti)

Google
 



Clicca per leggere le regole del forum



Imposta IRCNapoli come homepage
Clicca per andare sul forum di prova.
IRCNapoli "Un racconto a più mani".
Mappa del forum

Visualizza tutti i post del giorno 30/04/2004
Visualizza tutti i post del giorno 01/08/2025
Visualizza tutti i post del giorno 31/07/2025
Visualizza tutti i post del giorno 30/07/2025
Visualizza tutti i post del giorno 29/07/2025
 vai in modalità avanzata