Questa settimana parleremo di quattro varianti di Netsky ?W, X, Y e Z-, duedi Mydoom ?I e J-, I worm Zafi.A e Blaster.H ed un messaggio spamprogettato per scaricare un trojan sul computer.
Le quattro nuove varianti Netsky sono molto simili tra di loro. Sono tutte create in modo da diffondersi sotto forma di file allegati in messaggi di posta elettronica, scritti in inglese e con caratteristiche variabili.
Tra le azioni portate a termine da Netsky.W , è possibile trovare la cancellazione del registro delle entrate Windows, generate come conseguenza dell'attacco di alcune varianti dei worm Mydoom, Mimail e Bagle. Le varianti X, Y e Z tentano di lanciare attacchi Denial of Service contro alcune pagine web.
La variante I del worm Mydoom si diffonde attraverso la posta elettronica con un messaggio scritto in inglese con caratteristiche variabili. Questo virus lancia anche un attacco Destributed Denial Service (DDoS) contro le pagine web.
Per diffondersi Mydoom.J utilizza non solo la posta elettronica ma anche i programmi P2P KaZaA. Come si può notare questo warm usa una Dynamic Link Library (DDL) che è già stata impiegata dal Bugbear.B, worm scoperto da Panda Antivirus come Trj/PSW.Bugbear.B.
Una caratteristica comune delle due varianti I e Y di Mydoom sono facilmente riconoscibili nei computer colpiti perché, quando si eseguono, aprono una finestra di Windows che mostra un testo senza significato.
Zafi.A è un worm che si diffonde attraverso la posta elettronica in un messaggio scritto in ungherese che ha sempre come oggetto kepeslap erkezett!. Questo codice maligno fa terminare tutti i processi relativi agli antivirus e firewall, rendendo il computer vulnerabile di fronte agli altri tipi di attacchi.
Zafi.A si fermerà il 1 maggio 2004, e da questa data in poi sul display della finestra Windows apparirà un messaggio politico.
Come il suo predecessore, Blaster.H attacca Windows attraverso una vulnerabilità conosciuta come "Butter Overrun In RPC Interface", scoperta lo scorso luglio. Questo virus può colpire quei computer ai quali non sono state applicate correttamente le patch, scaricate da Internet.
Quando Blaster.H colpisce il computer, crea una backdoor in una delle porte di comunicazione del pc, attraverso il quale potrà effettuare un gran numero di azioni.
In fine, questa settimana è stato scoperto uno spam message che ha come soggetto una pagina pubblicitaria che scarica un trojan nel computer.
Le caratteristiche del messaggio sono:
Mittente: il nome è variabile, anche se quasi sempre sembra essere inoltrata dalle agenzie stampa BBC o CNN.
Soggetto/Titolo: "Osama Bin Laden Captured"
Testo del messaggio: "Hey, just got this from CNN, Osama Bin Laden has been captured! Go to the link below to view the pics and dowload the video if you so Wish: ( Internet address) "Murderous coward he is". God bless America!
Nel caso in cui l'utente visiti il l'indirizzo Internet indicato nel messaggio, apparirà una pagina pubblicitaria contenente un codice che approfitta di una vulnerabilità (scoperta da Panda antivirus come Exploit/MIE.CHM). Questo codice scarica da Internet e esegue un file (scoperto come VBS/Psyme.C), che a sua volta scarica scarica un documento chiamato EXPLOIT.EXE, che contiene un trojan (Trj/Small.B).
Ringraziamo Panda per l'informativa settimanale sulle minacce informatiche.