|
|
|
|
|
|
|
Notiziario Marketpress di
Mercoledì 18 Febbraio 2004
|
|
|
|
|
|
Pagina5 |
|
|
I LABORATORI MCAFEE AVERT ELEVANO LA VALUTAZIONE DI RISCHIO A MEDIA PER LA VARIANTE DEL WORM BAGLE - WW32/BAGLE.B@MM |
|
|
|
|
|
Beaverton, 18 febbraio 2004 -- Mcafee Avert (Anti-virus Emergency Response Team), la divisione di ricerca anti-virus di Network Associates, ha elevato la valutazione di rischio a Media per il worm W32bagle.b@mm, variante di Bagle, scoperto in gennaio, sia per gli utenti aziendali che consumer. Update Bagle.b è un worm Internet mass mailer, che contiene un proprio motore Smtp per costruire messaggi in uscita, cattura gli indirizzi email dal computer della vittima, camuffa l’indirizzo del campo From dei messaggi in modo che il ricevente non sia in grado di visualizzare il reale mittente e contiene un componente per l’accesso remoto (una notifica viene inviata all’hacker). Come per il suo predecessore, questo worm controlla la data del sistema. Se tale data corrisponde al 25 febbraio 2004 o successivi, allora il worm non si preoccupa e si limita a risiedere sul sistema. Se il controllo della data corrisponde allora il virus esegue l’applicazione standard Windows Sound Recorder e si auto copia sulla directory di sistema Windows come Au.exe, per esempio: · C:\winnt\system32\au.exe La seguente chiave registry viene aggiunta per agganciarsi all’avvio del sistema: Hkey_current_user\software\microsoft\windows\currentversion\ Run "au.Exe" = C:\winnt\system32\au.exe Inoltre, vengono aggiunte anche le due seguenti chiavi registry: Hkey_current_user\software\windows2000 "frn" ; Hkey_current_user\software\windows2000 "gid" . Sintomi: La porta 8866 (Tcp) è aperta sul computer della vittima ; I messaggi in uscita corrispondono alle caratteristiche sopra descritte; Le chiavi File/registry hanno le caratteristiche sopra indicate. Metodo di infezione Diffusione tramite email Questo virus costruisce i messaggi utilizzando il proprio motore Smtp. Gli indirizzi vengono prelevati dai file presenti sul computer della vittina che hanno le seguenti estensioni: .Wab; .Txt; .Htm; .Html. Il virus camuffa l’indirizzo del mittente utilizzando uno degli indirizzi raccolti e inserendolo nel campo From: . Gli utenti devono cancellare tutti i messaggi che si presentano come segue: From : (indirizzo camuffato) Subject : Id (string)... Thanks Body : Yours Id (string2) -- Thank Allegato : binario, denominato a caso, (11,264 bytes) con estensione di file .Exe. Il virus non si autoinvia agli indirizzi che contengono: @hotmail.Com; @msn.Com; @microsoft; @avp. ; Cura Informazioni sul virus e le cure per questo worm sono disponibili all'indirizzo http://vil.Nai.com/vil/content/v_101030.htm Per gli utenti Mcafee Security, il file Dat 4324 p aggiornato ed è inoltre disponibile l’Extra.dat.
|
|
|
|
|
|
<<BACK
|
|
|
|
|
|
|
|