Cè un virus in rete che sfrutta le password deboli di Windows

NetworkProvider e servizi Internet

Il virus, chiamato Deloder cerca di infettare e diffondersi attraverso macchine Windows con password di default deboli, oltre a provare a installare un componente backdoor.

Secondo Symantec, il virus si sta già diffondendo, quantunque in modo contenuto, per ora. Si diffonde analizzando indirizzi IP random, cercando di connettersi alla porta 445. La porta 445 consente di accedere alla condivisione file di Windows. Un problema nel traffico internet causato da un virus durante il weekend sarebbe in gran parte imputabile a password inefficaci e a insufficienti misure di sicurezza, sostengono gli esperti. Il virus Deloder, che si diffonde attraverso le macchine Windows che hanno abilitata la condivisione dei file, potrebbe aver colpito fino a 10.000 sistemi utilizzando un elenco di 86 password per riuscire a entrare in computer con Windows NT, 2000 e XP. Se non si tratta ancora di unepidemia, questo nuovo attacco sottolinea comunque che frequentemente le persone scelgono password facili da indovinare per proteggere i loro computer. Che si tratti di un virus o di un umano che cerca di accedere ad una macchina, le parole della lingua inglese sono facili da indovinare spiega Steve Trilling, direttore delle ricerche per la sicurezza di Symantec. Le password sono il punto debole per eccellenza nella armatura di Internet, sfruttato frequentemente dai virus. Il recente virus LovGate, apparso due settimane fa, utilizza un elenco di 16 password come modo secondario per infettare i computer. Deloder, invece, chiamato anche W32.HLLW.Deloder da Symantec e W32/Deloder.worm da Network Associates, utilizza il suo più lungo elenco come attacco primario contro i computer collegati ad internet. Non sorprende che i compilatori di virus abbiano cominciato ad utilizzate questa tecnica. Secondo alcune stime, un terzo delle password utilizzate sui computer possono essere indovinate provando sistematicamente tutte le parole di un piccolo dizionario. Attacchi limitati, come quelli che usano un piccolo dizionario di parole che possono introdotte nel codice di un virus, hanno meno possibilità di successo, ma sono più rapidi. Deloder sta infatti mostrando la velocità di questo tipo di attacchi. Ha causato un blocco del traffico durante le giornate di sabato e domenica scorsi, ma dopo il weekend ha cominciato a fermarsi, ha detto Johannes Ullrich, a capo dellInternet Storm Center, che si occupa di tracciare gli attacchi. Sabato, lInternet Storm Center ha rilevato richieste Server Message Block (SMB) da almeno 15.000 fonti. Il protocollo SMB è usato da Microsoft per la condivisione dei documenti e viene normalmente utilizzato allinterno delle intranet, non su internet. Il servizio mediamente riceve 4000 richieste del genere. Ullrich ha insistito sul fatto che le cattive password non sono le uniche responsabili gli utenti di PC non dovrebbero avere attiva la condivisione documenti. Una password forte potrebbe rallentare o bloccare il virus, ma, in realtà, la migliore cosa da fare è disattivare la condivisione documenti. Non cè nessuna ragione per usare questo protocollo quando si naviga in internet. Deloder sfrutta la condivisione documenti di Windows per replicarsi, trasmettendosi alle potenziali vittime attraverso la porta 445. Le porte sono indirizzi software che servono a comunicare con altri programmi che girano su altre macchine. Il sistema operativo Windows usa la porta 445 per inviare data ad altri computer con i quali è attiva la condivisione file. Sui computer compromessi, il virus installa due programmi INST.EXE nella cartella Start di Windows. Si tratta di un cavallo di troia progettato perché apra un accesso backdoor al computer in questione. Poi copia il file DVLDR32.EXE, una copia di se stesso sulle macchine infette.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore