|
|
|
 |
|
|
| |
Notiziario Marketpress di
Giovedì 04 Marzo 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
I LABORATORI MCAFEE AVERT ASSEGNANO UNA VALUTAZIONE DI RISCHIO MEDIA AI VIRUS W32/BAGLE.H@MM E WW32/BAGLE.J@MM |
|
| |
|
|
| |
Beaverton, 4 marzo 2004. Mcafee Avert (Anti-virus Emergency Response Team), la divisione di ricerca anti-virus di Network Associates, ha assegnato una valutazione di rischio Media ai worm W32bagle.h@mm e W32bagle.j@mm. Bagle.h, utilizza un proprio motore Smtp per costruire messaggi in uscita con allegato un file .Zip protetto da password e contiene un componente per l'accesso remoto. Bagle.j è un worm che costruisce messaggi in uscita con un'estensione .Exe e .Pif oppure anch'esso un file Zip protetto da password. I worm hanno le stesse caratteristiche dei precedenti Bagle, due dei quali hanno una valutazione di pericolosità Media. I laboratori Mcafee Avert hanno rilevato ieri in giornata i primi esempi dei worm, e hanno ricevuto più di 100 esempi di Bagle.h e dozzine di Bagle.j, segnalati sia dagli utenti Mcafee Security sia dal virus stesso auto-generatosi in tutto il mondo. La maggior parte dei virus Bagle.h e Bagle.j sono diffusi tramite lo sfruttamento degli indirizzi e non da clienti infetti. Questo è quanto accade attualmente anche con la maggior parte dei virus, di cui le famiglie più pericolose sono quelle di Mydoom, Bagle e Netsky. Mcafee Avert consiglia ai propri utenti di aggiornare i sistemi con i Dat 4330 per assicurarsi la protezione contro le attuali minacce Bagle.h e con i Dat 4332 per quanto riguarda Tutte le minacce di Bagle. Inoltre nel Dat 4332, Mcafee Avert ha aggiunto una protrezione ulteriore per la variante di Mydoom.g, che Avert ritiene prossima a colpire. Al momento questa variante di Mydoom è ritenuta di livello Basso di pericolosità ma Avert ne sta osservando lo sviluppo. Ulteriori dettagli sulle minacce attualmente con livello Bsso di rischio, sono disponibili all'indirizzo http://vil.Nai.com/vil/content/v_101072.htm
Sintomi - I worm Bagle.h e Bagle.j sono worm Internet mass mailer che raccolgono gli indirizzi da file locali, che poi utilizzano per inviarsi inserendoli nel campo "From" dei messaggi email. In questo modo il ricevente non è in grado di visualizzare il mittente reale. Il worm quindi attiva il componente di accesso remoto del virus, che "ascolta" la porta Tcp 2745 alla ricerca di connessioni remote. Gli utenti devono cancellare immediatamente qualsiasi messaggio che contiene quanto segue:
Bagle.h Bagle.j
From: (l'indirizzo è falsificato) From: (l'indirizzo è falsificato
Subject: Subject:
^_^ meay-meay! E-mail account security warning.
^_^ mew-mew (-: Notify about using the e-mail account.
Hey, dude, it's me ^_^ :P Warning about your e-mail account.
Argh, i don't like the plaintext:) Important notify about your e-mail account.
I don't bite, weah! Email account utilization warning.
Looking forward for a response :P Notify about your e-mail account utilization
E-mail account disabling warning.
Body Text:
Greeting · Dear user of (user’s domain),
· Dear user of (user's domain) gateway e-mail server,
· Dear user of e-mail server "(user’s domain) ",
· Hello user of (user’s domain) e-mail server,
· Dear user of "(user's domain) " mailing system,
· Dear user, the management of (user’s domain) mailing system wants to let you know that,
Patologia Una volta eseguiti, il worm Bagle.h si autoinvia come file .Zip protetto da password, dove la password è inclusa nel corpo del messaggio, mentre il worm Bagle.j si autoinvia agli indirizzi trovati sul sistema infetto come .Exe, .Pif o anch'esso come archivio .Zip protetto da password, con password inclusa nel corpo del messaggio. Il virus quindi utilizza la porta Tcp 2745 alla ricerca di connessioni remote che tentano di avvisare l'autore del virus che il sistema infetto è pronto ad accettare comandi, contattando diversi siti web, richiamando uno script Php sui siti remoti. In particolare, il worm Bagle.h contatta ogni 27,8 ore i siti web http://postertog.De/scr.php http://www.Gfotxt.net/scr.php and http://www.Maiklibis.de/scr.php Come i loro predecessori, questi worm controllano la data del sistema: il worm bagle.H smette di propagarsi se la data corrisponde al 25 marzo 2005 o successivi, mentre il worm bagle.J diventa inattivo a partire dal 25 aprile 2005 o successivi. Cura Informazioni aggiuntive e le cure per questi worm sono disponibili sul sito Network Associates Mcafee Avert agli indirizzi http://vil.Nai.com/vil/content/v_101068.htm (bagle.H) e http://vil.Nai.com/vil/content/v_101071.htm (bagle.J).
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
