Archivio » 2004 » settembre » mercoledì 15 »

Virus, attenzione a SdBot. Ma ci sono anche gli altri

Scritto da Guido Sintoni

Dal worm che installa uno sniffer di rete al malware che parla alle proprie vittime, fino a quello che richiede lavoro, ecco i test più probanti per gli antivirus degli utenti. Ma tra loro non sembra si nasconda un nuovo Sasser

Se il 2003 è stato l’anno-record per i worm ad alto impatto (e diffusione mediatica: si pensi ai vari Sql Slammer, Blaster o MyDoom), il 2004 ha registrato un picco così elevato con il solo Sasser . Certo, i vari Netsky o Bagle hanno avuto più di un quarto d’ora di celebrità, ma non hanno suscitato lo stesso scalpore.

Tuttavia, la fantasia degli scrittori di malware è fervida, e - in attesa di qualche (non auspicabile) bug macroscopico, tipo quelli della patch MS03-026 (che è sfruttato da Mydoom) o MS04-011 (Sasser) - emergono alcuni worm inconsueti, non tanto per il potenziale distruttivo, quanto per il particolare comportamento.

Sicurezza e antivirus

» Aiuto! proteggete il mio computer

Il worm SDBot [informazioni da Trend Micro] ha scarsa diffusione ma alto potenziale distruttivo: la sua peculiarità è quella di installare uno sniffer sulla macchina infetta, con l’intento di catturare le credenziali di accesso a istituti bancari (una tendenza che segue l’aumento delle attività di phishing) dalle macchine in rete. Gli sniffer (strumenti di analisi del traffico di rete in sé leciti e di grande utilità per i sistemisti) permettono di rilevare username e password in chiaro; la novità risiede nel fatto che SDBot è il primo worm ad incorporarne uno.

Passiamo ora al worm loquace: Amus [informazioni da Sophos]. Si tratta del primo malware che usa Windows Speech Engine (il motore vocale incorporato in Windows Xp) per portare agli utenti infetti qualche parola di speranza: “Ciao, sono tornato. Mi chiamo Mister Hamsi. Ti vedo. Devi venire in Turchia. Sto cancellando il tuo computer. 5, 4, 3, 2, 1, 0. Gule gule”. Dopo il saluto (rigorosamente in turco), il Pc rimane intonso o quasi: l’unico inconveniente è il cambio della homepage di Micosoft Internet Explorer, con una arbitraria. Per i più curiosi, il messaggio è disponibile sul sito F-Secure. Da ultimo, le ultime varianti di Mydoom chiamate MyDoom.U e MyDoom.V - in sé aggressive ma, fortunatamente, poco diffuse - contengono una richiesta alquanto singolare nascosta nel codice: “Ricerchiamo lavoro nel settore antivirus”. I primo worm con spot pubblicitario annesso? No. Michael Buen, con il virus Michael-B da lui scritto, distribuiva il proprio curriculum.