BadTrans.B sta invadendo la rete
Dalla scorsa notte la rete è stata invasa da un virus denominato BadTrans, si diffonde grazie ad un bug di Outlook Express.
di Fabio Boneschi pubblicata il 26 Novembre 2001, alle 22:26 nel canale Sicurezza
Dalla scorsa notte la rete è stata invasa da un nuovo virus denominato BadTrans; è stato
bloccato per la prima volta il 23 Novembre e sembra essersi diffuso con grande velocità
in Germania, Inghilterra.
Il "punto debole" della catena, anche questa volta è da ricondurre ad Outlook
Express e per la precisione Microsoft aveva documentato il bug in questa
comunicazione.
Come si presenta:
Il virus si presenta con la classica forma del replay, infatti nel soggetto
della mail con cui si diffonde si legge "RE" e null'altro.
Il testo del messaggio è vuoto, mentre in allegato
troviamo la sgradita sorpresa: troviamo infatti un file allegato il cui nome può essere:
stuff.MP3.pif
info.DOC.scr
S3MSONG.DOC.scr
SEARCHURL.MP3.pif
HAMSTER.DOC.pif
Me_nude.MP3.scr
fun.MP3.pif
news_doc.DOC.scr
images.DOC.pif
Humor.MP3.scr
New_Napster_Site.MP3.pif
docs.DOC.pif
README.MP3.scr
Sorry_about_yesterday.MP3.pif
Pics.DOC.scr
SETUP.DOC.scr
YOU_are_FAT!.MP3.scr
Card.DOC.pif
Come al solito, le estensioni utilizzate sono molto comuni (.scr è un formato utilizzato da alcuni screensaver). Ciò che più preoccupa di questo worm è il fatto che non è necessario mandare in esecuzione l'allegato (è sufficiente avere la preview attivata in Outlook Express per rendere attivo il worm).
A complicare le cose vi è pure il fatto che il virus "porta con sè" un fastidiosissimo trojan (Trojan KDLL.DLL ), già isolato e il cui scopo è quello di "rubare" le sequenze di tasti digitati (tra cui ad esempio le password del sistema in cui si installa).
Secondo quanto riportato da Messagelab, l'unico modo reale e concreto per fronteggiare
questa tipologia di virus consiste nell'utilizzo di software antivirus dotati algoritmo
euristico. Questa tipologia di algoritmo consente la rilevazione di virus sconosciuti, che
vengono debellati all'origine del fenomeno di diffusione. I più diffusi antivirus,
utilizzano sono in modo marginale questa tecnologia, affidando la rilevazione ad un file
definition che deve costantemente essere aggiornato.
Ulteriori informazioni circa la diffuzione di questo worm sono disponibili a questo indirizzo.
Cosa fare
Il consiglio è ovviamente di NON eseguire gli allegati e qualora si utilizzi Outlook
Express come email client, disabilitare la visualizzazione del preview. Successivamente
è' indispensabile procedere all'aggiornamento dell'antivirus.
McAfee e Symantec hanno rilasciato degli aggiornamenti dedicati. Hai seguenti link sono
disponibili oltre agli update, anche valide informzioni circa questo nuovo virus:
McAfee
Symantec
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".