Doomjuice, l'alba del worm mangiaworm

Per diffondersi non usa l'email ma sfrutta direttamente i PC infettati da MyDoom. Ha nel mirino il sito di Microsoft ed è il primo di una nuova sottospecie di worm auto-replicanti. Ma ha già un dispettoso fratello

Doomjuice, l'alba del worm mangiawormRoma - La più grande epidemia informatica della storia di internet, quella causata dalle due versioni di MyDoom, a pochi giorni dal suo climax ha lasciato infetti decine di migliaia di personal computer. Macchine che ora sono l'obiettivo preferenziale di due worm auto-replicanti che sfruttano proprio le debolezze di quei PC per diffondersi.

Il più virulento è Doomjuice, worm che qualcuno ora definisce MyDoom.C perché sfrutta i percorsi di infezione causati da MyDoom.A e MyDoom.B ma che, in realtà, rappresenta il capostipite di una nuova forma virale. Si tratta infatti del primo worm che scansiona la rete a caccia di PC già infettati da un worm precedente per replicarsi su di essi senza bisogno, evidentemente, di autospedirsi via email o convincere gli utenti a cliccare su un qualche file allegato.

Una volta installatosi sulla macchina infettata dal precedente MyDoom, Doomjuice interviene sul registro di Windows per garantirsi di essere riattivato ad ogni riavvio del computer e si copia nel file intrenat.exe nella cartellina di Sistema di Windows. A quel punto copia in diverse posizioni un file compresso che contiene il codice di MyDoom.A, dopodiché genera un alto numero di indirizzi IP a cui tenta di connettersi sulla porta TCP 3127, cioè la backdoor aperta dalle precedenti versioni di MyDoom. Se dagli IP contattati ottiene una risposta, Doomjuice si replica su quei computer.
Doomjuice ha come obiettivo il sito di Microsoft: la sua infezione, infatti, ancora una volta punta a coinvolgere il PC che infetta, in un attacco di massa (distributed denial-of-service) contro microsoft.com. Le incertezze del sito nel corso del week-end, quando non è sempre stato disponibile, hanno allarmato alcuni esperti sebbene ora il big di Redmond abbia rassicurato tutti affermando che la situazione è del tutto sotto controllo.

D'altra parte il numero di PC infettati da MyDoom che operatori del settore come Network Associates stimano siano ancora infetti, non dovrebbero essere più di 50-75mila mila in tutto il mondo. Il numero, sebbene elevato, è probabilmente di molte volte inferiore a quello dei PC infettati dalla prima ondata di MyDoom e sarebbe dunque destinato ad impedire a Doomjuice di provocare danni particolarmente gravi.

L'idea che si sono fatti gli esperti è che dietro Doomjuice ci sia la stessa mano che ha forgiato gli altri due codicilli rendendoli capaci di una riproduzione su vastissima scala, in grado di mettere in difficoltà il sito web preso di mira da MyDoom.A, quello della società americana SCO Group. Insensibile al fatto che sulla sua identità siano state poste taglie da 250mila dollari da parte della stessa SCO e di Microsoft, l'autore di questi worm con Doomjuice sta di fatto tentando, senza molto successo, di "aggiustare" il tiro corto di MyDoom.B che, come si ricorderà, soffriva di alcuni bug nella programmazione che hanno reso gran parte dei computer infetti incapaci di sferrare attacchi via internet.

Un aspetto che ha attirato l'attenzione degli esperti è il fatto che Doomjuice copia sui computer infetti anche il codice sorgente di MyDoom, una operazione del tutto inedita che, secondo alcune speculazioni, potrebbe essere dovuta al tentativo dell'autore del malware di non risultare in nessun caso l'unico possessore di quel codice sorgente. Mescolarsi alla folla degli infetti, dunque, potrebbe rappresentare una strategia per difendersi dall'eventuale accusa di aver creato e distribuito il worm. Una tesi tutta da comprovare, vista anche la sostanziale difficoltà che i centri antivirus e le forze dell'ordine stanno incontrando nel tentare di dare un volto, o almeno un nome, al virus writer.

A mimare le capacità di Doomjuice è anche un altro worm, Deadhat, che si sta diffondendo con meno virulenza del primo. Anche Deadhat sfrutta l'infezione dei worm precedenti e cerca di riprodursi, in generale, su tutti i computer connessi in rete al PC infetto. Sfrutta anche il client di SoulSeek, una piattaforma di condivisione file. Il suo scopo principale è quello di sostituirsi a MyDoom e, connettendosi ad un server Internet Relay Chat, attendere istruzioni che possono essere trasmesse dall'esterno, per esempio per istruire il computer colpito a partecipare ad un attacco denial-of-service...

Va detto che non è la prima volta in assoluto che un worm viene "rilasciato" per "agire" su un altro worm, si pensi al caso del worm per Linux noto come Cheese, ma è la prima volta che ciò avviene attraverso le backdoor sparse per tutta la rete da un worm precedente.
TAG: mondo
28 Commenti alla Notizia Doomjuice, l'alba del worm mangiaworm
Ordina
  • non c'e' modo di difendersi dai worm ?
    io al momento sto usando AVG che penso abbia un buon rapporto di VirusChecking / Peso Sorride
    Ma ho come l'impressione che non riesca ad intecettarmi i vari worm come myDoom & c.
  • Usa un firewall.

    Io uso Kerio Personal Firewall, perchè è più leggero di Zone Alarm (che dopo 10 ore di connessione sovraccarica la cpu in maniera assurda), poi perchè ti consente di scegliere in maniera più sensata le regole.

    In pratica ti crei una lista di regole che permettono di far
    accedere a internet solo i programmi che ritieni "fidati".
    Puoi impostare quale protocollo e range di indirizzi ip a cui tali programmi potranno connettersi.

    Alla fine metti 2 regole
    1) Che blocca qualsiasi pacchetto in arrivo che non rispetti le regole che hai messo.
    2) Blocca qualsiasi pacchetto in uscita che non rispetti le regole che hai messo, con questa regola un worm (salvo casi particolari *) non potrà mai connettersi.

    * Il worm potrebbe sfruttare qualche falla sul firewall, rendendolo di fatto inutile.

    Gli antivirus non servono contro i worm, quando ne escono di nuovi finchè non lo aggiorni è un inutile spreca-risorse.

    una faq per kerio personal firewall
    http://blarp.com/faq/faqmanager.cgi?toc=kerio

    se vuoi capirne di più procurati pure uno sniffer cerca
    ethereal
    commview
    su
    www.google.it
    non+autenticato
  • anche io uso Kerio da anni, prima la versione 2(ottima) ed adesso la versione 4 (rel11 assolutamente superlativa) che mi ha permesso di importare le impostazioni (packet filter) molto restrittive (applicativi, protocolli, porte ed indirizzi server remoti) che avevo gia' creato sulla versione 2.
    Io lo uso in ambiente desktop su rete lan protetta comunque da reverse gateway perimetrale.
    Per uso "domestico" cmq zone alarm (free) e' piu' che ottimo e sopratutto facilissimo da rendere operativo, mentre kerio richiede, per la configurazione, piu' esperienza e puo' decisamente disorientare l'utente non smaliziato.
    non+autenticato

  • - Scritto da: Anonimo
    [cut]
    > Per uso "domestico" cmq zone alarm (free) e'
    > piu' che ottimo
    Non ne sarei così sicuro: ZoneAlarm ha il vizietto di dare un sacco di avvertimenti inutili causati dalla normale vita di una rete IP.
    Viene quasi il sospetto che vogliano spaventare l'utente per convincerlo ad acquistare la (costosissima) versione pro.
  • io ti consiglio un ottimo firewell e un nav....NortonAnti-Virus 2004 per i firewellFicoso usa zone alarm oppure altri ce ne sn molti in internet cmq in Norton Anti-Virus 2004 è compreso anche un firewell buono!!!!!!!
    non+autenticato

  • - Scritto da: Max3D
    > non c'e' modo di difendersi dai worm ?
    si`, linux+iptables
    o se preferisci FreeBSD
    non+autenticato
  • Qua c'è un articolo su un ddos fatto al sito grc.com
    di Steve Gibson, inoltre spiega come sia riuscito
    a scovare e spiare la chat a cui i bot (le macchine infette) si
    collegavano.

    http://grc.com/dos/grcdos.htm
    non+autenticato
  • ma secondo me ha del genialeSorride
    non prendetela maleSorride
    non+autenticato

  • - Scritto da: Anonimo
    > ma secondo me ha del genialeSorride
    > non prendetela maleSorride

    beh e' molto piu' intelligente di clippy ... e pensa che questo manco lo paghi Sorride)

    seriamente parlando, e' da un po' di tempo che il modus operandi dei virus ha assunto quasi un forma di intelligenza..
    samu
    506
  • In effetti non c'è che dire... tanto di cappello. In effetti è un po' come ammirare il mitico Lupen. Ladro si ... ma con gran stile.Sorride
    Anlan
    1327

  • - Scritto da: Anlan
    > In effetti non c'è che dire... tanto
    > di cappello. In effetti è un po' come
    > ammirare il mitico Lupen. Ladro si ... ma
    > con gran stile.Sorride

    Si, si, e intanto grazie a questi fanatici, probabilmente di linux (dove altrimenti dovrebbe colpire un worm del genere se non l'odiata SCO?), la rete rallenta per il traffico prodotto da questi worm del mar caspio...bello, proprio bello...

    Lord Auberon
    non+autenticato
  • La rete rallenta per colpa degli utonti e di chi (o dovrei dire i quali) utilizza un o.s. che fà schifo; rifiutato dall'NSA e da tutte le istituzione scientifiche perchè inadatto e adatto solo a cliccatori.
    Imparassero l'informatica, inizierebbero a rifiutare quel ce**o di sistema operativo.
    non+autenticato

  • - Scritto da: Anonimo
    > La rete rallenta per colpa degli utonti e di
    > chi (o dovrei dire i quali) utilizza un o.s.
    > che fà schifo; rifiutato dall'NSA e
    > da tutte le istituzione scientifiche
    > perchè inadatto e adatto solo a
    > cliccatori.
    > Imparassero l'informatica, inizierebbero a
    > rifiutare quel ce**o di sistema operativo.

    Solita tendenza del tutto italica a confondere le vittime con i colpevoli... stupidaggini come la tua fanno capire che ci meritiamo i Tanzi e C. Chi ha scritto quel virus è un delinquente, nel caso non ti fosse chiaro, geniale, intelligente quello che vuoi ma che usa le sue capacità per danneggiare gli altri. Imparare l'informatica.... prima imparare a stare al mondo insieme agli altri anche su usano Windows, poi si vede....
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > La rete rallenta per colpa degli utonti
    > e di
    > > chi (o dovrei dire i quali) utilizza un
    > o.s.
    > > che fà schifo; rifiutato
    > dall'NSA e
    > > da tutte le istituzione scientifiche
    > > perchè inadatto e adatto solo a
    > > cliccatori.
    > > Imparassero l'informatica,
    > inizierebbero a
    > > rifiutare quel ce**o di sistema
    > operativo.
    >
    > Solita tendenza del tutto italica a
    > confondere le vittime con i colpevoli...
    > stupidaggini come la tua fanno capire che ci
    > meritiamo i Tanzi e C. Chi ha scritto quel
    > virus è un delinquente, nel caso non
    > ti fosse chiaro, geniale, intelligente
    > quello che vuoi ma che usa le sue
    > capacità per danneggiare gli altri.
    > Imparare l'informatica.... prima imparare a
    > stare al mondo insieme agli altri anche su
    > usano Windows, poi si vede....

    Giusto, l'azione in questione è da condannare in ogni caso, a prescindere dalle skills dimostrate dall'autore. Ma il tizio rispondeva ad un post nel quale si attribuiva al mondo Linux la paternità del worm. Non è una generalizzazione altrettanto sbagliata (e senza prove) ?
  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > La rete rallenta per colpa degli utonti
    > e di
    > > chi (o dovrei dire i quali) utilizza un
    > o.s.
    > > che fà schifo; rifiutato
    > dall'NSA e
    > > da tutte le istituzione scientifiche
    > > perchè inadatto e adatto solo a
    > > cliccatori.
    > > Imparassero l'informatica,
    > inizierebbero a
    > > rifiutare quel ce**o di sistema
    > operativo.
    >
    > Solita tendenza del tutto italica a
    > confondere le vittime con i colpevoli...
    > stupidaggini come la tua fanno capire che ci
    > meritiamo i Tanzi e C. Chi ha scritto quel
    > virus è un delinquente, nel caso non
    > ti fosse chiaro, geniale, intelligente
    > quello che vuoi ma che usa le sue
    > capacità per danneggiare gli altri.
    > Imparare l'informatica.... prima imparare a
    > stare al mondo insieme agli altri anche su
    > usano Windows, poi si vede....

    Sono d'accordo pienamente.
    detto da uno che non utilizza un sistema MS da almeno 10 anni!!!!
    Non vanno lodati ma definiti per quello che sono: criminali!
    Non confondiamo.
    Fan Linux

  • - Scritto da: Anonimo
    > La rete rallenta per colpa degli utonti e di
    > chi (o dovrei dire i quali) utilizza un o.s.
    > che fà schifo; rifiutato dall'NSA e
    > da tutte le istituzione scientifiche
    > perchè inadatto e adatto solo a
    > cliccatori.
    > Imparassero l'informatica, inizierebbero a
    > rifiutare quel ce**o di sistema operativo.

    quindi solo perché windows è un sistema operativo per utenti casalinghi e non è il migliore in circolazione è giusto che vengano scritti dei virus che infettano milioni di pc di ignari utenti solo per lanciare un ddos contro microsoft e sco? in parole povere colpiamone un milione per educarne 2?

  • - Scritto da: maciste
    > quindi solo perché windows è
    > un sistema operativo per utenti casalinghi e
    > non è il migliore in circolazione
    > è giusto che vengano scritti dei
    > virus che infettano milioni di pc di ignari
    > utenti solo per lanciare un ddos contro
    > microsoft e sco? in parole povere colpiamone
    > un milione per educarne 2?

    Di che cavolo vai cianciando ?

    1) Produrre un SO semplice in grado di essere usato da tutti non implica per forza il doverlo scrivere con i piedi o lasciarlo vulnerabile a qualsiasi idiota decida di "entrarci dentro", anzi, dovrebbe essere intrinsecamente più sicuro, lasciando ad una utenza più esperta\consapevole la possibilità di adottare settaggi più "spinti" ma potenzialmente più pericolosi

    2) Non è assolutamente vero che Windows è un SO da "casalinghi" visto che viene ancora usato sui desktop di milioni di imprese ed enti governativi.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: maciste
    > > quindi solo perché windows
    > è
    > > un sistema operativo per utenti
    > casalinghi e
    > > non è il migliore in circolazione
    > > è giusto che vengano scritti dei
    > > virus che infettano milioni di pc di
    > ignari
    > > utenti solo per lanciare un ddos contro
    > > microsoft e sco? in parole povere
    > colpiamone
    > > un milione per educarne 2?
    >
    > Di che cavolo vai cianciando ?

    Di quello che tu non sai leggere...ho detto semplicemente che non si può tralasciare il fatto che chi scrive virus è il primo colpevole, se io scrivo un virus per dimostrare che un sistema è farraginoso per quale motivo invece di infettare la mia macchina devo far circolare il virus rompendo le scatole a mezzo mondo? inoltre mydoom sfrutta prevalentemente la pessima abitudine di molte persone ad aprire qualunque puttanata ed eseguire qualunque cosa.

    > 1) Produrre un SO semplice in grado di
    > essere usato da tutti non implica per forza
    > il doverlo scrivere con i piedi o lasciarlo
    > vulnerabile a qualsiasi idiota decida di
    > "entrarci dentro", anzi, dovrebbe essere
    > intrinsecamente più sicuro, lasciando
    > ad una utenza più esperta\consapevole
    > la possibilità di adottare settaggi
    > più "spinti" ma potenzialmente
    > più pericolosi

    questa è una responsabilità di ms, ma non giustifica i virus writer

    > 2) Non è assolutamente vero che
    > Windows è un SO da "casalinghi" visto
    > che viene ancora usato sui desktop di
    > milioni di imprese ed enti governativi.

    utonti!