Web – La nota firma di sicurezza SecurityFocus ha annunciato negli scorsi giorni di aver identificato un nuovo strumento virale che combina le caratteristiche tipiche di un tool per attacchi di distributed denial of service (DDoS) a quelle di un Internet worm.
Il nuovo vermicello, conosciuto con il nome di “Voyager Alpha Force”, colpisce i sistemi su cui gira Microsoft SQL Server nella sua configurazione standard, che prevede un account di amministrazione senza password. Nei giorni seguenti il SecurityFocus ARIS Incident Analysts ha scoperto che il worm è in grado di analizzare tutti gli account di System Administrator alla ricerca di password specificate dall’assalitore.
Quando riesce a penetrare in un sistema, il worm cerca di scaricare dalla rete e installare due cavalli di Troia, “win32mon.exe” e “dnsservice.exe”, che possono dare ad un cracker il controllo del server. Questi file potrebbero comunque cambiare nome e locazione rendendo più difficile arginare le attività del virus.
Voyager può essere controllato da un assalitore attraverso IRC, uno strumento di comunicazione già utilizzato in passato da altri worm per diffondersi e lanciare attacchi DDoS.
Gli esperti di sicurezza consigliano agli amministratori di sistema di chiudere la porta 1433, che è quella utilizzata dal worm per analizzare la rete alla ricerca di altri server vulnerabili ove potersi replicare.
Al momento, il worm avrebbe infettato poco più di 300 macchine: nulla in confronto a “enfant terrible” come Nimda o Code Red, tuttavia Elias Levy, CEO di SecurityFocus.com, sostiene che Voyager “è un’arma che aspetta solo che qualcuno prema il grilletto”. Gli esperti temono inoltre eventuali varianti più maligne ed in grado di mascherarsi con più efficacia.
Per fortuna – sostengono alcuni esperti – non sono molti gli amministratori di sistema che commettono un errore così grossolano come quello di lasciare attivo, in SQL Server, un account di super utente privo di password.