Roma – L’ennesima variante del flagello di bit&byte MyDoom torna a turbare il sonno degli utenti di Internet Explorer, questa volta facendo leva su di una breccia del browser di Microsoft ancora senza toppa.
Il nuovo worm, chiamato MyDoom.ah , si diffonde utilizzando una recente vulnerabilità di IE 6 legata alla gestione di certi attributi del tag “IFRAME”. Mydoom.ah arriva nelle mailbox sottoforma di e-mail che, invece del classico allegato, contiene un semplice link: se lo si clicca con una versione di IE vulnerabile, e non si dispone di un antivirus aggiornato, si contrae immediatamente l’infezione.
“Ad oggi, i ricercatori McAfee AVERT hanno ricevuto oltre 100 campioni del worm provenienti da tutto il mondo”, ha affermato McAfee. “La maggior parte dei campioni proviene dagli Stati Uniti”.
La nota società di antivirus ha spiegato che Mydoom.ah è un worm di tipo mass mailing capace di collezionare gli indirizzi e-mail dai file e dalla rubrica locali e inviare ad ognuno di essi una copia di se stesso utilizzando il proprio motore SMTP. Come si è detto, questa variante di Mydoom non contiene allegati, bensì un link che punta al sistema infetto che ha inviato il messaggio. Ciccando sul link si accede a un server Web che gira sul sistema compromesso: questo distribuisce un file HTML contenente il codice capace di sfruttare il buffer overflow relativo al tag IFRAME per eseguire automaticamente il virus. Il worm tenta anche di entrare in comunicazione col proprio “padrone” attraverso IRC.
MyDoom è un worm particolarmente sofisticato che, per il metodo di infezione utilizzato, si distingue sia dai suoi diretti predecessori che dai più comuni tipi di worm in circolazione.
L’oggetto del messaggio con cui si diffonde la nuova variante di MyDoom può contenere le parole “hi!”, “hey!”, “Confirmation” o “blank”, e come corpo della mail una falsa comunicazione di PayPal, messaggi a sfondo erotico od altri testi che invitano l’utente ad iscriversi a servizi pornografici od a guardare una webcam privata.
C’è da sottolineare come il bug di IFRAME affligge soltanto gli utenti che utilizzano IE 6 su Windows XP SP1 o Windows 2000: sono pertanto immuni coloro che usano precedenti versioni di IE e di Windows o che hanno installato il Service Pack 2 per Windows XP.
In questi giorni è stato segnalato anche un nuovo cavallo di Troia, chiamato Delf-HA, capace di utilizzare i PC per inviare messaggi SMS di SPAM su certi numeri mobili russi. Ciò che ha attratto l’attenzione degli esperti di sicurezza è che questa tecnica di spamming potrebbe essere utilizzata per colpire anche altri network cellulari.
Negli scorsi giorni è invece stata scoperta una nuova debolezza di IE 6, descritta in questo advisory di Secunia, che potrebbe essere sfruttata da malintenzionati per verificare la presenza o meno sul computer dell’utente di un certo file. Da sola, questa vulnerabilità non è pericolosa, ma potrebbe diventarlo se associata ad altre falle. Anche in questo caso gli utenti che hanno installato l’SP2 per Windows XP sono immuni dal problema.