Bofra: il worm affamato di IFRAME

Bofra: il worm affamato di IFRAME

Dopo pochissimi giorni dalla scoperta della vulnerabilità IFRAME di Internet Explorer, ecco il primo worm

di pubblicata il , alle 09:28 nel canale Sicurezza
 

Sono passati pochi giorni dalla scoperta di un pericoloso bug presente in Internet Explorer che subito i virus writers hanno scritto un nuovo worm che sfrutta la falla.

Il worm, denominato Bofra da Sophos Antivirus, è stato erroneamente associato da molte società di antivirus alla famiglia del Mydoom, precisamente varianti AG e AH.
Tuttavia le differenze che ci sono tra questo worm e le varianti del worm Mydoom sono maggiori rispetto alle analogie, per esempio il modo differente di diffondersi. I tool di analisi di F-Secure hanno evidenziato che la percentuale di somiglianza è del 49%, poca per affermare che sia un Mydoom.

Il worm arriva attraverso una e-mail ma senza allegato.

Il campo FROM è variabile tra:

Becky
joanna
KETTY
jane
sindy

L'oggetto della e-mail può essere:

hey!
Hello
funny photos :)

Il corpo del messaggio può essere:

FREE ADULT VIDEO! SIGN UP NOW!

Look at my homepage with my last webcam photos!

(in altre varianti del worm il testo può variare:

Congratulations! PayPal has successfully charged $175 to your credit card.
Your order tracking number is A866DEC0, and your item will be shipped
within three business days

To see details please click this <link>

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by
an automated message system and the reply will not be received.

o

Hi! I am looking for new friends. I am from Miami, FL.
You can see my <homepage> with my last webcam photos!

o

Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my <homepage> with my weblog and last webcam photos!

See you!

)

Il corpo del messaggio contiene un link che connette ad un server. La pagina web linkata contiene l'exploit per il bug IFRAME e permette di scaricare sul pc il worm.

Alla fine del messaggio il worm può includere una delle seguenti stringhe:

scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Checked for viruses by Gordano's AntiVirus Software
Checked by Dr.Web (http://www.drweb.net)

Una volta attivo nel sistema il worm crea le seguenti chiavi di registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Rhino

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Rhino

e si copia all'interno della directory di sistema o all'interno della directory dei files temporanei con un nome casuale composto da 2 a 8 caratteri terminante in 32.exe (es. EOFJNF32.EXE).

Il worm tenta poi di cercare all'interno dei files

wab
pl
adbh
tbbg
dbxn
aspd
phpq
shtl
htmb
txt

indirizzi e-mail a cui spedirsi, attraverso un motore SMTP proprio.

Infine il worm apre una porta TCP partendo dalla 1638 (0x666). Questo perché la macchina diventa il server al quale i link mandati nelle e-mail faranno riferimento per infettare altri pc e così via a catena. Qui sotto uno schema esplicativo del funzionamento del worm.


schema di funzionamento del worm


Il worm contiene una backdoor IRC che permette ad un attacker remoto di eseguire files arbitrariamente.
Per rendere più difficile la sua individuazione, il worm tenta di "iniettarsi" all'interno del processo explorer.exe.

Visto che, a parte Windows XP con il Service Pack 2, tutti gli altri sistemi operativi con Internet Explorer sono vulnerabili, si raccomanda di aggiornare immediatamente il proprio software antivirus.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

34 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
JoJo10 Novembre 2004, 09:29 #1
Visto che, a parte Windows XP con il Service Pack 2, tutti gli altri sistemi operativi con Internet Explorer sono vulnerabili, si raccomanda di aggiornare immediatamente il proprio software antivirus.


"Si raccomanda inoltre di installare la versione 1.0 *FINALE* di Firefox."

Io questa frase la aggiungerei alla fine dell'articolo.
Aryan10 Novembre 2004, 09:33 #2
Originariamente inviato da JoJo
"Si raccomanda inoltre di installare la versione 1.0 *FINALE* di Firefox."

Io questa frase la aggiungerei alla fine dell'articolo.

Firefox 1.0 RULEZ!!!! Sto scrivendo con lui da linux...
spazio8010 Novembre 2004, 09:44 #3
Io uso Opera 6.05 ormai da 5 anni, mai avuto sorprese di Worm & co, oltre a bloccare i popup come e quando voglio.
La versione 7 e successive sono troppo pesanti per nulla in più.
Ovviamente poi sul sistema vigila il Kaspersky.
barabba7310 Novembre 2004, 09:46 #4
Sul sito del M$ io non vedo ancora l'aggiornamento....mah...anche io uso FF però in ogni caso devo aggiornare il s.o......
Aryan10 Novembre 2004, 09:49 #5
Originariamente inviato da spazio80
Io uso Opera 6.05 ormai da 5 anni, mai avuto sorprese di Worm & co, oltre a bloccare i popup come e quando voglio.
La versione 7 e successive sono troppo pesanti per nulla in più.
Ovviamente poi sul sistema vigila il Kaspersky.

Ti consiglio di passare a FireFox 1.0!
Hai le stesse prestazione degli ultimi Opera(blocco popup, multitab, ecc...), è + aggiornato ed è di una leggerezza disarmante...
Fonfi10 Novembre 2004, 09:56 #6
Ma questi virus writer non hanno altro da fare? Invece che rompere i coxxxni alla gente, sarebbe troppo intelligente se usassero le loro capacità per creare qualcosa di buono e utile... Si meritano solo delle mazzate in testa.
Aryan10 Novembre 2004, 09:59 #7
Originariamente inviato da Fonfi
Ma questi virus writer non hanno altro da fare? Invece che rompere i coxxxni alla gente, sarebbe troppo intelligente se usassero le loro capacità per creare qualcosa di buono e utile... Si meritano solo delle mazzate in testa.

E dopo chi comprerebbe gli antivirus???
Nei virus vige la regola che: la prima gallina che canta...
Fonfi10 Novembre 2004, 10:01 #8
Già...
Onda Vagabonda10 Novembre 2004, 10:13 #9
E comunque una bella formattazione con cadenza bimestrale leva il medico di torno.
JoJo10 Novembre 2004, 10:15 #10
Originariamente inviato da Onda Vagabonda
E comunque una bella formattazione con cadenza bimestrale leva il medico di torno.


Scusa ma quanto da te detto lascia veramente il tempo che trova... il medico di torno lo levo una sana prevenzione, mica formattare ogni tanto. Bah...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^