ALLARME ROSSO: W32/Mydoom.A

ALLARME ROSSO: W32/Mydoom.A

Il nuovo worm Mydoom.A causa numerosi e gravi danni alle reti aziendali in poche ore

di pubblicata il , alle 17:32 nel canale Sicurezza
 

In poche ore Mydoorm.A ha casudato numerosi danni a migliaia di utenti. La velocità di propagazione fa probabilmente di questo worm uno dei maggior protagonisti di una probaile epidemia pari a quella provocata da Bugbear e Blaster.

Obiettivo di Mydoorm è quello di far collassare il parco informatico, causando ingenti danni ad ogni livello.

Mydoom.A arriva con un messaggio di posta elettronica con un file in allegato. Quando il documento viene aperto il computer risulta infettato ed invia il messaggio a tutti gli indirizzi dell'agenda.

In una fase successiva apre la porta TCP 3127 del pc permettendo il potenziale controllo dall'esterno. Il worm cerca gli indirizzi di posta elettronica nei file che hanno le seguenti estensioni: HTM, SHT, PHP, ASP, DBX, TBB, ADB, PL, WAB, TXT. Si invia per posta elettronica utilizzando il suo motore SMTP.

Sembra che questo worm sia studiato per lanciare un attacco DoS al sito www.sco.com per il prossimo 1° febbraio.
Il contenuto del messaggio è variabile e può essere composto dalle seguenti frasi:

Oggetto:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Corpo: Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Nome del file in allegato:
document
readme
doc
text
file
data
test
message
body

Estensione del file allegato:
.pif
.scr
.exe
.cmd
.bat
.zip

Una volta colpito il pc, se l'utente usa la rete P2P KaZaa, copia un file nella directory condivisa che permette una distribuzione attraverso questo sistema. Questi file possono avere uno dei seguenti nomi:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

e l'estensione .PIF, .SCR o .BAT.

Vi segnaliamo a questo indirizzo un provvidenziale tool di rimozione. Anche questa infezione, con le consuete cautele (sistema operativo e antivirus aggiornato, oltre ad un pizzico di attenzione), può essere superata senza gravi danni.

45 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Dix 327 Gennaio 2004, 17:47 #1
che palle...
qui si può dire..
hanno rotto con questi worm e virus ultima,mente ce sta un'innalzamento vertigino...
Non mi piace non mi piace...
Orsettob27 Gennaio 2004, 17:54 #2
Un consiglio pratico: chi ha la un provider che mette a disposizione una webmail la usi il più possibile! Ma non per leggere la posta ma per cominciare a eliminare tutte le mail di cui non si conosce la provenienza.
PaolinoB27 Gennaio 2004, 18:04 #3
il vero problema è che non tutti hanno i client di posta (leggasi x il 70% outlook express) aggiornati, in aggiunta alla curiosità degli "utonti" di aprire tutto quello che arriva in posta.. secondo me il problema è qui
blubrando27 Gennaio 2004, 18:06 #4
mi è arrivato due volte in due giorni con l'estensione .cmd.

l'ho scaricato per il gusto di vedere se partiva l'antivirus e appena gliel'ho dato in pasto l'ha sgamato!
altro che norton non c'è che dire! avast è più leggero e protettivo e il tool di rimozione qui messo dimostra che non è cosi sconosciuto come può sembrare. fra l'altro è pure gratuito
Muppolo27 Gennaio 2004, 18:15 #5
Se non si trova una soluzione subito (Zio Bill dice entro il 2006), Internet di questo passo diventerà un enorme veicolo di propagazione della spazzatura.

Intanto - visto che per ora non si può far molto - i Paesi potrebbero cominciare ad inasprire di molto le pene ... anni di prigione a manetta a chi viene beccato con certezza a fare spam, che spesso è veicolo dei virus ad oggetto.
Team1727 Gennaio 2004, 18:15 #6

Peple informate.. si?

mi fate capire 1 volta x tutte se aprendo SOLO la pagina riassuntiva dal server del Provider di posta si viene infettati COMUNQUE?!
O lo si prende solo aprendo/scaricando l'allegato..
come stanno le cose?

E se usi Outlook è PEGGIO? Una volta che visualizzi le nuove e-mail arrivate le ha GIA' scaricate nel tuo Hardisk vero? quindi con Outlook sei PANATO al 100%(antivirus a parte..)

Mi chiarite sto punto(chi è preparato in materia)

Ciao e graxie.
stefanotv27 Gennaio 2004, 18:19 #7
se è studiato per lanciare un attacco DoS al sito www.sco.com,
è proprio una bella maniera per sostenere una causa,
complimenti.........
piffe27 Gennaio 2004, 18:21 #8

Commissione

Ennesimo Worm commissionato da qualche software house che produce antivirus?

Ciauz!
ilsensine27 Gennaio 2004, 18:25 #9
Originariamente inviato da stefanotv
se è studiato per lanciare un attacco DoS al sito www.sco.com,
è proprio una bella maniera per sostenere una causa,
complimenti.........

Esattamente.

Infatti sulla linux kernel mailing list la notizia è stata commentata in questa maniera:
As much as SCO disturbs me, these kinds of underhanded attacks against
them disgust me. They stoop to SCO's level, or worse. SCO can and will
be dealt with properly through the use of FACTS.

Besides, DoS attacks against SCO will only be blamed on the Linux
community. So the developer of that virus is either a complete idiot or
is acting to intentionally hurt our image.
cnc7627 Gennaio 2004, 18:31 #10
Ho ricevuto un paio di giorni fa questo file proprio con il messaggio test e il file allegato.

MI chiedeva se perfavore gli potevo provare il file perchè a lui c'era qualcosa che non andava.

Io non ho antivirus perchè IO STESSO, sono il miglior antivirus per me stesso......

Mi sono detto come sia possibile che qualche UTONTO creda a messaggi come questi e si lasci ingannare nell'aprire il file

Si vede lontano un miglio che è un virus....

ma........


Io cmq, continuio ad essere della mia idea......
da quando ho tolto ogni tipo di antivirus presente sul mio PC, il numero di virus (messaggi via email da sconosciuti con allegato un file) è calato del 90%.

Sarà pure un caso......

però io ci penserei su.

bye by CNC
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^