Allarme USA per W32-Leaves.worm

Allarme USA per W32-Leaves.worm

La divisione specializzata dell' FBI avverte: c'è un codicillo, che viene diffuso attraverso il trojan Subseven, che può scatenare attacchi DDoS. L'allarme non è molto elevato ma amministratori e produttori finiscono sotto accusa
La divisione specializzata dell' FBI avverte: c'è un codicillo, che viene diffuso attraverso il trojan Subseven, che può scatenare attacchi DDoS. L'allarme non è molto elevato ma amministratori e produttori finiscono sotto accusa


Washington (USA) – “Il NIPC ha ricevuto informazioni di recente su tentativi di localizzare e impiantare un worm noto come W32.Leaves.worm su computer già colpiti dal cavallo di troia Subseven. Questa novità richiede che tutti gli utenti di sistemi Microsoft prendano precauzioni contro Subseven e le sue varianti e, se si ritrovano colpiti, immediatamente attivino le procedure di rimozione di Subseven”.

Comincia così l’advisory ufficiale rilasciato dal National Infrastructure Protection Center, divisione specializzata della polizia federale americana. Un advisory che ancora una volta parla del “celebre” codice Subseven, che consente di controllare da remoto i computer “infettati” ma che questa volta aggiunge al pericolo Subseven un nuovo pericolo, un worm che può essere inserito attraverso Subseven nei computer già infetti.

Il pericolo è dunque doppio, sebbene la diffusione di questo worm potrebbe consentire ad utenti che siano stati infettati da Subseven di accorgersi dell’accaduto.

Secondo i labs di Symantec, questo worm è pensato per scaricare componenti aggiuntivi da certi siti web oltre a contenere codici capaci di accettare certi comandi diffusi via Internet Relay Chat (IRC), l’ambiente di “diffusione” originario per Subseven.

Il worm è composto di diversi componenti:
Bin.dll
Registry.dll
Regsv.exe
Rg32.dll
Aci32.dll

Quando Regsv.exe viene fatto girare, si auto-copia nella directory di Windows e poi si attiva. A quel punto crea una serie di chiavi e valori di registro che cambiano a seconda della versione di Windows utilizzata dal computer colpito.

Fatto questo, l’originario.exe viene cancellato e viene invece creato il file Aci32.dll che contiene la URL cifrata del file da scaricare. Per rimuovere il worm e Subseven è sufficiente attivare il proprio antivirus con le definizioni aggiornate.

Sulle “ragioni” di questo worm si è espresso Vincent Gullotto, direttore del centro antivirus di Network Associates. Secondo Gullotto il comportamento del worm “può indicare che si sta preparando a fare qualcosa. Il governo è essenzialmente preoccupato che possa attivare attacchi denial-of-service”. Gullotto ha anche anticipato che se nei prossimi giorni non succederà niente di nuovo, l’allarme dovrebbe rientrare. E ha specificato che “al momento nessuno è davvero preoccupato per questo nuovo worm”.

Un’accusa agli amministratori di sistema e al modo in cui vengono dati gli allarmi antivirus arriva invece da Neohapsis. Secondo Greg Shipley, dirigente dell’azienda di sicurezza, “si tende a pensare in modo pratico ma non strategico”. Secondo l’esperto bisogna anticipare le infezioni e non aspettare che si verifichino: “La prima cosa da fare è patchare i server e aggiornare le patch quando escono, ma si tratta di una mossa tattica. Sul piano strategico bisogna che i produttori di software si prendano qualche responsabilità per i bug che si trovano sui loro server”.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
27 giu 2001
Link copiato negli appunti