|
|
|
 |
|
|
| |
Notiziario Marketpress di
Martedì 23 Marzo 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
VIRUS ADVISORY: I LABORATORI MCAFEE AVERT ELEVANO LA VALUTAZIONE DI RISCHIO A MEDIA PER IL NUOVO WORM W32/NETSKY.P@MM |
|
| |
|
|
| |
Beaverton, Oregon, March 23, 2004— I laboratori Mcafee Avert (Anti-virus Emergency Response Team), la divisione di ricerca anti-virus di Network Associates Inc., il fornitore leader di soluzioni per la prevenzione delle intrusioni, hanno aumentato la valutazione di rischio a Media al worm W32netsky.p@mm, conosciuto anche come Netsky.p. Netsky.p è un worm prolifico che si diffonde tramite posta elettronica, auto-inviandosi agli indirizzi residenti sul computer della vittima.. Il worm Il worm presenta molte delle stesse funzionalità dei suoi predecessori Netsky, tre dei quali sono attualmente considerati a rischio Medio. I ricercatori Mcafee Avert hanno individuato il worm questa mattina e al momento hanno ricevuto oltre 100 segnalazioni di Netsky.p sia direttamente da clienti che da email auto-generate dal virus da clienti in tutto il mondo. La maggior parte degli esempi di Netsky.p ricevuti da Mcafee Avert provengono da clienti piuttosto che da mail generate dal virus stesso, che cammuffa gli indirizzi per diffondere il virus. Si tratta di una tecnica comune attualmente utilizzata da molti virus, tra cui quelli appartementi alle tre principali famiglie Mydoom, Bagle e Netsky. Sintomi Netsky.p è un worm Internet che, una volta attivato, si auto-invia agli indirizzi trovati sul computer della vittima. Il worm cerca quindi di installarsi sui drive da C: a Z: e sfrutta la vulnerabilità Ms01-020 annnunciata (e per cui è già disponibile la patch) da Microsoft nel 2001. Questa vulnerabilità consente l’autoesecuzione di file allegati nell’email su sistemi con Microsoft Internet Explorer 5.01 o 5.5 senza Service Pack 2. Ulteriori informazioni e il relativo aggiornamento sono disponibili all’indirizzo http://www.Microsoft.com/technet/security/bulletin/ms01-020.mspx. Mcafee Avert raccomanda agli utenti di aggiornare i loro sistemi e di cancellare qualsiasi messaggio che contiene quanto segue: From: (indirizzo contraffattoprelevato dal sistema infetto ); Subject: (uno dalla lista seguente); Stolen document ; Re:hello ; Mail Delivery ( failure sender address ); Private document ; Re:notify ; Re:document ; Re:extended Mail System ; Re:proctected Mail System ; Re:question ; Private document ; Postcard . Corpo del messaggio: (uno dalla lista seguente) : I found this document about you.; I have attached it to this mail.; Waiting for authentification. ; Please confirm! ; Protected message is available; Do not visit this illegal websites!; Here is my phone number; I cannot believe that; Your file is attached; For further details see that attachment; Congratulations!, your best friend; Greetings from france, your friend; If the message will not displayed automatically, follow the link to read the delivered message. Received message is available at: (forged web link. ) Patologia Una volta eseguito, Netsky.p si autoinvia come allegato.Zip con un nome di file presto dalle stringhe contenute nel worm. Lancia una query al server Dns per il registro Mx e si collega direttamente al Mail Transfer Agent (Mta) del dominio obiettivo dell’attacco e invia il messaggio. Il worm quindi si copia nella directory Windows con il nome di file ‘Fvprotect.exe.” Il worm aggiunge una chiave di registro che lo aiuta ad attivarsi all’avvio del sistema. Cura Informazioni sul virus e le cure per questo worm sono disponibili all'indirizzo http://vil.Nai.com/vil/content/v_101119.htm Inoltre, gli utenti di prodotti anti-virus Mcafee Security devono aggiornare i propri sistemi e utilizzare il motore 4340 (che include protezione anche per Netsky.c) o successivi per bloccare potenziali danni.
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
