1.04.2004

Aumenta il livello di attenzione per il virus Netsky

Aumenta il livello di attenzione per il virus Netsky: arrivato circa un mese fa dal Sol Levante, Netsky si è propagato oramai fino all'Europa e oggi ha già  infettato tutto il mondo, causando numerosi problemi alla spedizione e ricezione della posta elettronica.
Allarme per il virus Netsky La diffusione del virus avviene infatti via posta, sfruttando un proprio sistema SMTP per la spedizione dei messaggi e cercando gli indirizzi email da utilizzare sia come mittenti che come destinatari dei messaggi infetti nei file presenti sui computer colpiti.
A destare maggiore preoccupazione e' la variante K di Netsky. Tra i suoi obiettivi anche la cancellazione di voci del registro di Windows, allo scopo di compromettere il funzionamento di alcuni dei piu' diffusi software, tra i quali anche quelli di sicurezza e antivirus.

Netsky.K e' difficile da riconoscere perche' utilizza una libreria di parole e frasi in inglese dalla quale sceglie a caso sia il soggetto che il testo del messaggio di posta elettronica che poi invia agli indirizzi recuperati nei dischi del computer infettato.

Funzionamento del virus:
una volta contratto il virus, quest'ultimo utilizza il proprio motore SMTP per inviarsi a tutti gli indirizzi di pop che riesce a reperire.

Le caratteristiche del messaggio e-mail sono le seguenti:
Da: mascherato

Oggetto: (Alcuni possibili oggetti sono elencati di seguito)
• Re: Encrypted Mail
• Re: Extended Mail
• Re: Status
• Re: Notify
• Re: SMTP Server
• Re: Mail Server • Re: Delivery Server
• Re: Bad Request
• Re: Failure
• Re: Thank you for delivery
• Re: Test
• Re: Administration
• Re: Message Error
• Re: Error
• Re: Extended Mail System
• Re: Secure SMTP Message
• Re: Protected Mail Request
• Re: Protected Mail System
• Re: Protected Mail Delivery
• Re: Secure delivery
• Re: Delivery Protection
• Re: Mail Authentification

Corpo del messaggio: (Alcuni esempi di corpo del messaggio sono elencati di seguito)
• Please see the attached file for details
• Please read the attached file!
• Your document is attached.
• Please read the document.
• Your file is attached.
• Your document is attached.
• Please confirm the document.
• Please read the important document.
• See the file.
• Requested file.
• Authentication required.
• Your document is attached to this mail.
• I have attached your document.
• I have received your document. The corrected document is attached.
• Your document.
• Your details.
Questi dati possono cambiare, a causa della sua continua evoluzione.

Qui di seguito vengono riportate alcune dichiarazioni di agenzie di informazione ed operatori attivi nel mondo dell'Internet Security che espongono il problema. Symantec mette a disposizione uno strumento di controllo e rimozione (removal tool) che, una volta eseguito, cerca il virus nel computer e lo debella; lo strumento, di cui riportiamo di seguito il link per il download, è gratuito.

ANSA: Tlc: allarme virus medio lanciato da Trend Micro
ROMA, 23 MAR - Trend Micro, azienda giapponese tra i leader negli antivirus di rete ha dichiarato un allarme di livello medio per worm -Netsky.P. Lo annuncia una nota, da cui si apprende che questa nuova variante di Netsky, segnalata fino ad ora in Europa ed in Asia, e' il nuovo 'virus' nella ormai nota guerra fra i creatori di 'Netsky' e di 'Bagle'. I virus writers stanno rendendo sempre piu' complesse le loro creazioni, nel tentativo di mettere fuori gioco i concorrenti.
2004-03-23 - 17:27:00

SYMANTEC:
In data 22.03.04, a causa di un aumento di casi di infezione rilevati, il Symantec Security Response ha modificato il livello di gravità  di W32.Netsky.P@mm, portandolo dalla categoria 2 alla categoria 3. W32.Netsky.P@mm, (noto anche come W32.Netsky.Q@mm) è un worm di distribuzione di massa che utilizza il proprio motore SMTP per inviarsi agli indirizzi e-mail che trova eseguendo una scansione delle unità  fisse e di quelle mappate. Il worm tenta anche di diffondersi tramite vari programmi di condivisione file copiandosi in varie cartelle condivise.

La riga Da del messaggio e-mail è mascherata mentre la riga Oggetto e corpo del messaggio possono variare. Il nome dell'allegato varia, con estensione .exe, .pif, .scr, o .zip.
Il worm sfrutta la vulnerabilità  Incorrect MIME Header Can Cause IE to Execute E-mail Attachment per autoeseguirsi su sistemi non protetti da patch alla lettura o anteprima di un messaggio di posta infetto.

> Removal tool di Symantec
> Comunicato ANSA
> Comunicato Symantec
> Comunicato Bol

GRAZIE

La tua richiesta è stata inoltrata.
OK