Attenti al nuovo Worm_Bagle.B, altimenti detto W32/Bagle.b@MM, o W32.Alua@mm

NetworkProvider e servizi Internet

TrendMicro ha classificato l worm residente in memoria di tipo
«mass-mailer» comeRischio Medio.

Trend Micro avvisa gli utilizzatori di computer di una nuova variante del worm Bagle, chiamato Worm_Bagle.B . Le prime segnalazioni di questo worm residente in memoria di tipo «mass-mailer» sono pervenute dalla Francia. Successive segnalazioni sono giunte anche dalla Germania, dagli USA e dal Cile ed hanno portato alla dichiarazione dell’allarme di livello «medio» alle ore 14.46 GMT. Da quell’ora, segnalazioni sono giunte anche da Spagna e Svezia. Questo worm che risiede in memoria si propaga tramite un massiccio invio di mail utilizzando il protocollo SMTP (Simple Mail Transfer Protocol), oppure attraverso la porta 8866, forse come una backdoor. (La variante Bagle. A utilizzava la famosa porta IRC 6777). La porta 8866 è un di solito aperta su alcuni firewall, ed ha alcuni riferimenti al servizio di messaggistica «’Ultima Online «. Sono attualmente in corso ulteriori analisi da parte di Trend Micro per capire con precisione quali comandi accetta questa porta. In ogni caso, sarebbe quasi certo supporre che agisca allo stesso modo della backdoor del precedente codice maligno’ si scarica per l’esecuzione e l’aggiornamento – in quanto fornisce le funzionalità per recuperare varie informazioni dai computer e dati di tipo confidenziale. Il messaggio di posta che spedisce contiene i seguenti dettagli, raccoglie gli indirizzi dalle macchine infette e falsifica l’indirizzo del mittente.

Così, nonostante continui avvisi agli utilizzatori dei computer, sembrerebbe che tuttora molti non siano consapevoli del pericolo che scaturisce dall’apertura di tali file, specialmente quando l’icona è di tipo MS-DOS. Una volta che il file passa nel sistema, si camuffa da icona di Windows Sound Recorder nella cartella di sistema di Windows, tentando di lanciare il «vero» Windows Sound Recorder per nascondere le sue attività ( a differenza di BAGLE.A che tentava di lanciare la «Calcolatrice»). Come la variante .A, BAGLE.B cerca di collegarsi ad una lista di server compromessi e «webboards» che servono la pagina «1.PHP», la sola differenza è che ora controlla anche «2.PHP». Sembra che tutti i siti compromessi siano in Germania (DE). Curiosamente, uno dei siti a cui BAGLE.B si connette pare essere un sito di gioco (http://intern.games-ring.de), suggerendo in qualche modo che l’autore sia un avido giocatore di «Ultima Online». Il worm non funziona sui sistemi con data a partire dal 25 Febbraio 2004, giorno in cui è programmato per fermarsi. Jamz Yanenza, Senior Antivirus Consultant di Trend Micro afferma: «BAGLE.A è stato scoperto il 18 Gennaio ed era programmato per estinguersi il 28 Gennaio, cioè dopo un periodo di 10 giorni di attacco. Da parte sua BAGLE.B è impostato per terminare il 25 Febbraio. Sebbene l’allerta sia di oggi, circa 8 giorni prima della sua fine, questo codice maligno ha impiegato un po’ di tempo per essere notato, poiché probabilmente in origine è stato distribuito il 15 Febbraio ed ha ottenuto il suo massimo slancio solo oggi. Questa appare una idea che accomuna gli attuali autori di worm, allo stesso modo delle numerose varianti di SOBIG e MYDOOM, Ci sono molte teorie sulle porte di tipo «backdoor», ma in questa fase è difficile determinare le esatte intenzioni, poiché un sistema compromesso può essere utilizzato per fare molto altro’ spam relay, furto di dati, controllo remoto e così via.» Il codice maligno funziona su Windows 95,98,ME, NT,200 e XP. La dimensione totale della nuova variante è più piccola di quella originale: Worm_Bagle.A (15.872 Bytes) vs. Worm_Bagle.B (11.264 Bytes). Secondo il WTC (il sistema di rilevazione delle infezione online di Trend Micro) la variante originale (Worm_Bagle.A) causò all’incirca 31.000 infezioni. Alle 9:42 PST del 17 Febbraio, ci sono state segnalati 8 casi di utenti infetti. Si suppone che questo numero sia superato nel giro di pochi giorni. I clienti Trend Micro dovrebbero scaricare il pattern file 767, quelli del Outbreak Prevention Services la OPP 78 per assicurarsi che i loro sistemi siano protetti contro quest’ultima minaccia. Tutti gli altri utenti dovrebbero utilizzare Housecall, lo scanner gratuito online di Trend Micro, che può essere scaricato all’indirizzo http://housecall.trendmicro.com/ . Per le ultime informazioni siete pregati di visitare il sito : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.B

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore