Transmenu powered by JoomlArt.com - Mambo Joomla Professional Templates Club

PandaLabs, azienda specializzata in sicurezza informatica e antivirus, ha segnalato la comparsa di 4 nuove varianti del worm Mytob, denominate da PandaLabs con le estensioni S, U, V e W.

Le nuove varianti sono comparse quasi contemporaneamente, nel giro di una manciata di ore, e hanno tutte e quattro caratteristiche simili.

Per diffondersi questi worm utilizzano tre tecniche differenti: 

1. il classico mass-mailing, cioè l'invio a un considerevole numero di persone di una mail contenente un file infettante come attachment. Secondo quanto segnala PandaLabs le estensioni a rischio sono . bat, .exe, .pif, .scr e .zip, mentre i nomi dei file solo Data, Doc, Document, File, Readme, Text o Body, gli indirizzi vengono scelti dalla lista con preferenza per le estensioni .abd, .asp, .dbx, .htm, .php, .pl, .sht e .tbb. e i mittenti falsificati per rendere più difficile la localizzazione. inoltre tutti i worm evitano di inviarsi ad alcuni indirizzi e-mail, tra cui quelli delle case antivirus.
2. tramite le risorse condivise e tramite la forzatura delle password, quindi bisogna fare attenzione alle parole che sono deboli o facilmente indovinabili (si consiglia di mettere sempre password abbastanza lunghe che siano un mix di cifre e lettere, senza riferimenti a parole molto comuni o a eventi) 
3. sfruttando una vulnerabilità di Windows tristemente nota, cioè quella relativa alla Local Security Authority Subsystem Service, meglio conosciuta come LSASS. Questa falla è stata sfruttata in passato da parecchi virus, tra i quali il famigerato worm Sasser. Microsoft ha da tempo rilasciato una patch per neutralizzare questa vulnerabilità, è contenuta nel bollettino di sicurezza MS04-011, quindi aggiornate al più presto i computer.

Per evitare di eseguirsi contemporaneamente più volte ogni variante di Mytob crea dei "mutex" cioè dei meccanismi di mutua esclusione (mutex sta per MUTual Exclusion), che impediscono a più processi l'accesso ad una stessa area della memoria nello stesso momento se questi eseguono la stessa parte di codice.

Una delle principali differenziazioni delle quattro versioni è nel nome del mutex, Mytob-S crea "ggmutexk2", la versione U invece "ggmutexk1", la V crea "H-E-L-L-B-O-T-2-BY-DIABLO" e infine la W nomina il suo mutex "H-E-L-L-B-O-T". 

Una volta infettato il computer questi worm cambiano i file di hosts del sistema in modo che l'utente non riesca a connettersi ai siti delle principali case antivirus, dopodichè aprono delle backdoor per permettere il controllo del terminale da remoto.

La connessione con i cracker che impartiscono gli ordini non avviene in modo diretto, ma tramite server, nel caso delle varianti S,U e W si tratta di 19.xxor.biz, mentre si parla di irc.blackcarder.net per la versione V. 

Una delle cose che maggiormente preoccupano è che gli autori dei worm stanno inondando massicciamente la rete con le infezioni con lo scopo di creare vere e proprie reti di computer che vengono controllati in contemporanea.

Le varianti del worm Mytob attaccano i sistemi Windows della Microsoft.

Articoli correlati:

Nuova falla per Mozilla e Firefox
Nuove falle per Explorer e Outlook
I virus di marzo 2005
Ultime dal mondo dei virus.
Internet Explorer a rischio anche quando si usa Firefox
Ancora worm per Msn Messenger
Foto di Saddam Hussein o di Osama Bin Laden? Attenzione, è un virus!
Cinque patch per Microsoft (posson bastare?)
Arriva Korgo
Arrestato il creatore del virus Sasser, ha confessato
Sasser: dall'exploit al worm