La settimana scorsa, i virus sono stati nuovamente protagonisti nelpanorama della sicurezza informatica. Tutto ciò è la conseguenza di unacyber-guerra dichiarata tra diversi autori di virus, che sono arrivatiaddirittura a scambiarsi messaggi offensivi nascosti nel codice del virusstesso.
Negli ultimi giorni sono comparse ben 9 varianti (C, D, E, F, G, H, I, J e K) di Bagle. Sono tutte molto simili al worm originale ma si differenziano in aspetti quali la misura del file che contiene il codice maligno o la data nel quale è stata programmata l'esecuzione. Le nuove varianti di Bagle si diffondono efficacemente attraverso i programmi P2P e la posta elettronica con messaggi con caratteristiche variabili. Creano anche una backdoor nella porta TCP 2745.
Tuttavia, è necessario sottolineare che alcune di queste varianti di Bagle possono arrivare al computer in un file allegato in formato ZIP, protetto da password. Di conseguenza i programmi antivirus non possono analizzare il contenuto per verificare che sia portatore di un virus prima che venga decompresso, ciò può indurre a un falsa percezione di sicurezza. Per evitare questo, Panda Software ha incluso nei suoi antivirus una funzione specifica per la scoperta di questi tipi di file così da poter proteggere in anticipo i suoi clienti.
Un altro grande attore della settimana è il worm Netsky, del quale si sono scoperte le varianti D, E, F, H e F. In particolare Netsky.D è il codice maligno che ha causato il maggior numero di danni in tutto il mondo, tanto che per parecchi giorni ha occupato la prima posizione nella classifica dei virus più frequentemente individuati da Panda ActiveScan. Anche queste varianti sono molto simili tra loro e si differenziano essenzialmente nella data nella quale sono stati programmati per emettere un suono particolare attraverso un altoparlante interno al computer colpito o nella forma nella quale sono stati studiati. Si tratta di codici maligni che si diffondono rapidamente per posta elettronica con un messaggio che ha diverse caratteristiche. Inoltre, lo fanno in modo efficiente mediante l'apertura di fili di esecuzione per auto-inviarsi. Per esempio, Netsky.D è capace di aprire fino a otto processi differenti.
Il terzo contendente della guerra è la famiglia dei worm Mydoom, le cui varianti G e H, molto simili tra loro, sono state rilevate da PandaLabs. Si tratta di un worm che si invia per posta elettronica e che è stato disegnato per realizzare un attacco denial of service contro il website di un'azienda produttrice di antivirus.
Infine, bisogna menzionare Nachi.E, la nuova variante del worm che si diffonde direttamente via Internet e che sfrutta le vulnerabilità conosciute come Buffer Overrun nell'interfaccia RPC, WebDAV e Buffer Overrun nel Workstation Service. Nechi.E è capace inoltre di disinstallare Mydoom.A, Mydoom.B, Doomjuice.A e Doomjuice.B, terminando i loro processi ed eliminando i file associati.
