MyDoom/Novarg: già la prima variante

Bico Bico · 28-01-2004, 22:01

Da poche ore i laboratori Kaspersky hanno già individuato una prima variante del virus MyDoom/Novarg, ribattezzata W32.Mydoom.B@mm. I principali produttori di anti-virus sono già corsi ai ripari rilasciando tempestivamente un nuovo aggiornamento (McAfee a distanza di un solo giorno ha rilasciato oggi le definizioni virus 4230).

Le caratteristiche di questa nuova variante sono piuttosto allarmanti; anche MyDoom.B è in grado di eseguire un attacco DDoS, ma questa volta tra i siti nel mirino figura anche www.microsoft.com oltre a www.sco.com (come per la variante A). Il payload che scatenerà l'attacco dovrebbe attivarsi il 1 febbraio.

Inoltre una volta in azione, MyDoom.B sovrascrive il file local hosts per impedire l'accesso a importanti siti, molti dei quali dedicati alla sicurezza in rete, limitando così le possibilità di difesa dell'utente infetto. I siti che vengono bloccati sono questi:

Quote:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com

Inutile ricordare che anche MyDoom.B è in grado di propagarsi via mail e via peer to peer (Kazaa in particolar modo).

Inoltre contiene una backdoor, in grado di connettersi sulle porte TCP 1080, 3128, 80, 8080, 10080.

Visualizza anche un finto messaggio di errore come questo, una volta che viene eseguito:

Alcuni link utili:

Descrizione del virus by Symantec: http://securityresponse.symantec.com...doom.b@mm.html

Descrizione del virus by McAfee: http://us.mcafee.com/virusInfo/defau...virus_k=100988

Articolo su eWeek.com: http://www.eweek.com/article2/0,4149,1472436,00.asp

Aggiornate subito i vostri anti-virus, e state in guardia

MrOZ · 29-01-2004, 02:28

Ottima segnalazione!!!

Meno male ke esiste qualcun altro ke cerca di battere sul tempo quel pusillanime di eraser.

Ora ke è entrato a far parte dell'alta società si siederà di certo sugli allori

29-01-2004, 02:28	#2
MrOZ Senior Member Iscritto dal: Jun 2003 Città: "Mantua me genuit" Trattative concluse: 1 fracco!!! Devianze: MacTard iMac 27" i5 2,8Ghz 4GB IPHONE 5 32GB Black Iscritto dal: Nov 2002 Messaggi: 4426	Ottima segnalazione!!! Meno male ke esiste qualcun altro ke cerca di battere sul tempo quel pusillanime di eraser. Ora ke è entrato a far parte dell'alta società si siederà di certo sugli allori

Strumenti
Mostra una versione stampabile Invia questa pagina per email