Isolate 4 varianti del worm Mytob

Isolate 4 varianti del worm Mytob

Panda Labs ha isolato quattro nuove varianti del worm Mytob

di pubblicata il , alle 15:41 nel canale Sicurezza
 
PandaLabs ha rilevato, in un intervallo di poche ore, la comparsa di quattro nuove varianti del worm Mytob, chiamate S, U, V e W.

Tutte hanno caratteristiche di backdoor, lasciano una porta aperta nel sistema attraverso la quale possono ricevere ordini. Questo processo non avviene direttamente, ma mediante due server chiamati 19.xxor.biz (nel caso delle varianti S, U e W) e irc.blackcarder.net, quello impiegato per Mytob.V. In questo modo, gli autori di questi codici maligni possono controllare qualsiasi macchina infettata da uno di questi worm.

Uno dei principali pericoli di queste varianti consiste nella capacità di modificare il file “hosts” del sistema. In questa maniera, evitano che gli utenti possano connettersi alle pagine web di alcuni produttori di antivirus, impedendo così il download degli aggiornamenti necessari per eliminare questi worm.

Per la loro diffusione usano tre metodi diversi:

- Sfruttano la vulnerabilità conosciuta LSASS,pubblicata e corretta da Microsoft nel suo bollettino di sicurezza MS04-011, disponibile su
http://www.microsoft.com/technet/secuirty/bulletin/ms04-011.mspx

- Attraverso risorse condivise che sono protette da password facilmente indovinabili, ciò che viene comunemente definita come “password debole”

- Per posta elettronica. Attraverso le e-mail inviano messaggi allegando file con estensione .bat, .exe, .pif, .scr o .zip nei quali si trova il codice di Mytob. Questi file possono essere nominati come Data, Doc, Document, File, Readme, Text o Body.

Gli indirizzi di posta elettronica ai quali si inviano vengono presi da file con estensione .abd, .asp, . dbx, .htm, .php, .pl, .sht e .tbb che si trovano archiviati nel sistema. Inoltre, falsificano l’indirizzo del mittente per evitare che i computer infettati possano essere localizzati rapidamente.

Le nuove varianti di Mytob evitano di inviarsi a determinati indirizzi di posta elettronica, tra i quali sono compresi quelli di alcuni produttori di antivirus, così da posticipare la sua scoperta.

Per evitare di eseguirsi più di una volta nel sistema, creano diversi “mutex”, il cui nome cambia a seconda della variante di Mytob. Così la versione S crea il mutex ggmutexk2 e la U, ggmutexk1. La verisone V invece lo chiama H-E-L-L-B-O-T-2-BY-DIABLO, molto simile alla W, denominato H-E-L-L-B-O-T.

Ultimamente l’autore o gli autori di questi worm cercano di mettere in circolazione un gran numero di codici maligni per aumentare la possibilità di infettare i PC. In questo caso, visto che si tratta di worm che consentono il controllo remoto delle macchine, l’obiettivo sembra essere la creazione di una rete di computer che possano essere controllati contemporaneamente. In questo modo si possono portare a termine un gran numero di azioni dannose: dall’installazione di altri malware, come keylogger o spyware, fino alla creazione di “zombi” destinati all’invio di messaggi spam.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta pi interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
carlettodj06 Aprile 2005, 15:56 #1
sta gente non ha veramente niente di meglio da fare che rompere le scatole alle persone.
Che ci guadagneranno poi.........
mah

R@nda06 Aprile 2005, 16:04 #2
Che ci guadagneranno poi.........


L'assunzione nelle S.House che producono antivirus

Anzi...cè poco da ridere va.
TheZeb06 Aprile 2005, 16:06 #3
"isolate"..... manco parlassimo di virus veri.....

norton=antivirus
norton=produce virus

ciclo finanziario perfetto.
Motosauro06 Aprile 2005, 16:08 #4
Qualcosa ci guadagneranno, visto che ormai chi ha le competenze per scrivere ste merdate sa anche a cosa va incontro se viene beccato.
Io resto della mia idea che i produttori di antivirus non siano tutti limpidi e trasparenti come vorrebbero che noi pensassimo.

A pensar male si fa peccato, ma ci si azzecca
(G. Andreotti)

ReLupo06 Aprile 2005, 16:21 #5
Se io avessi la capacità e le competenze di scrivere virus...
Se fossi una persona isolata dal resto del mondo e chiusa nel mio mondo fatto solo di codice e macchine...
Se un bel giorno mi comparisse alla porta Neo e mi promettesse istruzione aggratis per igliorarmi come non mai e mi promettesse soldoni sonanti...

Ecco, allora mi metterei a scrivere virus pestilenziali!!! ^_^

Magari le cose vanno proprio così... E non pensiamo solo sempre ai gagni che una bella mattina sfornano peste modificando cosa già esiste in giro...
supermarchino06 Aprile 2005, 17:06 #6
tanto io uso linux

Motosauro06 Aprile 2005, 17:23 #7
Aspetta aspetta che si diffonda come presto succederà, poi vedremo se non si metteranno a piangere anche gli utenti Linux.
IMHO
Zepelin_2206 Aprile 2005, 18:11 #8
se Linux si diffonde come Win diventerà lo scolapasta per eccellenza, visto che é un sistema aperto.
Nonostante Unix-like resti il miglior sistema home in fatto di sicurezza, la sua diffusione in massa sarebbe anche la sua fine ingloriosa...
Apocalips-Sistem...
R@nda06 Aprile 2005, 19:06 #9
Ma è proprio perchè è Open che Linux non avrà problemi.

I Virus Wirter ce l'hanno con Gates perchè è ricco sfondato e monopolista
ancheio06 Aprile 2005, 20:17 #10
I Virus Writer saranno tanto contro Gates perché ricco sfondato e monopolista ma se non ci fosse stato forse oggi non avremmo avuto tutta questa diffusione di strumenti informatici a livello personale. E poi anche questa mania di sputare nel piatto in cui si mangia...che ipocrisia.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^