sampei.nihira
14-08-2006, 18:07
Metto in risalto la parte finale dell'articolo "Windows:un bug ad alto rischio worm"
Leggetelo per intero,mi raccomando !!
Aggiornamento: Domenica 13 Agosto 2006
È stato isolato il primo malware che sfrutta la vulnerabilità sopra citata. Il sample, che abbiamo intercettato per la prima volta qui questa mattina alle 5.02, è stato bloccato grazie alla tecnologia euristica, quindi proattivamente, dai seguenti antivirus:
Antivir
F-Prot
BitDefender
QuickHeal
Nod32
Norman
Panda
mentre dopo pochissimo tempo sono state aggiunte le firme virali a Kaspersky e F-Secure, la quale ha rilasciato per prima una analisi del malware.
Backdoor.Win32.IRCBot.st, questo il nome della backdoor che per prima ha utilizzato l'exploit per la vulnerabilità MS-06040. La backdoor, dopo essersi copiata all'interdno della directory di sistema di Windows, crea un servizio grazie al quale eseguirsi all'avvio del sistema. Subito dopo modifica le impostazioni del firewall di Windows per avere accesso ad Internet e si connette a due server IRC, dai quali poi resta in attesa di comandi. Per una dettagliata analisi è possibile leggere qui.
Si prospetta uno scenario leggermente differente dunque nella situazione attuale. Le vie possibili da seguire erano due: un unico worm, in stile MSBlast o Sasser, che si sarebbe diffuso a macchia d'olio ma sarebbe stato bloccato quasi immediatamente oppure delle backdoor che, silenziosamente, infettassero i pc per creare una immensa rete di computer zombie pronti al comando di qualche attacker, con obiettivi quali spam oppure attacchi DDoS su larga scala. Sembra dunque che la prima mossa sia stata fatta seguendo la seconda via, effettivamente più logica.
E' possibile leggere che ancora una volta sia NOD32 che ANTIVIR si sono comportati il modo eccellente.
Insieme agli altri sette cavalieri dell'apocalisse :D :D :D
Kaspersky ha aggiornato le firme in pochissimo tempo e quindi data l'ora ed il giorno festivo è possibile prevedere che i pc equipaggiati con tale antivirus sono stati completamente al sicuro.
Però amici forumini colgo qui l'occasione per ricordare la necessità improrogabile di fare gli aggiornamenti per la sicurezza rilasciati dalla Microsoft.
Chi non li fà (per pigrizia o magari perchè non ha una versione del S.O. originale :muro: :muro: ) rischia molto.....specie chi usa come browser I.E. !!!
Leggetelo per intero,mi raccomando !!
Aggiornamento: Domenica 13 Agosto 2006
È stato isolato il primo malware che sfrutta la vulnerabilità sopra citata. Il sample, che abbiamo intercettato per la prima volta qui questa mattina alle 5.02, è stato bloccato grazie alla tecnologia euristica, quindi proattivamente, dai seguenti antivirus:
Antivir
F-Prot
BitDefender
QuickHeal
Nod32
Norman
Panda
mentre dopo pochissimo tempo sono state aggiunte le firme virali a Kaspersky e F-Secure, la quale ha rilasciato per prima una analisi del malware.
Backdoor.Win32.IRCBot.st, questo il nome della backdoor che per prima ha utilizzato l'exploit per la vulnerabilità MS-06040. La backdoor, dopo essersi copiata all'interdno della directory di sistema di Windows, crea un servizio grazie al quale eseguirsi all'avvio del sistema. Subito dopo modifica le impostazioni del firewall di Windows per avere accesso ad Internet e si connette a due server IRC, dai quali poi resta in attesa di comandi. Per una dettagliata analisi è possibile leggere qui.
Si prospetta uno scenario leggermente differente dunque nella situazione attuale. Le vie possibili da seguire erano due: un unico worm, in stile MSBlast o Sasser, che si sarebbe diffuso a macchia d'olio ma sarebbe stato bloccato quasi immediatamente oppure delle backdoor che, silenziosamente, infettassero i pc per creare una immensa rete di computer zombie pronti al comando di qualche attacker, con obiettivi quali spam oppure attacchi DDoS su larga scala. Sembra dunque che la prima mossa sia stata fatta seguendo la seconda via, effettivamente più logica.
E' possibile leggere che ancora una volta sia NOD32 che ANTIVIR si sono comportati il modo eccellente.
Insieme agli altri sette cavalieri dell'apocalisse :D :D :D
Kaspersky ha aggiornato le firme in pochissimo tempo e quindi data l'ora ed il giorno festivo è possibile prevedere che i pc equipaggiati con tale antivirus sono stati completamente al sicuro.
Però amici forumini colgo qui l'occasione per ricordare la necessità improrogabile di fare gli aggiornamenti per la sicurezza rilasciati dalla Microsoft.
Chi non li fà (per pigrizia o magari perchè non ha una versione del S.O. originale :muro: :muro: ) rischia molto.....specie chi usa come browser I.E. !!!