IN QUATTRO ALL'ASSALTO
----------------------
Nelle scorse ore sono state scoperte ben quattro nuove varianti di Beagle
(secondo alcuni Bagle), che si stanno diffondendo su Internet via posta
elettronica.
Tra le nuove versioni una e' particolarmente pericolosa perche' l'email con
cui arriva puo' non presentare alcun allegato ma contenere comunque il worm.
E' sufficiente infatti aprire l'email per correre il rischio che il proprio
computer rimanga infettato.
Le nuove varianti sono la O, la R, la S e la T. La variante particolarmente
pericolosa e' la R (secondo alcuni centri di ricerca si tratterebbe della
variante Q, ma e' solo un problema di nome).
CHI VIENE COLPITO
-----------------
Come tutte le varianti di Beagle, ad essere colpiti sono i sistemi Windows
dalla versione 95 in poi.
Beagle.R quando arriva senza allegato riesce ad infettare le macchine con
installato Windows che non abbiano applicato tutte le patch messe a
disposizione da Microsoft. In particolare, quella relativa alla "Microsoft
Internet Explorer Object Tag Vulnerability", una vulnerabilita' descritta
nel relativo bollettino di sicurezza disponibile dal 3 ottobre 2003 con
relativa patch al seguente indirizzo:
http://www.microsoft.com/technet/sec.../MS03-032.mspx
COME FUNZIONA
-------------
L'email che permette l'infezione di Beagle.R contiene al suo interno del
codice HTML che viene eseguito non appena si apre il messaggio di posta
elettronica. In sostanza, viene richiamato un particolare file presente su
vari server che si occupa di saricare ed eseguire il worm.
Va anche considerato che il file che viene scaricato attraverso questo
sistema e' attualmnete il worm Beagle.R, ma questo potrebbe essere
sostituito con altri worm oppure altri file eseguibili per svolgere anche
diversi tipi di attacchi.
COME RICONOSCERLO
-----------------
L'indirizzo del mittente con cui arriva il messaggio comincia con uno dei
seguenti nomi, ma il dominio e' casuale: management@, administration@,
staff@, antivirus@, antispam@, noreply@, support@.
Il soggetto delle email, sempre in inglese, puo' essere uno tra i seguenti:
Account notify
E-mail account disabling warning.
E-mail account security warning.
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Email account utilization warning.
Email report
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
RE: Protected message
RE: Text message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
Re: Thank you!
Re: Thanks
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account
Il testo del messaggio puo' cominciare con una delle seguenti parole, ma
puo' contenerne molte altre, oltre al codice HTML per scaricare il worm:
Dear user of
Hello user of
Dear user
the management of .
Il file che si puo' trovare nella versione con allegato ha la dimensione di
25.600 KB.
QUALI DANNI PROVOCA
-------------------
Quando questo worm riesce ad infettare il sistema svolge una serie di
funzioni tipiche: esegue alcune scritture sul registro di sistema, cancella
alcune voci e rende impossibile l'avvio di numerosi programmi e tra questi i
piu' popolari sistemi antivirus. Non contento cerca anche di disattivare
eventuali software antivirus in funzione.
Come le altre varianti di Beagle anche la R apre una backdoor sul computer
infettato. La porta 2556 viene resa utilizzabile dall'esterno per chi
volesse entrare nel sistema.
Ancora, il worm tenta di diffondersi anche attraverso i software di file
sharing (P2P: Kazaa, eMule, WinMX, ecc) copiando se stesso in tutte le
cartelle il cui nome comincia per "shar", utilizzando nomi di programmi
famosi per essere appetibile agli utenti che utilizzano questi sistemi di
scambio file. Ecco i nomi che puo' prendere Beagle.R:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Infine, come tutti i worm, cerca nei dischi tutti gli indirizzi email a cui
poi spedire se stesso utilizzando un proprio server SMTP, ovvero il
protocollo per l'invio di messaggi di posta elettronica su Internet.
COME PROTEGGERSI
----------------
E' consigliabile alzare la guardia verso tutti i messagi in arrivo con
soggetto in inglese. Se proprio si e' in dubbio sulla bonta' di un
determinato messaggio e' consigliabile escludere la connessione alla rete
prima di aprire l'email.
Aggiornare quanto prima le definizioni dei software antivirus. Questa
operazione consente l'intercettazione per tempo dei file infetti e quindi di
evitare l'infezione.
ULTERIORI INFORMAZIONI
----------------------
Maggiori informazioni su Beagle.R sono disponibili in inglese ai seguenti
indirizzi:
http://securityresponse.symantec.com...agle.r@mm.html
http://www.sophos.com/virusinfo/analyses/w32bagler.html
http://it.trendmicro-europe.com/ente...ame=PE_BAGLE.Q
Risultati da 1 a 1 di 1
Discussione: Pajuraaaaaaaaaaaaaaaaaa
-
19-03-04, 15:44 #1AlessandraOspite
Pajuraaaaaaaaaaaaaaaaaa
Rispondi Citando
Chi Ha Letto Questa Discussione negli Ultimi 365 Giorni: 0
Permessi di Scrittura
Powered by vBulletin® Version 4.2.5
Copyright © 2024 vBulletin Solutions Inc. All rights reserved.
Change privacy settings
Copyright © 2024 vBulletin Solutions Inc. All rights reserved.
Change privacy settings
Tutti gli orari sono GMT +2. Adesso sono le 09:39.
