|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24851 Messaggi |
Inserito il - 28/01/2004 : 11:16:17
|
Flash: attenzione al nuovo virus "tecnico" MyDoom
by Paolo Attivissimo
Non lasciatevi ingannare dal titolo dei messaggi intitolati "Test",
"Status", "hi", "hello", "Mail Delivery System", "Mail Transaction
Failed", "Server Report", "Status Error" o contenenti frasi
apparentemente tecniche come queste:
"The message contains Unicode characters and has been sent as a binary
attachment"
"Mail transaction failed. Partial message is available"
"The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment"
NON APRITE L'ALLEGATO e AGGIORNATE IL VOSTRO ANTIVIRUS. Si tratta
infatti di un virus (più correttamente di un worm), precisamente
Mydoom/Novarg, che si è scatenato ieri 26/1/2004.
I dettagli del virus/worm sono disponibili presso i siti dei principali
produttori di antivirus, ad esempio presso Symantec:
securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html
Il worm ha effetto soltanto sulle macchine Windows (e questa non è una
novità), con l'eccezione di Windows 3.1. In sé non è particolarmente
pericoloso, dato che per infettarsi è necessario aprire l'allegato: se
non aprite l'allegato e cancellate il messaggio, siete a posto.
Ma allora come mai la gente si infetta lo stesso a frotte? Non lo sanno
anche i muri, ormai, che gli allegati inattesi non si aprono?
Evidentemente no, o se lo sanno, se lo dimenticano. Infatti il worm usa
le tecniche di "social engineering" descritte qui
http://www.attivissimo.net/security/soceng/soceng.htm
per indurre l'utente a dimenticarsi della normale prudenza: si spaccia
per un messaggio tecnico (quindi sfrutta il principio d'autorevolezza) e
dice che un messaggio destinato a voi è arrivato danneggiato o
codificato in modo anomalo e quindi è contenuto nell'allegato.
Chi rispetta le regole proposte dal mio Piccolo Dodecalogo di Sicurezza:
http://www.attivissimo.net/security/dodecalogo/dodecalogo.htm
non corre alcun pericolo, perché la Regola 8 dice chiaramente "Non
aprite gli allegati non attesi, di qualunque tipo, chiunque ne sia il
mittente, e comunque non apriteli subito, anche se l'antivirus li
dichiara 'puliti'".
Ricordatevi sempre e comunque di aggiornare il vostro antivirus. L'ho
già detto, ma ripeterlo non fa male.
Mi raccomando, non scrivetemi chiedendo istruzioni su come disinfestare
il vostro computer. Non posso fare assistenza tecnica a tutti: dovevate
pensarci prima, e se non ci avete pensato, vi meritate di pagare
qualcuno che vi aiuti a domicilio. I siti antivirus offrono inoltre
istruzioni e programmi di ripulitura appositi. Usateli.
Fin qui il worm non è particolarmente anomalo, se non per la sua
diffusione spettacolarmente rapida, che dimostra che non occorre creare
virus tecnologicamente sofisticati: basta far leva sull'ingenuità degli
utenti con qualche classico espediente psicologico.
L'aspetto insolito di questo worm è che fra l'1 e il 12 febbraio 2004
prenderà di mira il sito della SCO, società che ha causato non poche
polemiche con la sua dichiarazione (non ancora confermata in tribunale)
che Linux contiene codice SCO copiato senza autorizzazione. Lo scopo è
evidentemente creare un'orda di computer infetti che a febbraio
bombarderanno contemporaneamente il sito SCO, rendendolo inservibile.
L'altra particolarità del worm è che si copia alla directory in cui il
programma Kazaa scarica i file ricevuti e si traveste da programma
eseguibile, con nomi-civetta come "icq2004-final" e "winamp5", in modo
da invogliare altri utenti Kazaa a scaricarlo e quindi infettarsi. Anche
qui valgono le regole di sicurezza del Dodecalogo, in particolare la
Regola 1: "Installate un buon antivirus, tenetelo costantemente
aggiornato e usatelo su tutti i file che ricevete." Sottolineo "tutti",
compresi quindi i file che scaricate dai circuiti di scambio come Kazaa
o WinMX.
Il worm, infine, tenta di aprire una "backdoor", ossia un canale di
comunicazione nascosto, sulle porte TCP da 3127 a 3198. In teoria questo
consente a un aggressore di collegarsi al computer infetto e usarlo come
testa di ponte per accedere ai file che contiene. La backdoor è inoltre
in grado di scaricare ed eseguire qualsiasi programma a piacimento
dell'aggressore.
Ultima curiosità: come avviene sempre più spesso, il worm ha una data di
scadenza. Cesserà infatti di diffondersi il 12 febbraio 2004. Questa
scadenza incorporata, e l'assenza di attività distruttive, indicano la
nuova tendenza dei creatori di virus: non più vandali che vogliono
semplicemente distruggere il contenuto dei PC di vittime prese a caso,
ma attenti pianificatori che organizzano un esercito di "zombi digitali"
per attaccare il nemico di turno.
Attenti, dunque, a non zombificarvi!
Ciao da Paolo.
-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-
(C) 2004 by Paolo Attivissimo (www.attivissimo.net).
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
Flash: attenzione al nuovo virus "tecnico" MyDoom
