Il virus più veloce della storia
Si chiama MyDoom e ha strappato a Sobig il primato in quanto a rapidità di diffusione. Installa una backdoor e lancia un attacco Dos contro il sito di Sco.
Entrato apparentemente in circolazione tramite la diffusa rete P2P Kazaa, MyDoom si è subito trasferito sull’infrastruttura di posta elettronica. Si tratta di un malware decisamente dannoso, che sovrascrive alcuni file di sistema, si invia tramite e-mail a tutti gli indirizzi che riesce a reperire sul computer aggredito (falsificando anche il nome del mittente) e installa una backdoor aprendo le porte Tcp dalla 3217 alla 3198.MyDoom, colpisce praticamente tutte le varianti di Windows, da 95 a Xp, ed è un virus a scadenza: è programmato per arrestare la sua diffusione a partire dal 12 febbraio.
Il messaggio di posta con cui il virus si propaga ha un Oggetto scelto a caso da una lista piuttosto nutrita; alcune delle opzioni possibili sono:
Hi
Mail Delivery System
Mail delivery Failure
Server Report
Per l’invio dei messaggi infetti MyDoom sfrutta un motore Smpt integrato, evitando di appoggiarsi al client di posta installato sul sistema. Il codice dannoso vero e proprio è contenuto in un allegato che presenta una doppia estensione (ad esempio .jpg.exe o .txt.pif) nel tentativo di far credere al destinatario che non si tratti di un file eseguibile. La seconda estensione è preceduta da un notevole numero di spazi bianchi (anche svariate decine): una tecnica di mascheramento subdola e - a giudicare dalla quantità di computer vittima dell’infezione - decisamente efficace. È interessante notare che MyDoom non va in esecuzione automatica sfruttando qualche vulnerabilità di Oultook o di Internet Explorer: per rimanere infetti bisogna lanciare volontariamente il file.
Un altro effetto di MyDoom è un attacco di tipo DoS (Denial of Service) contro il sito Web della società Sco (che ha messo una taglia di 250.000 dollari sulla testa dell’autore del virus). Questo payload è entrato in azione, come previsto, il primo febbraio: i Pc infetti hanno iniziato a tempestare il sito di Sco che è rapidamente diventato inaccessibile. Per contrastare l’attacco Sco ha cambiato il nome di dominio del proprio sito, che mentre scriviamo è raggiungibile all’indirizzo www.thescogroup.com. L’indirizzo originale (www.sco.com) è stato tolto dal Dns, per bloccare l’enorme traffico http generato dal virus. Una variante del virus denominata MyDoom.b prevede come bersaglio aggiuntivo il sito di Microsoft (che ha offerto a sua volta una taglia di 250.000 dollari) ma la sua diffusione è molto limitata quindi l’attacco contro www.microsoft.com, partito il tre febbraio, non ha causato problemi rilevanti.
Anche se gli attacchi DoS di MyDoom sono l’aspetto più pubblicizzato di questo malware, quello più pericoloso è certamente la backdoor che installa. Per questo motivo è particolarmente importante verificare se il proprio Pc è rimasto infetto. Quasi tutti i principali produttori di antivirus offrono gratuitamente un tool in grado di localizzare ed estirpare sia il virus originale sia la variante B. Quello di Symantec, ad esempio, è un eseguibile di appena 150 KByte e può essere scaricato a questo indirizzo.
Vale anche la pena di segnalare anche che la falsificazione del mittente fa sì che un eventuale messaggio di ritorno, scritto a mano oppure generato da un sistema antivirus o da un server di posta impossibilitato a recapitare l’e-mail infetta (molti utenti si sono ritrovati le caselle di posta saturate da MyDoom), risulti perfettamente inutile anzi addirittura dannoso, dato che contribuirebbe solo a generare ulteriore traffico. Quindi è inutile scrivere ai presunti untori per protestare vivacemente o ricoprirli d’insulti: non sono stati loro a spedire il virus. E gli amministratori di antivirus aziendali farebbero bene a disabilitare la funzione di notifica automatica.
Ancora nessun commento.