In questo rapporto settimanale sulle minacce informatiche prenderemo in considerazione sei worm -Mydoom.A y Mydoom.B, le varianti Q e S di Mimail, Gaobot.DK e Dumaru.Z- e il trojan Govnodav.A . Tra queste minacce in particolare Mydoom.A, ha avuto un ruolo da protagonista per aver generato la scorsa settimana una delle maggiori epidemie della storia dell'informatica.
Mydoom.A e Mydoom B si diffondono per posta elettronica con un messaggio che ha caratteristiche variabili e attraverso il programma di file condiviso (P2P) KaZaA. Qui di seguito alcune azioni che i virus portano a termine nel pc colpito:
- Introducono un'agenda link dinamica che a sua volta crea una backdoor che apre la prima porta TCP disponibile dal 3127 al 3198.
- Realizzano attacchi di Distributed Denial of Service (DDoS) contro la pagina web www.sco.com, inviando richieste GET/http/1.1
- Aprono il Block Notes di Windows (NOTEPAD.EXE) e mostrano del testo spazzatura
I due virus hanno però alcune differenze, per esempio: - Al fine di assicurarsi che due copie di Mydoom.A non vengano eseguite allo stesso tempo, il worm genera un mutex (Mutual Exclusion Object) chiamato SwbSipcSmtxSO
- Mydoom.B sovrascrive il file HOSTS di Windows, che permette di ri-direzionare alcuni indirizzi Internet, incluso quelli di alcune compagnie produttrici di antivirus tanto da impedire che molti antivirus possano essere scaricati con gli aggiornamenti corrispondenti.
- Mydoom.B è disegnato per causare attacchi di Denial of Service contro i server di Microsoft.
Anche le varianti S e Q di Mimail si diffondono per posta elettronica con messaggio con peculiarità variabili. La caratteristica fondamentale di questi worm è che mostrano un falso formulario proveniente da Microsoft attraverso il quale l'utente è indotto a fornire informazioni confidenziali (numero della carta di credito, PIN etc.). I dati che raccolgono vengono inviati ad un indirizzo di posta.
Gaobot.DK è invece un worm che danneggia computer con i sistemi operativi Windows 2003/XP/2000/NT. Per diffondersi alla maggior numero possibile di pc sfrutta le vulnerabilità RPC Locator, RPC DCOM e WebDAV. A sua volta si diffonde realizzando copie di sé in risorse condivise della rete alle quali riesce ad accedere.
Una volta eseguito, Gaobot.DK si connette ad un server IRC determinato e attende ordini di controllo. In sostanza, finalizza processi appartenenti a programmi antivirus, firewall e tool di monitoraggio del sistema, rendendo così il pc vulnerabile agli attacchi di altri virus o worm. Allo stesso modo, termina i processi corrispondenti a Nachi.A, Autorooter.A, Sobig.F e diverse varianti di Blaster. Inoltre, Gaobot.DK permette di ottenere informazioni sul computer, eseguire i file, realizzare attacchi di Distributed Denial of Service, ricevere file da FTP, etc.
Dumaru.Z è l'ultimo worm di oggi. Si diffonde per posta elettronica con un messaggio che ha come oggetto "Important information for you. Read it immediately !", e include un file chiamato "MYPHOTO.ZIP". e si invia a tutti gli indirizzi che trova in una e-mail che include il codice Explot/frame, che gli permette di attivarsi se il messaggio è visualizzato attraverso il Preview Pane di Outlook. Nel pc che colpisce, la variante Z di Dumaru ruba informazioni sugli account e-gold e apre le porte 2283 e 10000. Inoltre, scarica il worm Spybot.FC, che cerca di connettersi al server IRC del dominio egold-hosting.com e disattiva vari tool amministrativi come, per esempio,il Task manager e il Windows Register editor.
Infine, nel panorama dei virus della settimana compare Govnodav.A, un trojan con caratteristiche di Keylogger. Anche se non si propaga autoinviandosi, è stato mandato per posta elettronica in forma massiva. Si trova in certe catene di testo realizzate dall'utente che salva in un file che invia per posta al creatore del virus.