Nuovo virus Alua (Bagle.B)

Messaggioda Highrender » 17/02/2004, 19:43

Salve a tutti,

volevo segnalarvi un nuovo virus di tipo mass mailing, tanto per cambiare! Pare che si stia diffondendo molto velocemente come MyDoom.

Ho iniziato a ricevere alcune email con un file eseguibile in attachment.
Potete trovare info a questi link:

http://securityresponse.symantec.com/av ... [email protected]
http://www.trendmicro.com/vinfo/virusen ... RM_BAGLE.B
Highrender
Junior Member
Junior Member
 
Messaggio: 103 di 395
Iscritto il: 22/10/2003, 20:52
Località: Italy

Messaggioda luzzo » 18/02/2004, 08:52

"Due" note aggiuntive a quelle di Corrado prese dalla Rete

a) Il worm e' stato intercettato dai laboratori di sicurezza soltanto nelle ultime ore e i tecnici sono ancora al lavoro per capirne l'esatto funzionamento. Anche a questo si devono le differenze nei modi in cui i principali produttori di software di sicurezza stanno interpretando questa infezione.

Secondo Trend Micro, ad esempio, l'attuale diffusione del worm e' media ma le sue potenzialita' di diffusione sono elevatissime. Secondo il laboratorio Security Response di Symantec, invece, Alua va considerato un worm di livello 3, su 5 livelli disponibili.

In ogni caso questo worm dovrebbe cessare ogni attivita' il prossimo 25 febbraio 2004, lasciando pero' aperte le backdoor sui computer infetti.

b) Alua e' difficile da riconoscere perche' il soggetto del messaggio di posta elettronica con cui si diffonde puo' essere una frase qualunque, cosi' come il mittente, che e' scelto a caso tra gli indirizzi che il worm riesce a scovare all'interno del sistema infetto (nei file .wab, .txt. htm, .html).

I segni distintivi si trovano pero' nel corpo del messaggio che, pur variando di volta in volta, rimane riconoscibile:

Yours ID (caratteri vari)
- -
Thank

L'allegato si presenta come un file .exe il cui nome e' composto da 7 caratteri.

c) Fino ad ora si e' accertata la capacita' di Alua di autoinviarsi attraverso l'email sfruttando direttamente il protocollo SMTP, quello che viene usato per la trasmissione della posta elettronica su Internet.

Ben piu' grave, pero', e' come accennato l'apertura di una backdoor che potrebbe rappresentare un rischio serio per i dati contenuti nel computer. Inoltre, potrebbe consentire l'utilizzo delle macchine infettate per lanciare attacchi di tipo DoS (Denial of Service), che consistono nell'invio ad un determinato server di un numero talmente elevato di richieste da inibirne il funzionamento.

La porta aperta dal worm e' la TCP 8866, chi utilizza un firewall puo' dunque bloccare questa porta per evitare la propagazione di Alua.

d) Come sempre il consiglio e' quello di evitare l'apertura di messaggi sospetti, il cui contenuto e' simile a quello descritto nella sezione "Come Riconoscerlo".

Aggiornare il proprio software antivirus controllando che il produttore abbia gia' fornito le chiavi di difesa.
luzzo
New Member
New Member
 
Messaggio: 32 di 74
Iscritto il: 12/09/2002, 16:27

Messaggioda Highrender » 18/02/2004, 10:19

Ciao luzzo,

grazie mille per le informazioni esaurienti come sempre.
Aggiungo un ulteriore link dove prendere ulteriori informazioni per chi volesse approfondire le modalità di attacco ed eliminazione del virus:

http://www.symbolic.it/Rassegna/bagleb.html

Come giustamente hai ricordato, le armi migliori per non essere "infettati" sono: aggiornare il proprio antivirus, fissare una regola per il proprio firewall, ma quella più importante rimane quella di non aprire mail messaggi con file attaccati, soprattutto se non si conoscono.
Highrender
Junior Member
Junior Member
 
Messaggio: 104 di 395
Iscritto il: 22/10/2003, 20:52
Località: Italy


Torna a Informatica

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite