Virus Netsky.D

Messaggioda luzzo » 02/03/2004, 12:01

Altro allarme per virus in circolazione
Buona lettura

mfg, Luzzo

=============================
Netsky.D e' un worm scoperto dai laboratori antivirus nella notte tra il 29 febbraio e il primo marzo, un worm che ora sta arrivando anche in Italia colpendo un certo numero di computer Windows.

La sua diffusione sta seguendo un percorso atipico e il worm si sta rivelando piu' fastidioso e persistente del temuto, tanto che i principali osservatori di settore hanno portato ad un livello molto elevato la soglia di attenzione. Netsky.D e' in grado di attaccare i sistemi Windows dalla versione 95 in poi.

Una volta attivato il worm, il computer rimane infettato e Netsky.D procede alla modifica del Registro di Windows per accertarsi di essere attivato ad ogni riavvio del computer. Inoltre, disabilita una serie di funzionalita' di Windows legate alla sicurezza e ai sistemi antivirus e ne inserisce una nuova serie per garantirsi di poter operare indisturbato sulla macchina infetta.

Da quel momento in poi, il worm scansiona tutti i dischi del computer a caccia di file che contengano indirizzi email, indirizzi ai quali tenta di inviare un messaggio con un una copia di se stesso in allegato.
Grazie all'uso di un proprio SMTP, Netsky.D puo' far partire queste spedizioni indipendentemente dalle azioni intraprese dall'utente, sempre che il computer sia conneso a Internet.

Una prticolarita' di Netsky.D e' che se la data del computer infetto e' quella di oggi, martedi' 2 marzo, tra le 6 e le 9 del mattino il PC emettera' una serie di bip per un certo periodo di tempo con frequenze casuali.

Il mittente dell'email che contiene l'allegato infetto e' un mittente fasullo, preso a caso da Netsky.D tra gli indirizzi email individuati sul computer colpito. Il soggetto dell'email, il nome del file allegato e il corpo del messaggio sono tutti termini inglesi ma cambiano di volta in volta, scelti a caso da una lunga lista di possibilita' contenuta nel worm. L'unico elemento fisso e' l'estensione dell'allegato, .pif.

Di interesse notare che il worm e' programmato per non inviare email infette ad una lunga serie di indirizzi email che possano essere relativi ad entita' come le societa' antivirus, le societa' di sicurezza informatica, Microsoft e la polizia federale americana (FBI). Un sistema evidentemente pensato per rendere piu' difficile il tracciamento del worm e la stima della sua reale diffusione.
Le definizioni dei software antivirus precedenti al primo marzo non sono efficaci contro Netsky.D. Vista la sua crescente diffusione in Italia e' urgente aggiornare i software stessi accertandosi che l'update sia quello che comprende anche il blocco contro Netsky.D. Vi sono utenti italiani colpiti da questo worm che hanno aggiornato l'antivirus nei giorni precedenti a questa infezione e che si ritenevano al sicuro.

Se il proprio sistema venisse colpito da Netsky.D e' urgente provvedere alla sua identificazione e rimozione. Vista la sua capacita' di disabilitare le funzionalita' antivirus e' necessario provvedere alla disinfezione manuale.
Per farlo, Sophos mette a disposizione una pagina generica per la rimozione dei worm:
http://www.sophos.com/support/disinfection/worms.html

E Symantec Security offre un tool gratuito:
http://securityresponse.symantec.com/av ... .tool.html

E dulcis in fundo
Netsky.D ha gia' un altro fratello, Netsky.E, anch'esso dedicato a colpire i sistemi Windows. La versione E, scoperta oggi, viene comunque bloccata dagli antivirus aggiornati e dunque capaci di schermare i sistemi dalla versione D.
luzzo
New Member
New Member
 
Messaggio: 40 di 74
Iscritto il: 12/09/2002, 16:27

Messaggioda Highrender » 02/03/2004, 12:07

Ciao luzzo,

stavo inserendo il topic, ma mi hai preceduto! Quasi quasi battevamo il record di cui si parlava nell'altro forum! <img src=icon_smile_big.gif border=0 align=middle>

Comunque, non ho mai visto un numero così elevato di virus e soprattutto di aggiornamenti! Ho aggiornato il db dei virus stamattina e ora ne ho fatto un altro!

Highrender
Highrender
Junior Member
Junior Member
 
Messaggio: 117 di 395
Iscritto il: 22/10/2003, 20:52
Località: Italy

Messaggioda luzzo » 02/03/2004, 15:53

Hi Highrender

la prossima volta la lascio a te <img src=icon_smile_wink.gif border=0 align=middle>

Comunque, come giustamente dici tu, è bene tenere aggiornato non solo il proprio db di definizioni virus ma anche tenersi aggiornati sulle varie schifezze che in questo periodo stanno girando in rete.
luzzo
New Member
New Member
 
Messaggio: 41 di 74
Iscritto il: 12/09/2002, 16:27


Torna a Informatica

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite