Il Natale si fa virus
Attenzione agli auguri via posta elettronica, il worm ZAFi in una nuova variante sfrutta proprio le festività natalizie per cogliaere impreparati gli utenti più ingenui. Ecco le caratteristiche del nuovo worm mass mailing secondo due società antivirus.
Trend Micro e McAfee hanno entrambe elevato a rischio medio l'allarme in merito ad una nuova variante del worm ZAFI.
Entrambi i laboratori di ricerca hanno ricevuto segnalazione dall'Europa.
Questo worm, di tipo mass-mailing, arriva via posta elettronica e attraverso le reti di tipo punto-punto con il soggetto "Merry Christmas" e il contenuto "Happy Hollydays", come se fosse qualcuno conosciuto dal destinatario.
Il worm è allegato in un file che vorrebbe sembrare una cartolina di auguri natalizi (per esempio "postcard.index").
Il messaggio può apparire in lingue diverse a seconda della nazione del dominio a cui fa riferimento il destinatario "Chi ha scritto il virus sta utilizzando una semplice tattica che si basa sull’interesse delle persone di ricevere - con la posta elettronica - gli auguri per le festività in questo periodo dell'anno," dice David Kopp, responsabile di TrendLabs Europe. "Noi esortiamo ognuno ad essere attento a questo tipo di social engineering (manipolazione sociale), e di non aprire alcun allegato sospetto.".
Caratteristiche della minaccia
Zafi.d è un worm mass-mailing che, una volta eseguito, si duplica due volte nella cartella windirsystem32.
Il worm crea una chiave di registro, in modo che i file infetti vengano eseguiti ogni volta che un computer infetto viene acceso. Inoltre, Zafi.d è in grado di ricercare le directory di software anti-virus e personal firewall, per poi sovrascrivere gli eseguibili con una copia di se stesso. Gli utenti devono immediatamente cancellare tutti i messaggi email che contengono quanto segue:
From: (L'indirizzo è falsificato). Il worm va alla ricerca di indirizzi email sull’hard disk locale, raccogliendo gli indirizzi dai file che hanno le seguenti estensioni: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr, fpt, inb Gli indirizzi raccolti vengono memorizzati in cinque file nella cartella system32 utilizzando nomi casuali e l’estensione.DLL.
Subject: Re: (oggetto originale) Il messaggio può contenere diversi oggetti e testi.
Corpo del testo: Il corpo dell'email inviato dal worm è un semplice messaggio di auguri di Buon Natale. Come le varianti precedenti, il worm si invia in diverse lingue a secondo del Top Level Domain (TLD) dell’indirizzo del destinatario. Per esempio, un utente con un indirizzo email .COM riceverà il testo in inglese, mentre coloro che hanno un indirizzo email .IT lo riceveranno in italiano.
La dimensione dell’allegato appare di 12 KB.
Per ulteriori informazioni i siti delle due società antovirus hanno già approntato le soluzioni possibili:
http://it.trendmicro-euro ... ail.php?VName=WORM_ZAFI.D
http://vil.mcafeesecurity ... /vil/content/v_130371.htm
News tratta da I-dome.com
- [02/02/10] Top Cinque delle minacce elettroniche Gennaio 2010
- [23/02/07] Kaspersky Lab informa sulla pericolosità di Zelathin.o
- [21/12/05] Worm in regalo dalle reti IM
- [07/07/05] Due worm che lavorano in coppia
- [14/05/05] Wurmark, il worm che spia
3 commenti a "Il Natale si fa virus":
Virus, Buon Natale da Zafi.D
Non è Santa Claus ma una variante di un worm già noto, che
infetta le macchine Windows se viene incautamente aperto un allegato con gli
auguri. Prudenza e antivirus lo rendono facilmente inoffensivo.
Zafi, un worm comparso per la prima volta ad aprile 2004, si è rivelato nel
tempo un onesto professionista del crimine (informatico): spesso nelle top ten
dei malware più minacciosi, ma mai salito agli onori della cronaca.
Dopo la variante C, che prometteva un distributed denial of service verso
Google, spetta al neonato Zafi.D proporsi come worm di Natale 2004, fermo
restando che il suo eco difficilmente andrà oltre il prossimo capodanno.
Zafi.D (che Symantec chiama Erkez.D)si spaccia per cartolina di Natale e arriva
come di consueto tramite posta elettronica; si tratta di un worm di tipo
mass-mailer convenzionale, nato secondo Sophos in Ungheria. Il messaggio ha
oggetto variabile (tra i tanti, ''FW: Merry Christmas'', ''Happy HollyDays!'' e
''Feliz Navidad!'').
Una volta aperto l'allegato, sul sistema vengono installate alcune chiavi di
registro per rendere il worm residente in memoria; un motore Smtp necessario
alla replicazione del worm (che viene inviato ai contatti presenti sul sistema
infetto), e una backdoor che agisce sulla porta 8181/Tcp. Mediante quest'ultima,
è possibile trasferire ed eseguire file sulle macchine infette, anche se la
presenza di un firewall software in grado di analizzare il traffico in uscita
dovrebbe rendere evidente la cosa.
I vendor sono concordi nel definire Zafi.D un malware di media pericolosità: i
file di definizione di molti antivirus contengono già i rimedi per questo
indesiderato Babbo Natale.
News tratta da Mytech.it
E-mail ‘Buon Natale’: attenzione è un virus
Ha tutto l’aspetto di un inoffensivo messaggio di auguri natalizio, ma in realtà
racchiude un nuovo worm: Zafi.D. La segnalazione arriva da PandaLabs, azienda
specializzata nelle soluzioni software antivirus e content security, che ne ha
rilevato la presenza.
Il worm si diffonde attraverso la posta elettronica e le applicazioni P2P e
l’aumento del quantitativo di e-mail scambiate per gli auguri di Natale, fa
ritenere che questo nuovo codice malevolo possa trovare terreno fertile per
espandere la sua opera.
Il worm giunge con una e-mail da un mittente casuale che contiene nell’oggetto
la frase “Buon Natale!” nella lingua corrispondente al dominio dell’indirizzo al
quale viene trasmesso. Le e-mail contengono in allegato un file con nome
variabile, selezionato da un elenco esteso.
Aprendo l’allegato, che contiene il codice infetto, il worm visualizza un falso
messaggio di errore e contemporaneamente, utilizzando un proprio motore SMTP,
inizia ad autoinviarsi a tutti gli indirizzi trovati nei file con determinate
estensioni, contenuti nel pc.
Il worm altera diverse chiavi nel registro di Windows, per potersi auto eseguire
ad ogni riavvio del sistema operativo.
Il worm è in grado di diffondersi anche attraverso le applicazioni P2P,
copiandosi in tutte le cartelle dell’unità C: nelle cartelle contenenti i testi
share, upload o music. I nomi di questi file sono winamp 5.7 newl.exe o ICQ
2005a newl.exe.
E’ consigliabile aggiornare i propri software antivirus e, comunque, prestare la
massima attenzione nell’aprire allegati di provenienza incerta.
News tratta da Pcself.com
Virus, Mcafee: ecco come funziona il worm di Natale
Roma, 15 dic - Mcafee Avert (Anti-virus and Vulnerability Emergency Response
Team) ha elevato la valutazione di rischio a media per il worm W32/Zafi.d@MM.
Zafi.d è un worm mass-mailing che costruisce i messaggi utilizzando il proprio
motore Smtp e camuffando l'indirizzo del mittente.
Questo virus tenta anche di diffondersi tramite reti P2p, duplicandosi nelle
cartelle presenti sul sistema locale. I ricercatori Mcafee Avert, che hanno
identificato il worm questa mattina presto in Europa, hanno ricevuto numerose
segnalazioni provenienti da Germania, Italia e Spagna, dove Zafi.d è stato
rilevato o ha infettato sia utenti consumer che aziendali.
Zafi.d è un worm mass mailing che, una volta eseguito, si duplica due volte
nella cartella windir system32.
Il worm crea una chiave di registro, in modo che i file infetti siano eseguiti
ogni volta che un computer infetto viene acceso.
Inoltre, Zafi.d è in grado di ricercare le directory di software antivirus e
personal firewall, per poi sovrascrivere gli eseguibili con una copia di se
stesso. Gli utenti devono immediatamente cancellare i messaggi e-mail che
contengono quanto segue: From: (L'indirizzo è falsificato).
Il worm va alla ricerca di indirizzi e-mail sul disco rigido locale,
raccogliendo gli indirizzi dai file che hanno le seguenti estensioni: htm, wab,
txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr, fpt, inb.
Gli indirizzi raccolti sono memorizzati in cinque file nella cartella system32
utilizzando nomi casuali e l'estensione .Dll. Subject: Re: (oggetto originale).
Il messaggio può contenere diversi oggetti e testi.
Corpo del testo: Il corpo dell'e-mail inviato dal worm è un semplice messaggio
di auguri di Buon Natale. Come le varianti precedenti, il worm si invia in
diverse lingue in base al Top Level Domain (Tld) dell'indirizzo del
destinatario.
Per esempio, un utente con un indirizzo e-mail .com ricevera' il testo in
inglese, mentre coloro che hanno un indirizzo e-mail .it lo riceveranno in
italiano. Una volta eseguito, Zafi.d si copia due volte nella cartella
%windir%system32 utilizzando un nome casuale e l'estensione .Dll. Il worm si
duplica nelle directory presenti sul drive C: che contengono una delle stringhe,
share, upload o music, e utilizza uno dei seguenti nomi di file: winamp 5.7
new!.exe, ICQ 2005a new!.exe.
Per maggiori informazioni: http://vil.mcafeesecurity ...
/vil/content/v_130371.htm
News tratta da Mytech.it