BadTrans.B sta invadendo la rete

BadTrans.B sta invadendo la rete

Dalla scorsa notte la rete è stata invasa da un virus denominato BadTrans, si diffonde grazie ad un bug di Outlook Express.

di pubblicata il , alle 22:26 nel canale Sicurezza
 



Dalla scorsa notte la rete è stata invasa da un nuovo virus denominato BadTrans; è stato bloccato per la prima volta il 23 Novembre e sembra essersi diffuso con grande velocità in Germania, Inghilterra.
Il "punto debole" della catena, anche questa volta è da ricondurre ad Outlook Express e per la precisione Microsoft aveva documentato il bug in questa comunicazione.

Come si presenta:
Il virus si presenta con la classica forma del replay, infatti nel soggetto della mail con cui si diffonde si legge "RE" e null'altro.
Il testo del messaggio è vuoto, mentre in allegato troviamo la sgradita sorpresa: troviamo infatti un file allegato il cui nome può essere:
stuff.MP3.pif
info.DOC.scr
S3MSONG.DOC.scr
SEARCHURL.MP3.pif
HAMSTER.DOC.pif
Me_nude.MP3.scr
fun.MP3.pif
news_doc.DOC.scr
images.DOC.pif
Humor.MP3.scr
New_Napster_Site.MP3.pif
docs.DOC.pif
README.MP3.scr
Sorry_about_yesterday.MP3.pif
Pics.DOC.scr
SETUP.DOC.scr
YOU_are_FAT!.MP3.scr
Card.DOC.pif

Come al solito, le estensioni utilizzate sono molto comuni (.scr è un formato utilizzato da alcuni screensaver). Ciò che più preoccupa di questo worm è il fatto che non è necessario mandare in esecuzione l'allegato (è sufficiente avere la preview attivata in Outlook Express per rendere attivo il worm).

A complicare le cose vi è pure il fatto che il virus "porta con sè" un fastidiosissimo trojan (Trojan KDLL.DLL ), già isolato e il cui scopo è quello di "rubare" le sequenze di tasti digitati (tra cui ad esempio le password del sistema in cui si installa).

Secondo quanto riportato da Messagelab, l'unico modo reale e concreto per fronteggiare questa tipologia di virus consiste nell'utilizzo di software antivirus dotati algoritmo euristico. Questa tipologia di algoritmo consente la rilevazione di virus sconosciuti, che vengono debellati all'origine del fenomeno di diffusione. I più diffusi antivirus, utilizzano sono in modo marginale questa tecnologia, affidando la rilevazione ad un file definition che deve costantemente essere aggiornato.
Ulteriori informazioni circa la diffuzione di questo worm sono disponibili a questo indirizzo.

Cosa fare
Il consiglio è ovviamente di NON eseguire gli allegati e qualora si utilizzi Outlook Express come email client, disabilitare la visualizzazione del preview. Successivamente è' indispensabile procedere all'aggiornamento dell'antivirus.
McAfee e Symantec hanno rilasciato degli aggiornamenti dedicati. Hai seguenti link sono disponibili oltre agli update, anche valide informzioni circa questo nuovo virus:
McAfee
Symantec
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^