News: tutti i segreti di Internet

Arriva il nuovo MyDoom

pjfry

26 Luglio 04 @ 21:13 pm

Da SANS, Internet Storm Center :

L'ultima versione di MyDoom, che ha cominciato oggi a diffondersi in modo massiccio, usa anche i motori di ricerca per trovare indirizzi validi a cui auto-spedirsi.
Appena avviato, il virus cerca nei soliti posti (rubrica, documenti, files vari...) indirizzi e-mail ed nomi di dominio. Questi nomi vengono poi inviati a vari motori di ricerca all'interno di query costruite ad hoc per rintracciare quanti più indirizzi e-mail possibile.
Se il virus si diffonde, i motori di ricerca più importanti saranno subissati di richieste con conseguenti rallentamenti.
Si consiglia di aggiornare gli antivirus e di seguire le solite norme di sicurezza nella gestione della posta elettronica.

Fonte (qui in italiano)

News correlate a "Arriva il nuovo MyDoom":

[13/09/04] MyDoom, i virus writer cercano lavoro
[26/02/04] Virus, la nuova versione di MyDoom cancella i file

U2: a mali estremi...

Server Opteron a 4 vie: Sun conferma

Invia a un amico

Stampa Tienimi aggiornato

Altre news: Virus

Un commento a "Arriva il nuovo MyDoom":

ale il 27 Luglio 04 @ 14:05 pm

MCAFEE: ELEVATA A MEDIA VALUTAZIONE RISCHIO PER MYDOOM
McAfee ha elevato la valutazione di rischio a media per il worm W32/Mydoom.o Questa nuova variante è un worm diffuso via email che si presenta sotto forma di file.exe o .zip ed e' compresso usando il programma UPX. Al momento i laboratori McAfee hanno ricevuto oltre cento segnalazioni del virus provenienti sia da utenti infetti che da report di identificazione e neutralizzazione.

Le segnalazioni provengono dall'Europa e dagli Stati Uniti. Come in alcune varianti precedenti, W32/Mydoom.o raccoglie gli indirizzi dai file locali e quindi li utilizza nel campo ''From'' per auto-inviarsi, producendo un messaggio con un indirizzo falsificato. Gli utenti dovrebbero prestare molta attenzione e cancellare subito qualsiasi messaggio che abbia le seguenti caratteristiche di mittente, oggetto, e testo. From: (l'indirizzo può essere falsificato). Nota bene: non e' detto che il mittente sia infetto. Inoltre è possibile ricevere messaggi di avviso da un mail server che notificano che l'infezione è avvenuta, il che nella maggior parte dei casi potrebbe non essere vero. Oggetto: i contenuti possono essere vari, per esempio: hello, hi, error status, test, report, delivery failed, Message could not be delivered, Mail System Error - Returned Mail, Delivery reports about your e-mail, Returned mail: see transcript for details, Returned mail: Data format error. Testo: il virus crea messaggi da vari testi utilizzando una lista di stringhe che sono inserite nel suo motore. Patologia: una volta eseguito, Mydoom.o si duplica come file java.exe nella directory di Windows C:windowsjava.exe e si diffonde nella directory C:windowsservices.exe per agire.

Il worm aggiunge quindi le seguenti chiavi ai registri in modo da attivarsi all'accensione del sistema: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent VersionRun''JavaVM''KEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun''JavaVM'' EY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun''JavaVM''Y_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersionRun''JavaVM''_LOCAL_M.

Per maggiori informazioni andare all'indirizzo web: http://vil.nai.com/vil/content/v_127033.htm

News tratta da Mytech.it