MyDoom, worm nato in Russia?

L'FBI sulle tracce degli autori del worm. Da SCO una taglia di 250mila dollari sui virus writer. Colpita una email su dieci. Mai prima un worm così infettivo. Spunta MyDoom.B, che se la prende con Microsoft

New York (USA) - Se mai verranno individuati l'autore o gli autori del worm MyDoom.A si può star certi che non la passeranno liscia: la quantità di danni causati dal worm, la sua enorme capacità di diffusione e le sue caratteristiche ne hanno fatto in poche ore, secondo gli esperti, il worm più infettivo della storia della rete.

Stando ai laboratori di McAfee, MyDoom ha superato di gran lunga i già eccezionali trend di distribuzione del worm SoBig.F, che la scorsa estate si è diffuso in modo tale da allertare gli osservatori di sicurezza di tutto il mondo. Mentre scriviamo, McAfee stima che una email su dieci sia infetta.

Il problema di questa epidemia, evidentemente, non è soltanto nell'intasamento globale di reti e mailbox che procede incessantemente ormai da quasi 72 ore, ma anche nel fatto che un componente del worm è studiato per trasformare i computer infetti in zombie, cioè in macchine controllabili da remoto, per far loro sferrare un attacco informatico contro il sito di SCO, www.sco.com.
Dinanzi a una tale situazione, è comprensibile che la stessa SCO abbia annunciato un premio da 250mila dollari per chiunque fornirà informazioni utili all'identificazione e all'arresto del creatore di MyDoom. In una nota diffusa nelle scorse ore, SCO ha chiesto a chiunque ne sappia qualcosa di contattare le forze dell'ordine. Un'idea simile, ben prima dell'epidemia attuale, l'aveva avuta Microsoft che associa le taglie sui virus writer a uno sforzo di collaborazione internazionale per la repressione del fenomeno.

Stando agli esperti antivirus, l'attacco contro SCO partirà il primo febbraio per fermarsi "automaticamente" il 12 febbraio. Qualcuno però, andandosi a guardare il monitoraggio di Netcraft sul sito di SCO, sostiene che in realtà l'attacco al sito stesso è già cominciato, come testimonierebbero la lentezza nelle risposte dei server e diversi altri problemi di connettività registrati in queste ore. C'è anche chi sostiene che, con tutto il caos generato da MyDoom, siano in molti in queste ore a recarsi sul sito di SCO in perfetta buona fede e questo potrebbe spiegare la difficoltà dei server dell'azienda a gestire il traffico straordinario.

SCO da parte sua non ha smentito che l'attacco sia già iniziato, sebbene il CEO dell'azienda, Darl McBride, abbia ricordato che "negli ultimi 10 mesi SCO è stata più volte vittima di attacchi DDoS" (distributed denial-of-service). "Questa volta - ha spiegato - la questione è più preoccupante perché non solo danneggia la nostra azienda ma anche i sistemi e la produttività di tantissime altre società e organizzazioni in tutto il mondo. Chi ha realizzato questo virus sta attaccando SCO ma colpendo allo stesso tempo anche tanti altri. Non conosciamo le origini di questo attacco anche se abbiamo dei sospetti. Questa è un'attività criminale che deve essere fermata".

Di interesse anche la netta presa di posizione della comunità open source contro gli autori di questo worm. Dopo alcuni post apparsi su Slashdot che applaudivano all'epidemia in quanto diretta contro il "nemico numero uno" SCO, Bruce Perens, guru del software libero, ha realizzato quelle che potrebbero essere definite linee guida sul come reagire al nuovo worm, indicando in particolare la necessità di condannare la creazione del worm e di prendere le distanze dall'uso di certi mezzi per combattere l'azienda. Come noto SCO da lungo tempo conduce una grande battaglia internazionale in cui, tra le altre cose, rivendica diritti sul sistema operativo open source Linux.

Ad ogni modo, sul caso di MyDoom sta indagando direttamente l'FBI. Un portavoce della polizia federale americana ha spiegato che "ancora non abbiamo fatto un quadro completo della situazione ma quanto sta accadendo è sufficientemente grave per spingere l'FBI ad indagare sulla vicenda". Intanto MessageLabs ha fatto sapere che la prima email infetta intercettata dal proprio sistema di monitoraggio delle epidemie proveniva dalla Russia. Non sarebbe peraltro la prima volta che un codice virale ad alta capacità infettiva viene generato in quel paese. Infine, in queste ore, è circolata la voce - non confermata - che anche l'unità speciale dedicata al terrorismo informatico dell'intelligence statunitense stia indagando su MyDoom.

Infine, nella serata di ieri alcuni osservatori antivirus hanno segnalato la diffusione di MyDoom.B, prima variante del worm, che sarebbe in tutto e per tutto identica alla prima solo che, questa volta, il sito preso di mira non sarebbe quello di SCO ma quello di Microsoft, www.microsoft.com.
TAG: microsoft
72 Commenti alla Notizia MyDoom, worm nato in Russia?
Ordina
  • tutti quelli che ritengono di non essere abbastanza considerati sul lavoro, quelli che pensano di avere uno stipendio troppo basso, quelli che hanno un capo carogna, quelli che ce l`hanno su con il system manager, quelli che si ritengono sfruttati, quelli che guardano camera caffe` e si immedesimano nei personaggi, quelli che vorrebbero avere un mac anche in ufficio, quelli che ...
    forse quelli il click sul virus lo hanno fatto apposta
    non+autenticato
  • > forse quelli il click sul virus lo hanno
    > fatto apposta
    è una patch?
    non+autenticato
  • su salvapc news di oggi (la newsletter di punto informatico che avvisa dei pericoli più grossi) si legge, a proposito di mydoom.b:

    ---
    Oltre alla raccomandazione di non aprire gli allegati delle email sospette, bisogna anche considerare che questi possono apparire come dei normali file di testo (.txt), innocui documenti (.doc) o semplici pagine Web (.htm). In realta' sono estensioni che mascherano la vera natura del file allegato: il worm possiede infatti quella che viene chiamata "doppia estensione" e che molti programmi di posta elettronica non sono in grado di visualizzare. Quindi dietro un file che appare come un testo (.txt) si puo' tranquillamente celare, ad esempio, un esecutibile (.exe).
    ---

    Però: quali sono i programmi di posta che mostrano il nomefile (inteso come completo di estensione/i) di un allegato 'tagliando' quello che segue la prima estensione (il secondo punto, diciamo)?

    mozilla thunderbird e agent no, per esempio:
    se mi arriva mail con allegato "behappy.txt.rtf.pdf.exe"
    io leggo "allegato behappy.txt.rtf.pdf.exe"

    Quali sono i programmi che tagliano il nomefile completo dopo la prima estensione? qualche versione di outlook, per esempio? non lo so, chiedo.

    e poi: se uno guarda una mail "così com'è" (in formato raw), vede che il nomefile completo di un eventuale allegato alla mail, nella mail è definito così:

    name="documento_importante.txt.gif.pdf.exe"
    filename="documento_importante.txt.gif.pdf.exe"

    E' certamente più *complicato* (richiede più sbattimento e *volontà*) per un programmatore che lavora a un client di posta fare in modo che questo tagli il nomefile completo dopo la prima estensione (riportando a schermo, nell'esempio, "documento_importante.txt") rispetto al fare in modo che il nomefile venga riportato dal client completo, così come sta scritto nella mail.
    non+autenticato

  • - Scritto da: Anonimo
    > su salvapc news di oggi (la newsletter di
    > punto informatico che avvisa dei pericoli
    > più grossi) si legge, a proposito di
    > mydoom.b:
    >
    > ---
    > Oltre alla raccomandazione di non aprire gli
    > allegati delle email sospette, bisogna anche
    > considerare che questi possono apparire come
    > dei normali file di testo (.txt), innocui
    > documenti (.doc) o semplici pagine Web
    > (.htm). In realta' sono estensioni che
    > mascherano la vera natura del file allegato:
    > il worm possiede infatti quella che viene
    > chiamata "doppia estensione" e che molti
    > programmi di posta elettronica non sono in
    > grado di visualizzare. Quindi dietro un file
    > che appare come un testo (.txt) si puo'
    > tranquillamente celare, ad esempio, un
    > esecutibile (.exe).
    > ---
    >
    > Però: quali sono i programmi di posta
    > che mostrano il nomefile (inteso come
    > completo di estensione/i) di un allegato
    > 'tagliando' quello che segue la prima
    > estensione (il secondo punto, diciamo)?
    >

    Non so se la mia risosta soddisfa la tua curiosità, comunque voglio dirti che la doppia estensione questi bastardi hanno trovato un modo semplice di nasconderla ben bene. Io qui ho una macchina linux redhat 8, il che mi da una certa libertà di movimento rispetto agli utenti windows. Recentemente mi è arrivato uno di questi virus, ed io l'ho salvato sul mio hard disk e poi ho cercato di avviarlo sotto wine (tanto a me non può far danni), per vedere coa succedeva. L'allegato risultava curiosamente un file zippato contenente un eseguibile con doppia estensione cosi':

    fle.txt                                             .scr

    cioè l'estensione vera veniva dopo moltissimi spazi (caratteri) bianchi, per cui è molto probabile che se anche il tuo pc te la farebbe vedere, tu la seconda estensione non la vedi perché esce oltre il margine di visualizzazione dei nomi dei file. Nel mio caso, poi, come dicevo il virus era compresso (forse lo fanno per aggirare i vari scanner antivirus sui server, non so). Tanto poi Outlook apre... avvia... fa tutto lui Sorride

    Quando ho decompresso il virus ed ho avviato l'eseguibile sotto wine, facendogli infettare una partizione fake_windows, lui ha fatto partire un notepad (credo fosse il suo, perché io non ho quell'editor di testo con quel nome), con dentro caratteri casuali a simulare un file corrotto, e mi ha depositato due file nella directory "\windows\system" del wine: shimgapi.dll (4096 bytes) e taskmon.exe (22528 bytes.). Inoltre si è regstrato nel registry di wine.

    A questo punto nel suo caso è finita li, perché poi il virus non può alterare nulla nel mio account, e wine non lo uso certo per la posta elettronica, quindi indirizzi non ne trova. Non credo neppure che sarebbe in grado di comunicare su internet, perché il mio wine non è configurato in quel senso e non vede la rete. A questo punto uno rimuove i componenti del virus e ripulisce il registry (l'utility RegClean di Microsoft sotto wine funziona egregiamente Sorride ), e ringrazia il cielo di non usare il grande fratello.

    Fan Linux
    non+autenticato
  • a quanto pare è proprio vero che la percentuale di sciocchi sia costante indipendentemente dal campione di popolazione che viene preso in considerazione.
    io non me la prenderei più di tanto nè con i writer nè con gli utonti, che semplicemente fanno il loro mestiere di writer e di utonti, quanto piuttosto con i gestori dei server di posta.
    io nel mio piccolo mantengo 6 siti con relativi server web e pop/smtp, ed un semplice serverino come il merak i messaggi con MyDoom semplicemente li butta nel cesso e morta lì.
    ci va tanto? cosa k@220 costa aggiungere, al limite, una postilla da qualche parte che dice "accetto che i messaggi a me diretti contenenti virus vengano automaticamente cestinati."?
    giuro, non lo riesco proprio a capire!
    non+autenticato

  • - Scritto da: Anonimo
    > semplice serverino come il merak i messaggi
    > con MyDoom semplicemente li butta nel cesso
    > e morta lì.

    Giusto. Il mio provider POP3/SMTP ogni volta che mi arriva un virus, semplicemente lo stronca lì e mi deposita nella casella un messaggio tipo quello qui sotto, contenente in ogni caso la porzione di messaggio in formato testo che dovesse restare dopo la pulitura. Ed il srvizio è pure gratuito.


    *************************** WARNING ***************************
    This message has been scanned by MDaemon AntiVirus and was found to contain infected attachment(s). Please review the list below.

    Attachment                    Virus name               Action taken
    ----------------------------------------------------------------------
    file.cmd                     I-Worm.Mydoom.a         Removed


    **********************************************************************

    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
    non+autenticato
  • Un props a tutti questi cretini che nonostante gli si continui a dire di tenersi le mani a posto, continuano a cliccare su ogni cosa vedano.
    Potrebbero fare un cliccami.bat con un deltree c:\*.* e qualcuno di questi dementi ci cadrebbe...
    Contro questo tipo di virus che sfruttano la stupidita'dellútente non c'e' thunderbird che tenga, ci vuole un antivirus ben aggiornato(e spesso non basta) oppure il cervello funzionante(che basta e avanza)
    non+autenticato
  • fino ad oggi, non mi aveva mai scritto un cazzo di nessuno.
    ND
    43

  • - Scritto da: ND
    > fino ad oggi, non mi aveva mai scritto un
    > cazzo di nessuno.

    ahahahhahahaahahah!!!!!
    non+autenticato

  • - Scritto da: ND
    > fino ad oggi, non mi aveva mai scritto un
    > cazzo di nessuno.

    Eheehhe, che dire, mitttticcco! =)
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 16 discussioni)