Ancora il worm Beagle

[luzzo]

Informazioni su questo nuovo worm da Punto Informatico.
Ciao, Luzzo


L'ultima versione di questo worm e' in circolazione da poche ore e gia' desta preoccupazione. Tra le sue caratteristiche spicca una nuova modalita' di diffusione: arriva sempre via email ma il messaggio non contiene direttamente il worm ma un programmino in grado di scaricare il worm da Internet non appena avviato sul computer.

Questa nuova forma di diffusione ha di fatto sorpreso molti utenti e cosi' la sua diffusione si sta facendo preoccupante, al punto che i laboratori antivirus hanno deciso di alzare il livello di guardia, arrivando ad indicare questa variante di Beagle come pericolosa.

Tuttavia i maggiori laboratori antivirus hanno dato un nome diverso a questa variante, per il SSR si tratta della versione AO, per Trend Micro della AC, secondo Computer Associates e' invece la AG mentre McAfee sostiene che si tratta della versione AQ.

QUALI I SISTEMI A RISCHIO
-------------------------

Questa nuova variante di Beagle e' in grado di infettare tutti i sistemi operativi Windows dalla versione 95 in poi. Risultano indenni il DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX e Windows 3.x.

COME RICONOSCERLO
-----------------

Il messaggio con cui arriva questa versione di Beagle ha un indirizzo mittente preso a caso tra quelli trovati nel computer infettato da cui proviene, anche il soggetto dell'email e' casuale mentre il testo del messaggio e' sempre: "New price".

Il nome dell'allegato puo' essere uno dei seguenti, mentre la dimensione puo' variare:
08_price.zip
new__price.zip
new_price.zip
newprice.zip
price.zip
price2.zip
price_08.zip
price_new.zip

COSA FA
-------

Una volta installato il worm compie le medesime operazioni delle versioni precedenti di Beagle. In particolare, il maggior rischio e' rappresentato dall'apertura di una backdoor sulle porte TCP e UDP 80. Di fatto una porta nascosta che consente l'accesso al computer da parte di malintenzionati che possono in questo modo prendere possesso del computer e dei suoi dati o avviare abitrariamente programmi sulla macchina infettata.

L'attivita' principale del worm e' comunque quella di spedirsi a piu' indirizzi di posta elettronica possibili utilizzando un proprio SMTP, il protocollo che consente l'invio della posta elettronica su Internet. Gli indirizzi vengono cercati dal worm nei file presenti sui dischi del computer infettato.

Inoltre, Beagle si preoccupa di disabilitare il funzionamento dei maggiori programmi di sicurezza, perlopiu' antivirus e firewall.

Ulteriori informazioni sul funzionamento delle precedenti versioni di Beagle sono reperibili nell'archivio di SalvaPC:

Beagle.AB a livelli di guardia
http://punto-informatico.it/salvapc/index.asp?i=94

Beagle attacca con Y e Z
http://punto-informatico.it/salvapc/index.asp?i=93

Beagle ora arriva senza allegato
http://punto-informatico.it/salvapc/index.asp?i=88

Beagle si fa in 4
http://punto-informatico.it/salvapc/index.asp?i=85

Beagle o Bagle, il danno e' lo stesso
http://punto-informatico.it/salvapc/index.asp?i=78

COME PROTEGGERSI
----------------

Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.

ULTERIORI INFORMAZIONI
----------------------


http://it.trendmicro-europe.com/enterpr ... M_BAGLE.AC
http://www.sophos.com/virusinfo/analyse ... gleaq.html

[vecchio]

[;)]

<img src="http://www.vecchio85.supereva.it/vecchio.gif" border=0>