News: tutti i segreti di Internet

Il Natale si fa virus

Condividi:         ale 3 15 Dicembre 04 @ 13:00 pm

Attenzione agli auguri via posta elettronica, il worm ZAFi in una nuova variante sfrutta proprio le festività natalizie per cogliaere impreparati gli utenti più ingenui. Ecco le caratteristiche del nuovo worm mass mailing secondo due società antivirus.

Trend Micro e McAfee hanno entrambe elevato a rischio medio l'allarme in merito ad una nuova variante del worm ZAFI.
Entrambi i laboratori di ricerca hanno ricevuto segnalazione dall'Europa.

Questo worm, di tipo mass-mailing, arriva via posta elettronica e attraverso le reti di tipo punto-punto con il soggetto "Merry Christmas" e il contenuto "Happy Hollydays", come se fosse qualcuno conosciuto dal destinatario.
Il worm è allegato in un file che vorrebbe sembrare una cartolina di auguri natalizi (per esempio "postcard.index").

Il messaggio può apparire in lingue diverse a seconda della nazione del dominio a cui fa riferimento il destinatario "Chi ha scritto il virus sta utilizzando una semplice tattica che si basa sull’interesse delle persone di ricevere - con la posta elettronica - gli auguri per le festività in questo periodo dell'anno," dice David Kopp, responsabile di TrendLabs Europe. "Noi esortiamo ognuno ad essere attento a questo tipo di social engineering (manipolazione sociale), e di non aprire alcun allegato sospetto.".

Caratteristiche della minaccia
Zafi.d è un worm mass-mailing che, una volta eseguito, si duplica due volte nella cartella windirsystem32.
Il worm crea una chiave di registro, in modo che i file infetti vengano eseguiti ogni volta che un computer infetto viene acceso. Inoltre, Zafi.d è in grado di ricercare le directory di software anti-virus e personal firewall, per poi sovrascrivere gli eseguibili con una copia di se stesso. Gli utenti devono immediatamente cancellare tutti i messaggi email che contengono quanto segue:

From: (L'indirizzo è falsificato). Il worm va alla ricerca di indirizzi email sull’hard disk locale, raccogliendo gli indirizzi dai file che hanno le seguenti estensioni: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr, fpt, inb Gli indirizzi raccolti vengono memorizzati in cinque file nella cartella system32 utilizzando nomi casuali e l’estensione.DLL.
Subject: Re: (oggetto originale) Il messaggio può contenere diversi oggetti e testi.
Corpo del testo: Il corpo dell'email inviato dal worm è un semplice messaggio di auguri di Buon Natale. Come le varianti precedenti, il worm si invia in diverse lingue a secondo del Top Level Domain (TLD) dell’indirizzo del destinatario. Per esempio, un utente con un indirizzo email .COM riceverà il testo in inglese, mentre coloro che hanno un indirizzo email .IT lo riceveranno in italiano.

La dimensione dell’allegato appare di 12 KB.

Per ulteriori informazioni i siti delle due società antovirus hanno già approntato le soluzioni possibili:
http://it.trendmicro-euro ... ail.php?VName=WORM_ZAFI.D
http://vil.mcafeesecurity ... /vil/content/v_130371.htm

News tratta da I-dome.com



3 commenti a "Il Natale si fa virus":
ale ale il 16 Dicembre 04 @ 09:36 am

Virus, Buon Natale da Zafi.D
Non è Santa Claus ma una variante di un worm già noto, che infetta le macchine Windows se viene incautamente aperto un allegato con gli auguri. Prudenza e antivirus lo rendono facilmente inoffensivo.

Zafi, un worm comparso per la prima volta ad aprile 2004, si è rivelato nel tempo un onesto professionista del crimine (informatico): spesso nelle top ten dei malware più minacciosi, ma mai salito agli onori della cronaca.

Dopo la variante C, che prometteva un distributed denial of service verso Google, spetta al neonato Zafi.D proporsi come worm di Natale 2004, fermo restando che il suo eco difficilmente andrà oltre il prossimo capodanno.
Zafi.D (che Symantec chiama Erkez.D)si spaccia per cartolina di Natale e arriva come di consueto tramite posta elettronica; si tratta di un worm di tipo mass-mailer convenzionale, nato secondo Sophos in Ungheria. Il messaggio ha oggetto variabile (tra i tanti, ''FW: Merry Christmas'', ''Happy HollyDays!'' e ''Feliz Navidad!'').

Una volta aperto l'allegato, sul sistema vengono installate alcune chiavi di registro per rendere il worm residente in memoria; un motore Smtp necessario alla replicazione del worm (che viene inviato ai contatti presenti sul sistema infetto), e una backdoor che agisce sulla porta 8181/Tcp. Mediante quest'ultima, è possibile trasferire ed eseguire file sulle macchine infette, anche se la presenza di un firewall software in grado di analizzare il traffico in uscita dovrebbe rendere evidente la cosa.

I vendor sono concordi nel definire Zafi.D un malware di media pericolosità: i file di definizione di molti antivirus contengono già i rimedi per questo indesiderato Babbo Natale.

News tratta da Mytech.it

ale ale il 16 Dicembre 04 @ 09:40 am

E-mail ‘Buon Natale’: attenzione è un virus
Ha tutto l’aspetto di un inoffensivo messaggio di auguri natalizio, ma in realtà racchiude un nuovo worm: Zafi.D. La segnalazione arriva da PandaLabs, azienda specializzata nelle soluzioni software antivirus e content security, che ne ha rilevato la presenza.
Il worm si diffonde attraverso la posta elettronica e le applicazioni P2P e l’aumento del quantitativo di e-mail scambiate per gli auguri di Natale, fa ritenere che questo nuovo codice malevolo possa trovare terreno fertile per espandere la sua opera.

Il worm giunge con una e-mail da un mittente casuale che contiene nell’oggetto la frase “Buon Natale!” nella lingua corrispondente al dominio dell’indirizzo al quale viene trasmesso. Le e-mail contengono in allegato un file con nome variabile, selezionato da un elenco esteso.

Aprendo l’allegato, che contiene il codice infetto, il worm visualizza un falso messaggio di errore e contemporaneamente, utilizzando un proprio motore SMTP, inizia ad autoinviarsi a tutti gli indirizzi trovati nei file con determinate estensioni, contenuti nel pc.

Il worm altera diverse chiavi nel registro di Windows, per potersi auto eseguire ad ogni riavvio del sistema operativo.

Il worm è in grado di diffondersi anche attraverso le applicazioni P2P, copiandosi in tutte le cartelle dell’unità C: nelle cartelle contenenti i testi share, upload o music. I nomi di questi file sono winamp 5.7 newl.exe o ICQ 2005a newl.exe.

E’ consigliabile aggiornare i propri software antivirus e, comunque, prestare la massima attenzione nell’aprire allegati di provenienza incerta.

News tratta da Pcself.com

ale ale il 16 Dicembre 04 @ 09:44 am

Virus, Mcafee: ecco come funziona il worm di Natale
Roma, 15 dic - Mcafee Avert (Anti-virus and Vulnerability Emergency Response Team) ha elevato la valutazione di rischio a media per il worm W32/Zafi.d@MM. Zafi.d è un worm mass-mailing che costruisce i messaggi utilizzando il proprio motore Smtp e camuffando l'indirizzo del mittente.

Questo virus tenta anche di diffondersi tramite reti P2p, duplicandosi nelle cartelle presenti sul sistema locale. I ricercatori Mcafee Avert, che hanno identificato il worm questa mattina presto in Europa, hanno ricevuto numerose segnalazioni provenienti da Germania, Italia e Spagna, dove Zafi.d è stato rilevato o ha infettato sia utenti consumer che aziendali.

Zafi.d è un worm mass mailing che, una volta eseguito, si duplica due volte nella cartella windir system32.
Il worm crea una chiave di registro, in modo che i file infetti siano eseguiti ogni volta che un computer infetto viene acceso.
Inoltre, Zafi.d è in grado di ricercare le directory di software antivirus e personal firewall, per poi sovrascrivere gli eseguibili con una copia di se stesso. Gli utenti devono immediatamente cancellare i messaggi e-mail che contengono quanto segue: From: (L'indirizzo è falsificato).
Il worm va alla ricerca di indirizzi e-mail sul disco rigido locale, raccogliendo gli indirizzi dai file che hanno le seguenti estensioni: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr, fpt, inb.

Gli indirizzi raccolti sono memorizzati in cinque file nella cartella system32 utilizzando nomi casuali e l'estensione .Dll. Subject: Re: (oggetto originale). Il messaggio può contenere diversi oggetti e testi.
Corpo del testo: Il corpo dell'e-mail inviato dal worm è un semplice messaggio di auguri di Buon Natale. Come le varianti precedenti, il worm si invia in diverse lingue in base al Top Level Domain (Tld) dell'indirizzo del destinatario.

Per esempio, un utente con un indirizzo e-mail .com ricevera' il testo in inglese, mentre coloro che hanno un indirizzo e-mail .it lo riceveranno in italiano. Una volta eseguito, Zafi.d si copia due volte nella cartella %windir%system32 utilizzando un nome casuale e l'estensione .Dll. Il worm si duplica nelle directory presenti sul drive C: che contengono una delle stringhe, share, upload o music, e utilizza uno dei seguenti nomi di file: winamp 5.7 new!.exe, ICQ 2005a new!.exe.
Per maggiori informazioni: http://vil.mcafeesecurity ... /vil/content/v_130371.htm

News tratta da Mytech.it

Lascia un commento

Insulti, volgarità e commenti ritenuti privi di valore verranno modificati e/o cancellati.
Nome:

Commento:
Conferma visiva: (ricarica)

Inserisci la targa della città indicata nell'immagine.

Login | Iscriviti

Username:

Password: