Attenti al W32/Bugbear@MM, il worm mass mailing che altera le impostazioni di sicurezza dei programmi

SicurezzaSoluzioni per la sicurezza

McAfee Avert assegna una valutazione di rischio medio al nuovo worm

Avert (Anti-Virus Emergency Response Team), la divisione di ricerca anti-virus di Network Associates Inc. ha assegnato una valutazione di rischio medio al virus W32/Bugbear@MM, conosciuto semplicemente come Bugbear. Bugbear un worm mass mailing dannoso che si diffonde tramite condivisioni di rete e si autoinvia utilizzando la posta elettronica e la rubrica indirizzi locale dellutente. Contiene inoltre un componente backdoor Trojan che include funzionalit di keylogging. stato segnalato ai laboratori di ricerca McAfee AVERT UK ieri mattina, ed stato individuato in vari paesi tra cui Stati Uniti, Inghilterra e India. Bugbear si autoinvia tramite posta elettronica agli indirizzi presenti nella rubrica presente sul sistema locale dellutente. Una volta attivo sul PC della vittima, Bugbear si duplica nel sistema di directory di Windows come un file qualsiasi eseguibile con lestensione .exe. La chiave del Local Machine Registry settata in modo da agganciarsi al successivo avvio del sistema. Il worm quindi si duplica nella cartella di Avvio sul Pc della vittima come ***. exe, dove *** indica un file a caso. Gli utenti devono immediatamente cancellare i messaggi di posta elettronica che contengono certe parole nelloggetto, nel corpo del messaggio o nel nome dellallegato. Bugbear utilizza varie intestazioni nelloggetto Found, Daily Email Reminder, Just a reminder, Lost, Market Update Report, Membership Comfirmation, Your News Alert. Trovate la lista completa delle possibili intestazioni delloggetto allindirizzo http://vil.nai.com/vil/content/v_99728.htm . Il corpo del messaggio e il nome dellallegato possono variare. abbastanza comune che il nome dellallegato contenga una doppia estensione come .doc.pif. I messaggi in uscita utilizzano lintestazione sbagliata MIME in Microsoft Internet Explorer, che pu portare IE a eseguire gli allegati di posta in versione 5.01 o 5.5 senza SP2. Per quanto concerne il componente Trojan, Bugbear apre una porta sul computer della vittima, la porta 36794 e cerca vari processi in esecuzione, bloccandoli quando li trova. La lista dei processi include molti prodotti antivirus e firewall personali diffusi. Deposita una DLL sul computer della vittima collegata al keylogger. Questa DLL viene individuata come PWS-Hooker-dll. Una volta che Bugbear ha infettato un computer, cercher di terminare il processo dei programmi di sicurezza del computer. Per esempio Ackwin32.exe; Cleaner.exe; Espwathc.exe; Findviru.exe; F-Agnt95.exe; Navapw32.exe; Rescue.exe; Safeweb.exe; Zonealarm. La lista completa dei programmi di sicurezza interessati disponibile allindirizzo http://vil.nai.com/vil/content/v_99728.htm . Per prevenire o ripulire un PC infettato, informazioni dettagliate e rimedi sono disponibili immediatamente online sul sito McAfee Avert ( http://vil.nai.com/vil/content/v_99728.htm ). Gli utenti di McAfee VirusScan devono aggiornare i loro sistemi da questo indirizzo e utilizzare il file DAT 4226 per bloccare i danni potenziali.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore