|
|
|
 |
|
|
| |
Notiziario Marketpress di
Martedì 23 Marzo 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
TREND MICRO: ALLARME VIRUS DI RISCHIO MEDIO PER WORM_NETSKY.P SECONDO DAVID KOPP, RESPONSABILE TRENDLABS, "CONTINUA LA GUERRA TRA I CREATORI DI VIRUS" |
|
| |
|
|
| |
Milano, 23 marzo 2004 - Lunedì 22 marzo Trendlabs di Trend Micro ha dichiarato un allarme di livello medio per questa nuova variante di Netsky. Trend Micro ha al momento ricevuto segnalazioni di questa variante da Europa e Usa. Il worm è il nuovo ‘virus’ nella ormai nota ‘guerra’ fra i creatori di ‘Netsky’ e ‘Bagle’. Come l’ultima variante di Bagle (Q), Netsky.p, sfrutta una vulnerabilità di Internet Explorer . Utilizza nomi celebri come ‘Britney Spears’ e ‘Eminem’ nei file che copia, mentre il corpo del messaggio contiene dichiarazioni, apparentemente provenienti da produttori di antivirus, secondo le quali ‘nessun virus’ è stato rilevato. Propagazione: Questo codice maligno si propaga usando varie tecniche - via email usando il proprio motore Simple Mail Transfer Protocol (Smtp), sfruttando una nota vulnerabilità di Internet Explorer, attraverso condivisioni di rete – e il ricorso al “social engineering”: L’email che il worm invia ha vari soggetti, corpi di messaggi e nomi di file di attachment. Raccoglie indirizzi email da file con determinate estensioni. Ha inoltre l’abilità di propagarsi attraverso condivisione di rete copiando se stesso nelle cartelle condivise dei sistemi colpiti. E’ la prima variante di Netsky che sfrutta una nota vulnerabilità di Internet Explorer che comporta la vulnerabilità dell’intestazione Mime non corretta (Ms01-020) per eseguire il worm quando la email viene letta. Maggiori informazioni su questa vulnerabilità sono disponibili al: www.Microsoft.com/technet/security/bulletin/ms01-020.mspx Anche la recente variante di Bagle (Bagle.q) diffusasi la scorsa settimana utilizzava una tecnica simile. Payload: Ha inoltre un payload per la cancellazione di specifiche chiavi di registro, se esistono. Questo worm residente in memoria è compresso con l’uso di Upx, e opera su Windows 95, 98, Me, Nt, 2000 e Xp. Una volta che Worm_netsky.p ha infettato un Pc … …crea alcune registry entry in modo tale che venga eseguito automaticamente ad ogni avvio di Windows e creando ulteriori chiavi di registro, si registra quale servizio. Come riconoscere Worm_netsky.p: Questo worm si propaga via email usando il proprio motore Smtp. Il messaggio email da esso inviato proviene da un indirizzo riconosciuto. L’oggetto del messaggio varia, ma include numerosi esempi apparentemente innocui, come ‘Protected Mail Request’, ‘Mail Authentication’. Il corpo del messaggio contiene dettagli che sembrano originati da un produttore di antivirus e dichiarano che nessun virus è stato rilevato, - diversi fattori che inducono l’utente distratto a credere si tratti di un messaggio sicuro e ad aprire la mail. David Kopp, Responsabile di Trendlabs Europe, dichiara: “Per effetto di questa ‘ guerra’ in corso, i virus writers stanno rendendo sempre più complesse le loro creazioni, nel tentativo di mettere fuori gioco i loro concorrenti. Stiamo assistendo a un sempre maggiore ricorso all’inserimento di payloads e a tecniche di social engineering. Gli utenti di Pc devono restare estremamente attenti in questo periodo.” I clienti di Trend Micro sono protetti da Netsky.p, attraverso l’ultimo pattern file, numero 832. I clienti di Outbreak Prevention Services possono scaricare il modulo Opp 99 per proteggersi dalla diffusione di questa minaccia. Per I clienti di Damage Cleanup Services, Damage Cleanup è disponibile il template # 296. Tutti gli altri utenti possono utilizzare il servizio free on line di Trend Micro, Housecall, all’indirizzo http://housecall.Trendmicro.com/ Infolink: http://www.Trendmicro.com/vinfo/virusencyclo/default5.asp?vname=worm_netsky.p
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
