Bico Bico
28-01-2004, 22:01
Da poche ore i laboratori Kaspersky hanno già individuato una prima variante del virus MyDoom/Novarg, ribattezzata W32.Mydoom.B@mm. I principali produttori di anti-virus sono già corsi ai ripari rilasciando tempestivamente un nuovo aggiornamento (McAfee a distanza di un solo giorno ha rilasciato oggi le definizioni virus 4230).
Le caratteristiche di questa nuova variante sono piuttosto allarmanti; anche MyDoom.B è in grado di eseguire un attacco DDoS, ma questa volta tra i siti nel mirino figura anche www.microsoft.com oltre a www.sco.com (come per la variante A). Il payload che scatenerà l'attacco dovrebbe attivarsi il 1 febbraio.
Inoltre una volta in azione, MyDoom.B sovrascrive il file local hosts per impedire l'accesso a importanti siti, molti dei quali dedicati alla sicurezza in rete, limitando così le possibilità di difesa dell'utente infetto. I siti che vengono bloccati sono questi:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com
Inutile ricordare che anche MyDoom.B è in grado di propagarsi via mail e via peer to peer (Kazaa in particolar modo).
Inoltre contiene una backdoor, in grado di connettersi sulle porte TCP 1080, 3128, 80, 8080, 10080.
Visualizza anche un finto messaggio di errore come questo, una volta che viene eseguito:
http://vil.nai.com/images/100988-a.gif
Alcuni link utili:
Descrizione del virus by Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.b@mm.html
Descrizione del virus by McAfee: http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100988
Articolo su eWeek.com: http://www.eweek.com/article2/0,4149,1472436,00.asp
Aggiornate subito i vostri anti-virus, e state in guardia ;)
Le caratteristiche di questa nuova variante sono piuttosto allarmanti; anche MyDoom.B è in grado di eseguire un attacco DDoS, ma questa volta tra i siti nel mirino figura anche www.microsoft.com oltre a www.sco.com (come per la variante A). Il payload che scatenerà l'attacco dovrebbe attivarsi il 1 febbraio.
Inoltre una volta in azione, MyDoom.B sovrascrive il file local hosts per impedire l'accesso a importanti siti, molti dei quali dedicati alla sicurezza in rete, limitando così le possibilità di difesa dell'utente infetto. I siti che vengono bloccati sono questi:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com
Inutile ricordare che anche MyDoom.B è in grado di propagarsi via mail e via peer to peer (Kazaa in particolar modo).
Inoltre contiene una backdoor, in grado di connettersi sulle porte TCP 1080, 3128, 80, 8080, 10080.
Visualizza anche un finto messaggio di errore come questo, una volta che viene eseguito:
http://vil.nai.com/images/100988-a.gif
Alcuni link utili:
Descrizione del virus by Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.b@mm.html
Descrizione del virus by McAfee: http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100988
Articolo su eWeek.com: http://www.eweek.com/article2/0,4149,1472436,00.asp
Aggiornate subito i vostri anti-virus, e state in guardia ;)