Silly, il worm che si diffonde attraverso pen drive USB
Un nuovo worm è stato isolato negli ultimi giorni. Si diffonde attraverso dispositivi removibili e, principalmente, USB pen drive. Sophos avverte: potrebbe essere una grossa falla nelle policy di sicurezza delle società
di Marco Giuliani pubblicata il 07 Maggio 2007, alle 10:57 nel canale SicurezzaIl worm, una volta eseguito nel sistema, si diffonde - oltre che attraverso le pen drive USB - attraverso tutti i dispositivi removibili, tra cui anche floppy disk. All'interno del dispositivo removibile il worm crea due file, un Autorun.inf e una copia di sé stesso denominata handydriver.exe. Il file di autorun è utilizzato per l'esecuzione automatica del worm non appena una pen drive usb viene inserita nel sistema.
Vengono inoltre create copie di sé stesso all'interno della directory di Windows e di sistema. Vengono aggiunte due chiavi di registro per l'esecuzione del worm all'avvio del sistema, sotto
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" [System]\userinit.exe,[System]\systeminit.exe
e
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Wininit" [System]\wininit.exe
Il worm, come payload non distruttivo, modifica il titolo della finestra di Internet Explorer con la frase Hacked by 1BYTE.
"Tutti gli utenti di PC dovrebbero stare attenti nell'inserire delle pen drive USB sconosciute all'interno del PC, soprattutto visto che queste stanno diventando sempre più diffuse per via del basso costo. Potrebbe essere una bella vulnerabilità per piccole, medie e grandi società, visto che tutti utilizzano oramai pen drive USB" ha dichiarato Graham Cluley, consulente tecnico per Sophos.
Se non strettamente necessario, è consigliabile disattivare l'autorun automatico in Windows per i dispositivi removibili, in modo tale da evitare l'avvio immediato nel momento in cui si inseriscono dispositibi esterni alla macchina.
La rivoluzione dei dati in tempo reale è in arrivo. Un assaggio a Confluent Current 2025
SAP Sapphire 2025: con Joule l'intelligenza artificiale guida app, dati e decisioni
Dalle radio a transistor ai Micro LED: il viaggio di Hisense da Qingdao al mondo intero
Una domenica bestiale Amazon: LG OLED, super portatile Lenovo, iPhone 16 Pro e Pro Max, robot e altri super sconti
DJI Mini 4 Pro Fly More Combo: drone leggero che non richiede il patentino oggi in offerta super su Amazon
realme GT 7T: display da 6000 nit, potentissimo, 7000 mAh, quasi un top di gamma a metà del prezzo che ti aspetti
Ancora qualche pezzo per il portatile Lenovo con Core i7, 40GB RAM e 1TB SSD: va sempre a ruba
TV OLED LG Serie C4 2024: immagini da cinema e 4K a 144Hz in sconto su Amazon
Smartwatch Amazfit in sconto: Active 2 a 97€, ma ci sono offerte su tutta la gamma
Router e ripetitori AVM FRITZ! da 30€ su Amazon: ecco tutte le offerte da non perdere
Adulting 101: i corsi per imparare come era la vita fino a qualche anno fa
Blue Origin ha lanciato con successo la missione suborbitale NS-32 con New Shepard
L'amministrazione Trump ha ritirato la candidatura di Jared Isaacman come amministratore della NASA
La NASA potrebbe chiudere le missioni OSIRIS-APEX, New Horizons e Juno cancellandone altre per risparmiare soldi
Trump vieta anche la vendita di software per la progettazione di chip alle società cinesi
Le migliori offerte del weekend Amazon: portatili, robot, iPhone, Kindle ai prezzi più bassi di sempre
Dreame L40 Ultra a 699€, prezzo shock: vale quasi quanto l’X40 Ultra da 999€ (ma costa 300€ in meno!)
20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infowinzozz è l'ira didio non si finisce mai di combatterci...fortunatamente queste cose a me non mi toccano più
Io come sai lavoro per una società medio/grande eppure sono administrator...
e Poi "Hacked by 1BYTE" è più bello di "Internet Explorer"
a volte (come nel caso dove lavoro) le policy permettono l'utilizzo di memorie USB, quindi l'allarme e' a mio avviso giustificato.
La soluzione e' mettere tutti gli utenti a livello guest
e Poi "Hacked by 1BYTE" è più bello di "Internet Explorer"
si, se elimini le chiavi eviti il caricamento del virus ad ogni avvio/logon; non eviti pero' che inserendo il pendrive infetto torni ad eseguirsi
Cmq ho come l'impressione che non sia l'unico esempio in circolazione di worm a sfruttare questo metodo di ingresso..
PS: per i "pischelli" il Gerusalem era un virus per MS-DOS che si diffondeva trami FD (unico vero modo di comunicare con altri PC)
qua da me ci sono 130 pc dislocati in una ventina di sedi... e non tutte sono collegate in rete. se non ci fossero le chiavette usb portare i dati da una sede all'altra sarebbe impossibile e chiamare il tennico tutte le volte sarebbe improponibile. pertanto le chiavette si possono usare...
P.S. Interessante l'affermazione che per evitare le infezione basta non far utilizzare un dispositivo, certamente i CED di queste aziende sono all'avanguardia.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".