Archivio » 2005 » marzo » martedì 8 »

Msn Messenger: altri due worm

Scritto da Guido Sintoni

Kelvir e Sumon (conosciuto anche come Fatso.A)Difendetevi!

I client di messaggistica istantanea - MSN Messenger su tutti - si rivelano una volta di più un nuovo, pericoloso vettore di infezioni informatiche: ne danno conferma la comparsa di due worm, Kelvir e Sumom (che alcuni chiamano Fatso.A), che si aggiungono alle varianti di quel Bropia comparso il mese scorso e che continua ancora la propria azione.
Protezioni I vendor attribuiscono ai nuovi worm un livello di rischio che spazia tra il basso e il medio (Trend Micro è l’azienda che li ritiene più pericolosi); Kelvir e Sumom si propagano ai contatti del client infetto, inviando un messaggio istantaneo con un link che, se seguito, installa una copia del worm su un altro sistema.

Entrambi i worm fanno ricorso a cavalli di Troia in grado di recepire comandi remoti via Irc; Sumom si propaga anche via eDonkey (quindi, mediante i client che supportano questo protocollo per il file sharing), e tenta di terminare e disinstallare software di sicurezza noti, da antivirus a firewall.

Un aspetto curioso di Sumom è che, tra i file installati sui sistemi infetti, ce n’è uno che insulta l’autore di un worm che rimuove Bropia: non è certo una novità (il clou si era raggiunto con un fitto scambio di insulti e sfottò tra gli autori di Bagle, MyDoom e NetSky a marzo 2004), ma costituisce un’ulteriore nota di colore.

Bisogna dunque fare attenzione ad eventuali allegati sospetti che vengono offerti mediante il client Msn Messenger e, come da prassi, aggiornare l’antivirus, ricordandosi di abilitarne le funzioni di analisi e scansione per Msn Messenger (opzione che, tuttavia, molti vendor attivano nelle configurazioni di default).