Transmenu powered by JoomlArt.com - Mambo Joomla Professional Templates Club

Nuove varianti del worm MyDoom si stanno diffondendo nella rete, di queste una allarma particolarmente le case specializzate in sicurezza per la sua particolare infettività. Si prevede quindi un massiccio ritorno del worm che ha raggiunto l'apice nel giugno del 2004 e che si è piazzato al 7 posto delle epidemie dello scorso anno raggiungendo la percentuale del 2,4 delle infezioni totali con una sola variante.

 La variante ha, come al solito, vari nomi, anzi varie estensioni, a seconda della tipologia di identificazione usata dalla casa; se vi trovate a consultare un bollettino di Symantec troverete il worm con il nome W32.Mydoom.AX@mm, se invece avete preferito F-Secure la nuova variante sarà registrata con il nome di MyDoom.BB, mentre Sophos la chiama W32/MyDoom-O, ma tra i suoi alias si trovano anche WORM_MYDOOM.M, I-Worm.Mydoom.m,W32/Mydoom.bb, Win32.Mydoom.AU e Email-Worm.Win32.Mydoom.am (solo per citarne alcuni). Bisogna inoltre fare attenzione a non confondersi con le altre varianti segnalate da Sophos in questi giorni (.AP, .AQ, .AR e .AS).

A parte la gran confusione sui nomi sono tutti d'accordo sulla pericolosità del worm, non tanto per il suo tipo di attacco (il livello di pericolosità è "medio"), bensì per la sua diffusione massiccia  (stiamo quindi parlando di quantità e non di qualità).

Al pari dell'originale questa versione di MyDoom è un worm mass-mailing, si diffonde quindi tramite posta elettronica; arriva come allegato e fa una copia di se stesso sull'hard disk, installando  il file Java.exe e poi il file Services.exe che tenta l'apertura di una backdoor, mettendo a rischio il sistema di incursioni da remoto.

Il file del virus cerca nell'hard disk i files con le estensioni PL*, PH*, TX*, HT*, ASP, TBB, SHT*, WAB, ADB e DBX (l'asterisco vale come "qualunque carattere"), inoltre cerca in Windows la rubrica degli indirizzi e-mail, in modo da potersi rimandare fingendosi una comunicazione della persona il cui computer è stato infettato.

Inoltre anche questa versione di MyDoom ricerca nel Web tramite i motori per ottenere altri indirizzi di posta elettronica. I motori più usati sono Google (45%), Lychos (22,5%), Yahoo! (20%) e Altavista (12,5%), tutti nelle versioni .com.

Questa nuova versione del worm sembra essere più intelligente e capace di sottrarsi alle scansioni degli antivirus. Tutte le grandi case stanno comunque lavorando al problema, in modo da poter fornire al più presto un programma adeguato per liberarsi di questo fastidioso vermicello.