Il Natale si fa virus

ale il 16 Dicembre 04 @ 09:36 am

Virus, Buon Natale da Zafi.D
Non è Santa Claus ma una variante di un worm già noto, che infetta le macchine Windows se viene incautamente aperto un allegato con gli auguri. Prudenza e antivirus lo rendono facilmente inoffensivo.

Zafi, un worm comparso per la prima volta ad aprile 2004, si è rivelato nel tempo un onesto professionista del crimine (informatico): spesso nelle top ten dei malware più minacciosi, ma mai salito agli onori della cronaca.

Dopo la variante C, che prometteva un distributed denial of service verso Google, spetta al neonato Zafi.D proporsi come worm di Natale 2004, fermo restando che il suo eco difficilmente andrà oltre il prossimo capodanno.
Zafi.D (che Symantec chiama Erkez.D)si spaccia per cartolina di Natale e arriva come di consueto tramite posta elettronica; si tratta di un worm di tipo mass-mailer convenzionale, nato secondo Sophos in Ungheria. Il messaggio ha oggetto variabile (tra i tanti, ''FW: Merry Christmas'', ''Happy HollyDays!'' e ''Feliz Navidad!'').

Una volta aperto l'allegato, sul sistema vengono installate alcune chiavi di registro per rendere il worm residente in memoria; un motore Smtp necessario alla replicazione del worm (che viene inviato ai contatti presenti sul sistema infetto), e una backdoor che agisce sulla porta 8181/Tcp. Mediante quest'ultima, è possibile trasferire ed eseguire file sulle macchine infette, anche se la presenza di un firewall software in grado di analizzare il traffico in uscita dovrebbe rendere evidente la cosa.

I vendor sono concordi nel definire Zafi.D un malware di media pericolosità: i file di definizione di molti antivirus contengono già i rimedi per questo indesiderato Babbo Natale.

News tratta da Mytech.it

ale il 16 Dicembre 04 @ 09:40 am

E-mail ‘Buon Natale’: attenzione è un virus
Ha tutto l’aspetto di un inoffensivo messaggio di auguri natalizio, ma in realtà racchiude un nuovo worm: Zafi.D. La segnalazione arriva da PandaLabs, azienda specializzata nelle soluzioni software antivirus e content security, che ne ha rilevato la presenza.
Il worm si diffonde attraverso la posta elettronica e le applicazioni P2P e l’aumento del quantitativo di e-mail scambiate per gli auguri di Natale, fa ritenere che questo nuovo codice malevolo possa trovare terreno fertile per espandere la sua opera.

Il worm giunge con una e-mail da un mittente casuale che contiene nell’oggetto la frase “Buon Natale!” nella lingua corrispondente al dominio dell’indirizzo al quale viene trasmesso. Le e-mail contengono in allegato un file con nome variabile, selezionato da un elenco esteso.

Aprendo l’allegato, che contiene il codice infetto, il worm visualizza un falso messaggio di errore e contemporaneamente, utilizzando un proprio motore SMTP, inizia ad autoinviarsi a tutti gli indirizzi trovati nei file con determinate estensioni, contenuti nel pc.

Il worm altera diverse chiavi nel registro di Windows, per potersi auto eseguire ad ogni riavvio del sistema operativo.

Il worm è in grado di diffondersi anche attraverso le applicazioni P2P, copiandosi in tutte le cartelle dell’unità C: nelle cartelle contenenti i testi share, upload o music. I nomi di questi file sono winamp 5.7 newl.exe o ICQ 2005a newl.exe.

E’ consigliabile aggiornare i propri software antivirus e, comunque, prestare la massima attenzione nell’aprire allegati di provenienza incerta.

News tratta da Pcself.com

ale il 16 Dicembre 04 @ 09:44 am

Virus, Mcafee: ecco come funziona il worm di Natale
Roma, 15 dic - Mcafee Avert (Anti-virus and Vulnerability Emergency Response Team) ha elevato la valutazione di rischio a media per il worm W32/Zafi.d@MM. Zafi.d è un worm mass-mailing che costruisce i messaggi utilizzando il proprio motore Smtp e camuffando l'indirizzo del mittente.

Questo virus tenta anche di diffondersi tramite reti P2p, duplicandosi nelle cartelle presenti sul sistema locale. I ricercatori Mcafee Avert, che hanno identificato il worm questa mattina presto in Europa, hanno ricevuto numerose segnalazioni provenienti da Germania, Italia e Spagna, dove Zafi.d è stato rilevato o ha infettato sia utenti consumer che aziendali.

Zafi.d è un worm mass mailing che, una volta eseguito, si duplica due volte nella cartella windir system32.
Il worm crea una chiave di registro, in modo che i file infetti siano eseguiti ogni volta che un computer infetto viene acceso.
Inoltre, Zafi.d è in grado di ricercare le directory di software antivirus e personal firewall, per poi sovrascrivere gli eseguibili con una copia di se stesso. Gli utenti devono immediatamente cancellare i messaggi e-mail che contengono quanto segue: From: (L'indirizzo è falsificato).
Il worm va alla ricerca di indirizzi e-mail sul disco rigido locale, raccogliendo gli indirizzi dai file che hanno le seguenti estensioni: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr, fpt, inb.

Gli indirizzi raccolti sono memorizzati in cinque file nella cartella system32 utilizzando nomi casuali e l'estensione .Dll. Subject: Re: (oggetto originale). Il messaggio può contenere diversi oggetti e testi.
Corpo del testo: Il corpo dell'e-mail inviato dal worm è un semplice messaggio di auguri di Buon Natale. Come le varianti precedenti, il worm si invia in diverse lingue in base al Top Level Domain (Tld) dell'indirizzo del destinatario.

Per esempio, un utente con un indirizzo e-mail .com ricevera' il testo in inglese, mentre coloro che hanno un indirizzo e-mail .it lo riceveranno in italiano. Una volta eseguito, Zafi.d si copia due volte nella cartella %windir%system32 utilizzando un nome casuale e l'estensione .Dll. Il worm si duplica nelle directory presenti sul drive C: che contengono una delle stringhe, share, upload o music, e utilizza uno dei seguenti nomi di file: winamp 5.7 new!.exe, ICQ 2005a new!.exe.
Per maggiori informazioni: http://vil.mcafeesecurity ... /vil/content/v_130371.htm

News tratta da Mytech.it