Un troiano gira per la Rete. Armato

Il codice sarebbe ormai diffuso su centinaia forse migliaia di server e potrebbe essere utilizzato per sviluppare attacchi di Distributed Denial of Service. Lo ha annunciato la ISS che ha alzato il proprio livello ufficiale di allarme

Un troiano gira per la Rete. ArmatoAtlanta (USA) - Passa da allarme 3 ad allarme 4 (5 è il massimo), il livello di attenzione della Internet Security Systems sul cavallo di troia noto come SubSeven DEFCON8 2.1.

Il trojan horse, hanno annunciato i ricercatori della ISS, sarebbe già stato rilevato su più di 800 server controllati dall'azienda di sicurezza, elemento che può indurre a ritenere che siano migliaia i computer di rete nei quali DEFCON8 si sia installato.

Stando agli esperti, il troiano si è diffuso sui newsgroup di Usenet sotto falso nome, ovvero all'interno di file dai nomi "accattivanti", tra questi anche "SexxxyMovie.mpeg.exe" (ma il nome cambia ad ogni installazione). Il parere dei ricercatori ISS è che il codice e la sua installazione così ampiamente distribuita serva a chi lo sta utilizzando per collaudare nuove strategie e pratiche di attacco nell'ambito delle aggressioni Distributed Denial of Service (DDoS). Come si ricorderà, si tratta di attacchi che mettono in crisi i server vittima con l'invio massiccio di richieste e pacchetti fino a provocarne il collasso.
In questo caso, il trojan serve ad aprire una back door nel sistema colpito. Una volta "dentro", DEFCON si collega ad un canale IRC per notificare l'avvenuto insiediamento nella macchina dove si trova.

Il direttore di X-Force, la divisione di ISS che si occupa della cosa, Chris Rouland, teme che nuovi attacchi potrebbero essere in arrivo con l'avvicinarsi della stagione natalizia e del previsto "boom" del commercio elettronico: "Si tratta di un campanello d'allarme per la sicurezza su Internet. Questo codice è stato sviluppato per non essere individuato da programmi antivirus. E cresce il numero di troiani che sfruttano le comunicazioni via IRC e la crittazione per nascondersi sempre meglio".

Per individuare DEFCON8 2.1 nei propri sistemi, X-Force suggerisce di verificare se la porta 16959 sia aperta e se una connessione a quella porta corrisponda a PWD. Con il client SubSeven 2.1 è possibile collegarsi alla macchina infetta utilizzando come password "acidphreak". Tutte le istruzioni da seguire da quel momento in poi si trovano qui.