Isolate 4 varianti del worm Mytob
Panda Labs ha isolato quattro nuove varianti del worm Mytob
di Marco Giuliani pubblicata il 06 Aprile 2005, alle 15:41 nel canale SicurezzaTutte hanno caratteristiche di backdoor, lasciano una porta aperta nel sistema attraverso la quale possono ricevere ordini. Questo processo non avviene direttamente, ma mediante due server chiamati 19.xxor.biz (nel caso delle varianti S, U e W) e irc.blackcarder.net, quello impiegato per Mytob.V. In questo modo, gli autori di questi codici maligni possono controllare qualsiasi macchina infettata da uno di questi worm.
Uno dei principali pericoli di queste varianti consiste nella capacità di modificare il file “hosts” del sistema. In questa maniera, evitano che gli utenti possano connettersi alle pagine web di alcuni produttori di antivirus, impedendo così il download degli aggiornamenti necessari per eliminare questi worm.
Per la loro diffusione usano tre metodi diversi:
- Sfruttano la vulnerabilità conosciuta LSASS,pubblicata e corretta da Microsoft nel suo bollettino di sicurezza MS04-011,
disponibile su
http://www.microsoft.com/technet/secuirty/bulletin/ms04-011.mspx
- Attraverso risorse condivise che sono protette da password facilmente indovinabili, ciò che viene comunemente definita come “password debole”
- Per posta elettronica. Attraverso le e-mail inviano messaggi allegando file con estensione .bat, .exe, .pif, .scr o .zip nei quali si trova il codice di Mytob. Questi file possono essere nominati come Data, Doc, Document, File, Readme, Text o Body.
Gli indirizzi di posta elettronica ai quali si inviano vengono presi da file con estensione .abd, .asp, . dbx, .htm, .php, .pl, .sht e .tbb che si trovano archiviati nel sistema. Inoltre, falsificano l’indirizzo del mittente per evitare che i computer infettati possano essere localizzati rapidamente.
Le nuove varianti di Mytob evitano di inviarsi a determinati indirizzi di posta elettronica, tra i quali sono compresi quelli di alcuni produttori di antivirus, così da posticipare la sua scoperta.
Per evitare di eseguirsi più di una volta nel sistema, creano diversi “mutex”, il cui nome cambia a seconda della variante di Mytob. Così la versione S crea il mutex ggmutexk2 e la U, ggmutexk1. La verisone V invece lo chiama H-E-L-L-B-O-T-2-BY-DIABLO, molto simile alla W, denominato H-E-L-L-B-O-T.
Ultimamente l’autore o gli autori di questi worm cercano di mettere in circolazione un gran numero di codici maligni per aumentare la possibilità di infettare i PC. In questo caso, visto che si tratta di worm che consentono il controllo remoto delle macchine, l’obiettivo sembra essere la creazione di una rete di computer che possano essere controllati contemporaneamente. In questo modo si possono portare a termine un gran numero di azioni dannose: dall’installazione di altri malware, come keylogger o spyware, fino alla creazione di “zombi” destinati all’invio di messaggi spam.
22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoChe ci guadagneranno poi.........
mah
L'assunzione nelle S.House che producono antivirus
Anzi...cè poco da ridere va.
norton=antivirus
norton=produce virus
ciclo finanziario perfetto.
Io resto della mia idea che i produttori di antivirus non siano tutti limpidi e trasparenti come vorrebbero che noi pensassimo.
A pensar male si fa peccato, ma ci si azzecca
(G. Andreotti)
Se fossi una persona isolata dal resto del mondo e chiusa nel mio mondo fatto solo di codice e macchine...
Se un bel giorno mi comparisse alla porta Neo e mi promettesse istruzione aggratis per igliorarmi come non mai e mi promettesse soldoni sonanti...
Ecco, allora mi metterei a scrivere virus pestilenziali!!! ^_^
Magari le cose vanno proprio così... E non pensiamo solo sempre ai gagni che una bella mattina sfornano peste modificando cosa già esiste in giro...
IMHO
Nonostante Unix-like resti il miglior sistema home in fatto di sicurezza, la sua diffusione in massa sarebbe anche la sua fine ingloriosa...
Apocalips-Sistem...
I Virus Wirter ce l'hanno con Gates perchè è ricco sfondato e monopolista
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".