Slapper il verme frena ma si sdoppia

Sebbene il recente vermicello di Linux sembri ormai giunto al capolinea, i ricercatori avvertono dell'esistenza di una nuova e più temibile variante. Forse preso l'autore

Roma - Slapper, il vermicello per Linux in grado di creare una rete peer-to-peer di macchine infette, ha vistosamente rallentato la sua corsa e, secondo gli esperti di sicurezza, sembra ormai vicino a raggiungere il suo massimo livello di diffusione, che ad oggi è di oltre 7.000 macchine in tutto il mondo.

Se confrontato con flagelli del calibro di Code Red e Nimda - che lo scorso anno sono stati capaci di infettare centinaia di migliaia di sistemi - Slapper non si può certo considerare una terribile minaccia. Tuttavia la comunità di esperti sembra concorde nel ritenere questo vermone potenzialmente molto pericoloso, e questo sia per le tecniche d'infezione utilizzate che per la tipologia di server che colpisce (e-commerce, mailserver, VPN).

La minaccia non sembra però ancora del tutto finita. Una nuova sirena d'allarme arriva infatti dalla nota società di sicurezza Internet Security Systems (ISS) che, con un advisory pubblicato la scorsa domenica, sostiene di aver scoperto una prima variante di Slapper, chiamata Slapper.B, che avrebbe già infettato - al 22 settembre - circa 10.000 host. L'autore sarebbe un cracker di 21 anni originario dell'Ucraina.
ISS descrive questa variante come un semplice aggiornamento di Slapper che condivide con il verme originale le stesse tecniche d'infezione e la stessa capacità di installare sui sistemi compromessi backdoor e trojan per il lancio di attacchi di tipo distributed denial of service (DDoS): in più Slapper.B ha una nuova funzionalità per l'invio di e-mail verso l'indirizzo aion@ukr.net contenenti l'IP e il nome dell'host infettato e una nuova backdoor che si installa sulla porta 1052/tcp e può essere protetta da una password. Come Slapper.A, anche il B colpisce i server Linux/Apache con installata una versione vulnerabile del modulo mod_ssl, ma a differenza del suo predecessore il nome del processo con cui gira è "httpd", lo stesso di quello utilizzato dal server Web Apache.

Secondo quanto riporta il quotidiano Australian IT, la nuova variante di Slapper avrebbe già colpito 60 fra i maggiori ISP e aziende australiani e, in seguito alla sua capacità di generare grandi quantità di traffico, rischierebbe di collassare anche grandi infrastrutture di rete come quelle di banche e operatori telefonici.

ISS ritiene molto probabile l'arrivo, nei prossimi giorni, di nuove varianti di Slapper. Un motivo in più per applicare immediatamente la patch a OpenSSL là dove non sia ancora stato fatto.

Secondo alcune fonti non sempre attendibili, intanto, sarebbe stato arrestato negli USA un giovane programmatore accusato di essere l'autore del primo Slapper. Ma sono notizie non confermate mentre scriviamo.
18 Commenti alla Notizia Slapper il verme frena ma si sdoppia
Ordina