|
|
|
 |
|
|
| |
Notiziario Marketpress di
Martedì 16 Marzo 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
VIRUS ADVISORY I LABORATORI MCAFEE AVERT DI NETWORK ASSOCIATES ELEVANO LA VALUTAZIONE DI RISCHIO A MEDIA PER IL NUOVO VIRUS W32/BAGLE.N@MM VIRUS |
|
| |
|
|
| |
Beaverton, Oregon, 16 marzo 2004 - Mcafee Avert (Anti-virus Emergency Response Team), la divisione di ricerca anti-virus di Network Associates, ha elevato la valutazione di rischio a Media per il worm W32/bagle.n@mm, conosciuto anche come Bagle.n. Questa nuova variante è un worm mass-mailing che costruisce i messaggi in uscita con vari allegati inclusi file .Rar protetti da password la quale è inclusa nel corpo del messaggio o in un file di immagine allegato al messaggio stesso. Il worm presenta molte delle stesse funzionalità dei suoi predecessori Bagle, personalizzando efficacemente ogni email per farla apparire come una notifica di allarme legittima. Mcafee Avert ha verificato la scoperta di questa nuova minaccia operando a stretto contatto con un ricercatore partner negli Stati Uniti, dove si è manifestato la prima volta. Attualmente, Mcafee Avert ha ricevuto oltre 110 segnalazioni del virus, un numero piuttosto elevato per un fine settimana in cui molte aziende sono chiuse. La maggior parte degli esempi di Bagle.n riscontrati da Mcafee Avert arrivano dal virus stesso, che utilizza un comune processo di spoofing, e non dagli utenti infetti, che hanno comunque inviato alcuni esempi. Ciò si è già verificato con tre dei virus più diffusi al momento, che includono le famiglie Mydoom, Bagle e Netsky. Sintomi Il worm Bagle.n è una minaccia mass mailing polimorfica, che significa che il virus ha la capacità di modificare la propria firma ogni volta che colpisce. Il worm raccoglie gli indirizzi da file locali e li utilizza inserendoli nel campo “From” per autoinviarsi. Il worm si duplica nelle cartelle che contengono la parola “shar” nel nome, come le più diffuse applicazioni peer-to-peer. Il worm quindi passa poi alla componente di accesso remoto del virus, che ricerca connessioni remote su una porta Tcp a caso. Gli utenti devono immediatamente cancellare qualsiasi messaggio contenente quanto segue: From: (indirizzo cammuffato) Subject: · E-mail account security warning. · Notify about using the e-mail account. · Warning about your e-mail account. · Important notify about your e-mail account. · Email account utilization warning. · Notify about your e-mail account utilization. · E-mail account disabling warning. Testo del messaggio: Saluti- · Dear user of (dominio dell’utente), · Dear user of (dominio dell’utente gateway e-mail server, · Dear user of e-mail server “(dominio dell’utente) ", · Hello user of (dominio dell’utente) e-mail server, · Dear user of "(dominio dell’utente) " mailing system, · Dear user, the management of (dominio dell’utente mailing system wants to let you know that, From : (l’indirizzo può essere cammuffato, utilizzando il nome di dominio del destinatario e un nome utente presso dalla seguente lista, o un altro indirizzo presente sul sistema locale) · management@ · administration@ · staff@ · noreply@ · support@ · other address found on the system Subject : · Account notify . · E-mail account disabling warning. · E-mail account security warning. · Email account utilization warning. · Email report. · E-mail technical support message. · E-mail technical support warning. · E-mail warning. · Encrypted document. · Fax Message Received. · Forum notify. · Hidden message. · Important notify. · Important notify about your e-mail account. · Incoming message. · Notify about using the e-mail account. · Notify about your e-mail account utilization. · Notify from e-mail technical support. · Protected message. · Re: Document. · Re: Hello. · Re: Hi. · Re: Incoming Fax. · Re: Incoming Message. · Re: Msg reply. · Re: Protected message. · Re: Text message. · Re: Thank you!. · Re: Thanks :). · Re: Yahoo!. · Request response. · Site changes. · Warning about your e-mail account. Testo del messaggio: Saluti- · Dear user of %s , · Dear user of %s e-mail server gateway, · Hello user of %s e-mail server, · Dear user, the management of %s mailing system wants to let you know that, (Dove %s è il dominio dell’utnete scelto dall’andirizzo To:. Per esempio il dominio utente per user@mail.Com sarà "mail.Com") Corpo principale del messaggio: · Your e-mail account has been temporary disabled because of unauthorized access. · Our main mailing server will be temporary unavaible for next two days, to continue receiving mail in these days you have to configure our free auto-forwarding service. · Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information. · We warn you about some attacks on your e-mail account. Your computer may contain viruses, in order to keep your computer and e-mail account safe, please, follow the instructions. · Our antivirus software has detected a large ammount of viruses outgoing from your email account, you may use our free anti-virus tool to clean up your computer software. · Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions. Patologia Dopo essere stato exeguito, Bagle.n si invia via email agli indirizzi presenti sull’host infetto come file di tipo .Exe, .Pif, .Zip, o .Rar. Il virus può inoltre allegare un file di immagine (.Bmp, .Jpg, .Gif) al messaggio che contiene la password per un file zip protetto da password. Il worm contiene inoltre un’unica sotto forma di carattere True Type. Il virus ricerca su una porta Tcp a caso collegamenti remoti e cerca di avvisare l’autore che il sistema infetto è pronto per accettare comandi. Come i suoi predecessori, anche questo worm controlla la data del sistema: se questa corrisponde al 31 dicembre 2005, o successive, il worm si disattiva cancellando la propria chiave di registro. Cura Informazioni aggiornate e le cure per questo nuovo worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo http://vil.Nai.com/vil/content/v_101095.htm Mcafee Avert suggerisce ai propri utenti di aggiornare i sistemi con i file Dat 4337 per proteggersi contro tutte le attuali minacce Bagle. La strategia Network Associates Mcafee Protection-in-depth offre il primo set di soluzioni per la protezione di reti e sistemi caratterizzate dalla tecnologia di prevenzione delle intrusioni che può rilevare e bloccare questi tipi di attacco. Ciò consente ai clienti di essere protetti mentre implementano le patch necessarie. I Laboratori Avert sono una delle principali organizzazioni di ricerca anti-virus research nel mondo, con oltre 100 ricercatori dislocati in uffici nei cinque continenti. Avert protegge i clienti rilasciando cure che vengono sviluppate grazie all'attività dei ricercatori Avert e alla tecnologia Avert Autoimmune, che utilizza tecniche di euristica avanzata, rilevamento generico e la tecnologia Activedat per generare cure per virus sconosciuti.
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
