Mydoom worm

Spazio dedicato a discussioni e domande inerenti la tecnologia.
Assone
Utente fedele
Utente fedele
Messaggi: 56
Iscritto il: 17/07/2003, 15:06
Località: Oristano

Mydoom worm

Messaggio da Assone »

I motivi di questo allarme
W32/Mydoom@MM si diffonde attraverso i messaggi di posta elettronica. Questo worm è in grado di nascondere l'indirizzo del mittente, tattica nota come "spoofing", e può generare messaggi di posta elettronica che sembrano essere stati inviati da Microsoft. Molti degli indirizzi utilizzati da Mydoom sono indirizzi validi che vengono sottoposti ad attacchi di tipo spoof per fini criminosi.

Informazioni di tipo tecnico sul virus sono disponibili presso i fornitori di antivirus che fanno parte della Microsoft Virus Information Alliance (VIA). Il worm Mydoom è anche noto come Novarg, Shimg e Mimail.R.

Se si riceve un messaggio di posta elettronica sospetto che contiene un allegato, non aprire l'allegato. Se non è possibile avere conferma dal mittente che il messaggio è valido e che l'allegato è sicuro, eliminare il messaggio immediatamente. Se si riceve un messaggio sospetto che sembra provenire da Microsoft, è opportuno sapere che Microsoft non distribuisce mai prodotti software mediante messaggi di posta elettronica.

Prodotti interessati
• Microsoft® Outlook®

• Microsoft Outlook Express

• Programmi di posta elettronica basati sul Web

Come proteggersi da questo worm
Per evitare di essere infettati, è necessario bloccare gli allegati pericolosi ai gateway di posta Internet. Per proteggersi da questo worm, è necessario bloccare tutti gli allegati con estensione zip. Inoltre, è opportuno utilizzare le funzionalità incluse nelle versioni più recenti di Outlook e Outlook Express per bloccare gli allegati pericolosi.

Per Outlook 2000 e Outlook XP
Outlook 2000 Service Pack 3 (SP-3) e versioni successive e Outlook XP Service Pack 1 (SP-1) comprendono gli ultimi aggiornamenti per ottimizzare la protezione in Outlook e in altri programmi di Microsoft Office. Fra le varie funzionalità, ve n'è anche una che blocca i tipi di allegato che sono potenzialmente pericolosi. Questa funzionalità può essere configurata affinché blocchi gli allegati di file in formato zip.

Per scaricare gli ultimi aggiornamenti per i prodotti di Office, visitare la pagina Web http://office.microsoft.com/ProductUpdates/

Per impostazione predefinita, la versione di Outlook 2000 precedente alla Service Release 1 (SR1) e Outlook 98 non includevano questa funzionalità. La si può tuttavia ottenere installando l'aggiornamento della protezione per Outlook.

Per scaricare l'ultimo aggiornamento della protezione per Outlook, visitare la pagina http://office.microsoft.com/Downloads/2 ... 2ksec.aspx

Per Outlook 2002
Per scoprire quali tipi di allegato vengono bloccati in Outlook 2002, visitare la pagina http://support.microsoft.com/?kbid=290497

Per Outlook Express 6
Outlook Express 6 può essere configurato per bloccare allegati potenzialmente pericolosi.Per saperne di più sulle funzionalità di protezione in Outlook Express 6, visitare la pagina Web http://support.microsoft.com/?kbid=291387

Per le versioni precedenti di Outlook Express
Le versioni precedenti di Outlook Express non contengono funzionalità di blocco degli allegati. Agli utenti di tali prodotti viene raccomandato di effettuare l'aggiornamento alla versione più recente e di usare estrema cautela nell'aprire messaggi di posta elettronica non richiesti contenenti degli allegati.

Per i programmi di posta elettronica basati sul Web
Se si utilizzano programmi di posta elettronica basati sul Web, è necessario installare un firewall di un altro produttore per migliorare la protezione da questo worm.

Cosa fare se si sospetta che il computer sia stato infettato
Se si sospetta che il proprio PC sia stato infettato, per prima cosa visitare il sito Web del fornitore del software antivirus in uso per scaricare gli ultimi aggiornamenti. Potrebbe essere possibile aggiornare le definizioni che rendono possibile il rilevamento e l'eliminazione dei virus. Assicurarsi di aggiornare periodicamente tali definizioni al fine di evitare nuove infezioni.

Se il computer è stato infettato e si necessita di assistenza tecnica, contattare il proprio fornitore antivirus o il sito del Supporto Tecnico di Microsoft per informazioni su come rimuovere il worm.

Il servizio di supporto telefonico, raggiungibile al numero 0270398398, fornisce gratuitamente informazioni su come proteggere il proprio computer.

Come ottenere ulteriori dettagli tecnici
È possibile ottenere ulteriori dettagli tecnici su questo worm visitando i siti Web dei fornitori di software antivirus che fanno parte di Microsoft VIA:

• McAfee

• Trend Micro

• Symantec

• Computer Associates
Avatar utente
James_tont
MondoWeb Guru
MondoWeb Guru
Messaggi: 1284
Iscritto il: 27/04/2003, 16:38
Località: Top Secret

Messaggio da James_tont »

Quando questo worm viene eseguito si comporta nel modo seguente:


Crea i file:

%System%\Shimgapi.dll: Shimgapi.dll agisce come server proxy. Apre le porte TCP da 3127 a 3198 e si mette in ascolto. Ciò rende possibile a un aggressore di connettersi al computer tramite queste porte e di utilizzarlo come proxy per accedere alle risorse di rete. La backdoor ha inoltre la capacità di scaricare ed eseguire file.
%Temp%\Message: Il file contiene molte lettere casuali e può essere visualizzato con Notepad.
%System%\Taskmon.exe:


--------------------------------------------------------------------------------
Note:
Taskmon.exe è un file legittimo dei sistemi operativi Windows 95/98/Me ma si trova nella cartella %Windir% e non nella cartella %System%. (Per caratteristica predefinita questa si trova in C:\Windows o C:\Winnt). Non eliminare il file legittimo che si trova nella cartella %Windir%.
%System% è una variabile. Per impostazione predefinita questa cartella si trova sul percorso C:\Windows\System (in Windows 95/98/Me), C:\Winnt\System32 (in Windows NT/2000) e C:\Windows\System32 (in Windows XP).
%Temp% è una variabile: il worm individua la cartella temporanea e copia se stesso in questa posizione. Per impostazione predefinita, questa è C:\Windows\TEMP (Windows 95/98/Me), o C:\WINNT\Temp (Windows NT/2000), o C:\Document and Settings\<Nome utente>\Local Settings\Temp (Windows XP).

--------------------------------------------------------------------------------

Aggiunge il valore:

"(Default)" = "%System%\shimgapi.dll"

alle chiavi di registro:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

in modo che Explorer.exe carichi Shimgapi.dll.

Aggiunge il valore:

TaskMon = %System%\taskmon.exe

alle chiavi di registro

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

oppure

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

in modo che TaskMon venga eseguito all'avvio di Windows.

Verifica la data di sistema e se questa è compresa tra il 1° e il 12 febbraio 2004, esiste il 25% di possibilità che il worm esegua un attacco di tipo DoS contro il sito www.sco.com creando 64 thread che inviano richieste di tipo GET e utilizzando una connessione diretta alla porta 80. Se l'attacco DoS viene attivato il worm non inizierà la distribuzione di massa.


--------------------------------------------------------------------------------
Nota:
L'attacco DoS inizierà alle 16:09:18 UTC (Coordinated Universal Time) (08:09:18 Pacific Standard Time) il 1° febbraio 2004. Il worm verifica la data di sistema per determinare se iniziare l'attacco DoS.
A causa del metodo impiegato per verificare la data, l'attacco DoS verrà eseguito solo sul 25% dei computer infetti.
L'attacco DoS si verificherà durante la verifica della data di sistema oppure quando il computer viene riavviato.
Il worm utilizza le impostazioni DNS locali per risolvere il nome di dominio utilizzato nell'attacco DoS (www.sco.com).

--------------------------------------------------------------------------------

Crea le seguenti chiavi di registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
e
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version

Cerca indirizzi e-mail nei file con le seguenti estensioni. Ignora gli indirizzi che terminano in ".edu".

.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt

Tenta di inviare e-mail utilizzando il proprio motore SMTP. Esegue una ricerca nel server di posta del destinatario per l'invio. Se ciò non riesce utilizza il server di posta locale.
Le caratteristiche del messaggio di e-mail sono le seguenti:

Da: l'indirizzo del mittente può essere mascherato

Oggetto:
(L'oggetto è uno dei seguenti):
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Messaggio:
(Il messaggio è uno dei seguenti):
Mail transaction failed. Partial message is available.
Il messaggio contiene caratteri Unicode ed è stato inviato come allegato binario.
Il messaggio non può essere rappresentato sotto forma di codifica ASCII a 7 bit ed è stato inviato come allegato binario.

Allegato:
(L'allegato è uno dei seguenti):
document
readme
doc
text
file
data
test
message
body

L'allegato può avere una o due estensioni file. Se ne ha due, la prima estensione sarà una delle seguenti:
.htm
.txt
.doc

La seconda estensione, oppure quella presente nel caso ce ne sia soltanto una, sarà una delle seguenti:
.pif
.scr
.exe
.cmd
.bat
.zip (questo è il file zip contiene una copia del worm che condivide lo stesso nome file del file .zip. Per esempio, readme.zip conterrà readme.exe)

Quando il worm ha l'estensione .exe o .scr, il file utilizza l'icona che rappresenta normalmente un file di testo.


Per tutte le altre estensioni, utilizzerà l'icona corrispondente al tipo di file.

Copia se stesso nella directory di download KaZaA come uno dei file seguenti:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

con estensione
pif
scr
bat
exe
Ta nana na na ta nana na na fu fu!

Chi c’è in linea

Visitano il forum: Nessuno e 0 ospiti