Isolate altre tre varianti del worm MyDoom

Isolate altre tre varianti del worm MyDoom

Le società di sicurezza lanciano l'allarme per tre nuove varianti del worm Mydoom

di pubblicata il , alle 17:28 nel canale Sicurezza
 

Le società produttrici di antivirus hanno lanciato l'allarme per tre nuove varianti del worm Mydoom. Mydoom.U, Mydoom.V e Mydoom.W sono molto simili tra di loro e, una volta infettato il pc, scaricano una backdoor identificata come Surila.I o BackDoor-CEB.c. Le tre varianti del worm hanno un payload limitato: dopo il 20 settembre fermano di diffondersi e si cancellano automaticamente dall'hard disk del computer infetto.

La variante U del worm crea un mutex denominato 'qwedefacedRDE' e si copia all'interno della directory di sistema di Windows con il nome WINSPF32.EXE; la variante V crea un mutex denominato 'WWWdefacedWWW' e un file all'interno della directory di sistema con il nome WINDRV32.EXE; la variante W infine crea un mutex denominato 'DDDDefaceDDDD' e un file all'interno della directory di sistema con lo stesso nome di quello della variante V.

Tutte e tre le varianti aggiungono la voce al registro sotto la chiave

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"WinSPF" = "%WinSysDir%\winspf32.exe"
----- variante U
"WinSPF" = "%WinSysDir%\windrv32.exe" ----- variante V e W

Inoltre la variante U si copia nella directory di esecuzione automatica dell'utente corrente come RX32HH00.EXE , mentre le varianti V e W si copiano con il nome di AUTOSTART.EXE. In una delle varianti del worm è stata trovata la stringa nascosta "We searching 4 work in AV industry".

La replica delle società di sicurezza è stata immediata: Graham Cluley, consulente tecnico di Sophos, ha affermato con forza che nessuna società di antivirus assumerà mai un virus writer, non sarebbe etico e una società che crea software di protezione non sarebbe credibile se assumesse un creatore di virus.

Alexey Podrezov, virus researcher per F-Secure, ha fatto sapere che quello di chi ha scritto quella frase rimarrà soltanto un sogno, visto che le società di antivirus non assumeranno mai virus writers.

Il rischio ora è quello di una possibile variante molto più pericolosa del Mydoom. "Stiamo osservando che vengono rilasciate tre o piu varianti di un virus relativamente poco dannose seguite poi da una variante molto pericolosa" ha affermato Sam Curry di Computer Associates.

Il solito consiglio è quello di tenere sempre aggiornato l'antivirus e stare attenti alle e-mail ricevute.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Essedi Shop R213 Settembre 2004, 18:25 #1
nessuna società di antivirus assumerà mai un virus writer, non sarebbe etico e una società che crea software di protezione non sarebbe credibile se assumesse un creatore di virus.
-------------------------------------------------------
Bella battura,veramente sarcastica!!!!!!!!!!
sirus13 Settembre 2004, 19:00 #2
al fatto che le società di antivirus non producano virus ci credo veramente poco, magari i virus che producono sono semplici malware o roba che non provoca danni ma qualcosa lo fanno di sicuro IMHO
Zerk13 Settembre 2004, 20:30 #3
Be se lo assumono mica vengono a dircelo a noi.
dvd10013 Settembre 2004, 21:50 #4
dovrebbero assumerlo si ma per levare la polvere dai case dell'azienda...
blubrando13 Settembre 2004, 22:16 #5
io ho notato una bella cosetta:
metto l'antivirus per la protezione e-mail e tac! mi arrivano i virus che regolarmente becca. non metto la protezione sulla mai e tac! non mi arriva nessun virus. la cosa è sospetta o no?
Ventu13 Settembre 2004, 23:21 #6
ma se non hai l'antivirus è ovvio che non ti arrivano virus, chi ti dovrebbe avvertire della loro presenza?

P.S. ho una casella di posta che non passa dal mio PC e quindi da antivirus, la controllo tramite Webmail eppure è sempre piena di immondizia e di virus....per me il tuo ragionamento non funziona.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^