Worm, torna l'incubo MyDoom

Una pericolosa variante di MyDoom è in grado di far leva su di una vulnerabilità ancora non patchata di Internet Explorer per infettare gli utenti dal click facile. Scoperti anche un vermicello spamma-cellulari e un nuovo buggetto di IE

Roma - L'ennesima variante del flagello di bit&byte MyDoom torna a turbare il sonno degli utenti di Internet Explorer, questa volta facendo leva su di una breccia del browser di Microsoft ancora senza toppa.

Il nuovo worm, chiamato MyDoom.ah, si diffonde utilizzando una recente vulnerabilità di IE 6 legata alla gestione di certi attributi del tag "IFRAME". Mydoom.ah arriva nelle mailbox sottoforma di e-mail che, invece del classico allegato, contiene un semplice link: se lo si clicca con una versione di IE vulnerabile, e non si dispone di un antivirus aggiornato, si contrae immediatamente l'infezione.

"Ad oggi, i ricercatori McAfee AVERT hanno ricevuto oltre 100 campioni del worm provenienti da tutto il mondo", ha affermato McAfee. "La maggior parte dei campioni proviene dagli Stati Uniti".
La nota società di antivirus ha spiegato che Mydoom.ah è un worm di tipo mass mailing capace di collezionare gli indirizzi e-mail dai file e dalla rubrica locali e inviare ad ognuno di essi una copia di se stesso utilizzando il proprio motore SMTP. Come si è detto, questa variante di Mydoom non contiene allegati, bensì un link che punta al sistema infetto che ha inviato il messaggio. Ciccando sul link si accede a un server Web che gira sul sistema compromesso: questo distribuisce un file HTML contenente il codice capace di sfruttare il buffer overflow relativo al tag IFRAME per eseguire automaticamente il virus. Il worm tenta anche di entrare in comunicazione col proprio "padrone" attraverso IRC.

MyDoom è un worm particolarmente sofisticato che, per il metodo di infezione utilizzato, si distingue sia dai suoi diretti predecessori che dai più comuni tipi di worm in circolazione.

L'oggetto del messaggio con cui si diffonde la nuova variante di MyDoom può contenere le parole "hi!", "hey!", "Confirmation" o "blank", e come corpo della mail una falsa comunicazione di PayPal, messaggi a sfondo erotico od altri testi che invitano l'utente ad iscriversi a servizi pornografici od a guardare una webcam privata.

C'è da sottolineare come il bug di IFRAME affligge soltanto gli utenti che utilizzano IE 6 su Windows XP SP1 o Windows 2000: sono pertanto immuni coloro che usano precedenti versioni di IE e di Windows o che hanno installato il Service Pack 2 per Windows XP.

In questi giorni è stato segnalato anche un nuovo cavallo di Troia, chiamato Delf-HA, capace di utilizzare i PC per inviare messaggi SMS di SPAM su certi numeri mobili russi. Ciò che ha attratto l'attenzione degli esperti di sicurezza è che questa tecnica di spamming potrebbe essere utilizzata per colpire anche altri network cellulari.

Negli scorsi giorni è invece stata scoperta una nuova debolezza di IE 6, descritta in questo advisory di Secunia, che potrebbe essere sfruttata da malintenzionati per verificare la presenza o meno sul computer dell'utente di un certo file. Da sola, questa vulnerabilità non è pericolosa, ma potrebbe diventarlo se associata ad altre falle. Anche in questo caso gli utenti che hanno installato l'SP2 per Windows XP sono immuni dal problema.
TAG: microsoft
63 Commenti alla Notizia Worm, torna l'incubo MyDoom
Ordina
  • E' vero che qualcuno lo definisce ancora un browser??????
    non+autenticato
  • - Scritto da: Anonimo
    > E' vero che qualcuno lo definisce ancora un
    > browser??????

    Beh si. Anche la Duna è una macchinaSorride
    non+autenticato

  • > > E' vero che qualcuno lo definisce ancora un
    > > browser??????
    >
    > Beh si. Anche la Duna è una macchina Sorride

    clap clap clap Sorride
    Terra2
    2332
  • non sapevo che exploder fosse un browser....
    io sapevo che fosse una delle tante falle di winzozz
    non+autenticato
  • si... e lo usano in molti...

    questi la classifica dei browsers che sono passati sul mio sito:

    il primo numero rappresenta le pageviews il secondo gli accessi unici (dati relativi a novembre 2004... questi 10 giorni appena trascorsi)

    Explorer 6.0 - 58830(74.2%) - 17763 (80.8%)
    Mozilla 1 - 6116(7.7%) - 1200(5.5%)
    Opera 7 - 3091(3.9%) - 292(1.3%)
    Explorer 5.0 - 1961(2.5%) - 517(2.4%)
    Firefox 0.10.1 - 1871(2.4%) - 374(1.7%)
    Explorer 5.5 - 1038(1.3%) - 489(2.2%)
    Firefox 1.0 - 1033(1.3%) - 216(1%)
    Explorer 5.01 - 679(0.9%) - 176(0.8%)
    Mozilla 1.7 - 599(0.8%) - 55(0.3%)
    ....

    quindi... quel I.E. è il browser che l'80.8% dei visitatori del mio sito usano...

    Il sito parla di hardware/software/informatica in generale...

    l'utente medio non è uno sprovveduto che acquista il pc al supermercato con windows preinstallato....Con la lingua fuori
    non+autenticato
  • ride bene chi ride ultimo
    intanto rotfl
    Fan Linux
    non+autenticato
  • la preview della presentazione ........ venghino sciori venghino che il circo Gates ha apertoooooooo
    http://punto-informatico.it/p.asp?i=50323
    non+autenticato
  • - Scritto da: Anonimo
    > la preview della presentazione ........
    > venghino sciori venghino che il circo Gates
    > ha apertoooooooo
    > punto-informatico.it/p.asp?i=50323

    Nel caso specifico non puoi dare colpa a MS. La vulnerabilita' è stata gia' patchata da tempo.

    Se ci ricaschi, non è colpa di MS.
    non+autenticato
  • poichà una tenica del genere colpisce per lo più sistemi esposti come quelli che si collegano con un modem senza firewall e senza antivirus.
    Le reti aziendali da come e' stato descritto il funzionamento del virus non sono colpite
    non+autenticato

  • - Scritto da: Anonimo
    ...
    > Le reti aziendali da come e' stato descritto
    > il funzionamento del virus non sono colpite

    E perchè non dovrebbero essere colpite ?
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > ...
    > > Le reti aziendali da come e' stato
    > descritto
    > > il funzionamento del virus non sono
    > colpite
    >
    > E perchè non dovrebbero essere
    > colpite ?

    Firewall, proxy, bastioni del menga.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > >
    > > - Scritto da: Anonimo
    > > ...
    > > > Le reti aziendali da come e' stato
    > > descritto
    > > > il funzionamento del virus non sono
    > > colpite
    > >
    > > E perchè non dovrebbero essere
    > > colpite ?
    >
    > Firewall, proxy, bastioni del menga.


    Spiegami cosa c' entra un proxy ( che serve ad altro ).
    Od un firewall, dal momento che si tratta di una vulnerabilità del browser.
    Intanto il Pc si infetta, che poi il server smtp del worm sia inutile per le policy del firewall, è un altro paio di maniche.
    non+autenticato
  • C'è ancora qualche fesso su windows che:
    - Apre mail dal titolo "hi"!
    - Non aggiorna il sistema operativo
    - Non usa un qualsiasi sw anitvirus (MyDoom lo beccano tutti, immagino anche nella sua ultima variante se usano euristiche un minimo decenti)
    - usa ie 6
    - non usa un qualsiasi firewall! "ll programma MyDoom sta cercando stabilire una connessione smtp. Vuoi che lo blocco?" (con relativa risposta no dell'utonto di turno)
    non+autenticato

  • > - Non aggiorna il sistema operativo
    quando 'è di mezzo servo paccone 2 sono in molti a non aggiornarlo (accettiamo a volte i suggerimenti ms)

    > - usa ie 6

    eeee purtroppo si sono ancora in tanti (purtroppo per loro a me non frega nulla)
    non+autenticato

  • - Scritto da: Anonimo
    >
    >
    > > - usa ie 6
    >
    > eeee purtroppo si sono ancora in tanti

    no, sono proprio tutti (compreso io che non ho mai preso un virus in tutta la mia vita)

    chissà perché?
    non+autenticato

  • > no, sono proprio tutti
    solo? pensa anche quelli che non hanno il pc usano ie...

    uahaha li hanno beccati anche a redmond con il panda fra le mani (figuraemme)
    > (compreso io che non
    > ho mai preso un virus in tutta la mia vita)
    >
    si dicono tutti così...

    > chissà perché?
    perchè il bian coniglio è allegro
    non+autenticato

  • - Scritto da: Anonimo
    >
    > > no, sono proprio tutti
    > solo? pensa anche quelli che non hanno il pc
    > usano ie...
    >
    > uahaha li hanno beccati anche a redmond con
    > il panda fra le mani (figuraemme)
    > > (compreso io che non
    > > ho mai preso un virus in tutta la mia
    > vita)
    > >
    > si dicono tutti così...
    >
    > > chissà perché?
    > perchè il bian coniglio è
    > allegro

    follow the white rabbit
    non+autenticato

  • - Scritto da: Anonimo
    > C'è ancora qualche fesso su windows
    > che:
    > - Apre mail dal titolo "hi"!
    > - Non aggiorna il sistema operativo
    > - Non usa un qualsiasi sw anitvirus (MyDoom
    > lo beccano tutti, immagino anche nella sua
    > ultima variante se usano euristiche un
    > minimo decenti)
    > - usa ie 6
    > - non usa un qualsiasi firewall! "ll
    > programma MyDoom sta cercando stabilire una
    > connessione smtp. Vuoi che lo blocco?" (con
    > relativa risposta no dell'utonto di turno)


    Si !
    non+autenticato
  • - Scritto da: Anonimo
    > Si !

    Scenetta gustosa capitata a me personalmente una settimana fa.

    Collega in ICQ (CQ): mi è arrivata una mail , ma non riesco ad aprire l'allegato. Te l'ho girata, ci provi tu?
    IO: ok {apre mail, guarda allegato: joke.com }
    IO: suppongo che tu l'abbia cliccato più volte e non succede niente...
    CQ: si
    IO: e magari adesso il tuo PC va molto lento e va lento anche internet...
    CQ: si, come fai a saperlo?
    IO: eh, beh......
    CQ: ma sei riuscito ad aprirlo?
    IO: Credo che tu debba chiamare l'assistenza adesso.
    2678
  • Scenetta capitata a me esattamente un anno fa:

    collega al telefono: come si apre un jpg?
    io: (leggermente perplessa) ...con il browser, con photoshop....ma perchè? non riesci ad aprire un jpg? (cosa che ha sempre fatto....)
    collega: eh?..mh...vabbe no fa niente...dopo ci riprovo.

    Sul momento nn do peso alla cosa, anche perchè avevo parecchio lavoro.

    Neanche mezzo minuto dopo arriva la collega in questione, insieme ad un altro collega, entrambi concitati.

    Li seguo fino nella stanza della collega e noto che sullo schermo del suo computer, comparivano SVARIATE notifiche del suo antivirus, di scansioni di e-mail in uscita.

    Stacco il cavo di rete, segue coro di applausi con inni di gioia "Brava!!! Come hai fatto??!!
    " e guarda che non ho risolto il problema eh... ho solo evitato che dilagasse.....Ma cosa hai aperto?..qualche allegato strano??"
    "no no..io non ho fatto niente...! ho solo tentato di aprire questo....."

    Il questo in questione era un bell'allegato, ad una mail dal mittente sconosciuto (e dal messaggio di testo in inglese, che alludeva a qualche brava notte di sesso...Occhiolino...)

    Il nome dell'allegato : photos.zip
    che la collega ha coscienziosamente decompresso
    all'interno: photos.jpg.exe....
    la jpg che non riusciva ad aprire......Occhiolino



    ==================================
    Modificato dall'autore il 10/11/2004 10.03.42


    ==================================
    Modificato dall'autore il 10/11/2004 10.04.45

  • - Scritto da: ipomina
    > Scenetta capitata a me esattamente un anno
    > fa:
    >
    > collega al telefono: come si apre un jpg?
    > io: (leggermente perplessa) ...con il
    > browser, con photoshop....ma perchè?
    > non riesci ad aprire un jpg? (cosa che ha
    > sempre fatto....)
    > collega: eh?..mh...vabbe no fa niente...dopo
    > ci riprovo.
    >
    > Sul momento nn do peso alla cosa, anche
    > perchè avevo parecchio lavoro.
    >
    > Neanche mezzo minuto dopo arriva la collega
    > in questione, insieme ad un altro collega,
    > entrambi concitati.
    >
    > Li seguo fino nella stanza della collega e
    > noto che sullo schermo del suo computer,
    > comparivano SVARIATE notifiche del suo
    > antivirus, di scansioni di e-mail in uscita.
    >
    > Stacco il cavo di rete, segue coro di
    > applausi con inni di gioia "Brava!!! Come
    > hai fatto??!!
    > " e guarda che non ho risolto il problema
    > eh... ho solo evitato che dilagasse.....Ma
    > cosa hai aperto?..qualche allegato strano??"
    > "no no..io non ho fatto niente...! ho solo
    > tentato di aprire questo....."
    >
    > Il questo in questione era un bell'allegato,
    > ad una mail dal mittente sconosciuto (e dal
    > messaggio di testo in inglese, che alludeva
    > a qualche brava notte di sesso...Occhiolino...)
    >
    > Il nome dell'allegato : photos.zip
    > che la collega ha coscienziosamente
    > decompresso
    > all'interno: photos.jpg.exe....
    > la jpg che non riusciva ad aprire......Occhiolino

    Ecco perchè bisogna darla.
    non+autenticato
  • - Scritto da: Anonimo
    > C'è ancora qualche fesso su windows
    > che:
    > - Apre mail dal titolo "hi"!

    No, non conosco nessuno che lo fa.

    > - Non aggiorna il sistema operativo

    Si, quasi tutti i miei amici e/o colleghi, c'è chi non ha messo neppure la SP1.

    > - Non usa un qualsiasi sw anitvirus (MyDoom
    > lo beccano tutti, immagino anche nella sua
    > ultima variante se usano euristiche un
    > minimo decenti)

    L'antivirus in realtà l'hanno tutti, è che non aggiornano le definizioni (risposta tipo: "Ah perché, non basta averlo installato?")

    > - usa ie 6

    Ieri in genere avevo 2 risposte:
    1) "Sai, è uscito FF 1.0, è molto meglio di IE" "Perché, cos'ha IE che non va?"
    2) "Sai, è uscito FF 1.0, è molto meglio di IE" "No, no, è troppo complicato..." (?!?)

    > - non usa un qualsiasi firewall!

    Il 95% abbondante dei miei conoscenti non sa neppure cosa sia.

    Il discorso fondamentale è che è tutta colpa della pubblicità dei detergenti intimi. Ti fanno vedere che la gente si siede davanti al pc, tocca un tasto e, tac!, miracolosamente lui fa tutto da solo. Sai quanta gente ci crede? Non sono da disprezzare come "utonti", semplicemente non tutti coloro che usano il pc possono essere esperti di informatica come non tutti quelli che usano la macchina sono meccanici.
    non+autenticato
  • > semplicemente
    > non tutti coloro che usano il pc possono
    > essere esperti di informatica come non tutti
    > quelli che usano la macchina sono meccanici.

    No, non gli si chiede di essere meccanici, qui stiamo solo parlando di andare in giro in macchina *avendo* la patente.
    O giustifichi in uguale misura anche i pirati della strada?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)