Isolate altre tre varianti del worm MyDoom
Le società di sicurezza lanciano l'allarme per tre nuove varianti del worm Mydoom
di Marco Giuliani pubblicata il 13 Settembre 2004, alle 17:28 nel canale SicurezzaLe società produttrici di antivirus hanno lanciato l'allarme per tre nuove varianti del worm Mydoom. Mydoom.U, Mydoom.V e Mydoom.W sono molto simili tra di loro e, una volta infettato il pc, scaricano una backdoor identificata come Surila.I o BackDoor-CEB.c. Le tre varianti del worm hanno un payload limitato: dopo il 20 settembre fermano di diffondersi e si cancellano automaticamente dall'hard disk del computer infetto.
La variante U del worm crea un mutex denominato 'qwedefacedRDE' e si copia all'interno della directory di sistema di Windows con il nome WINSPF32.EXE; la variante V crea un mutex denominato 'WWWdefacedWWW' e un file all'interno della directory di sistema con il nome WINDRV32.EXE; la variante W infine crea un mutex denominato 'DDDDefaceDDDD' e un file all'interno della directory di sistema con lo stesso nome di quello della variante V.
Tutte e tre le varianti aggiungono la voce al registro sotto la chiave
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"WinSPF" = "%WinSysDir%\winspf32.exe" ----- variante
U
"WinSPF" = "%WinSysDir%\windrv32.exe" ----- variante
V e W
Inoltre la variante U si copia nella directory di esecuzione automatica dell'utente corrente come RX32HH00.EXE , mentre le varianti V e W si copiano con il nome di AUTOSTART.EXE. In una delle varianti del worm è stata trovata la stringa nascosta "We searching 4 work in AV industry".
La replica delle società di sicurezza è stata immediata: Graham Cluley, consulente tecnico di Sophos, ha affermato con forza che nessuna società di antivirus assumerà mai un virus writer, non sarebbe etico e una società che crea software di protezione non sarebbe credibile se assumesse un creatore di virus.
Alexey Podrezov, virus researcher per F-Secure, ha fatto sapere che quello di chi ha scritto quella frase rimarrà soltanto un sogno, visto che le società di antivirus non assumeranno mai virus writers.
Il rischio ora è quello di una possibile variante molto più pericolosa del Mydoom. "Stiamo osservando che vengono rilasciate tre o piu varianti di un virus relativamente poco dannose seguite poi da una variante molto pericolosa" ha affermato Sam Curry di Computer Associates.
Il solito consiglio è quello di tenere sempre aggiornato l'antivirus e stare attenti alle e-mail ricevute.
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info-------------------------------------------------------
Bella battura,veramente sarcastica!!!!!!!!!!
metto l'antivirus per la protezione e-mail e tac! mi arrivano i virus che regolarmente becca. non metto la protezione sulla mai e tac! non mi arriva nessun virus. la cosa è sospetta o no?
P.S. ho una casella di posta che non passa dal mio PC e quindi da antivirus, la controllo tramite Webmail eppure è sempre piena di immondizia e di virus....per me il tuo ragionamento non funziona.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".