Il worm travestito da patch di Microsoft

Sicurezza

L’infezione modifica le configurazioni delle macchine Windows e cerca di cancellare i file chiave di sistema.

Diverse compagnie specializzate in sicurezza hanno identificato un nuovo worm che si presenta via email come una patch di Microsoft o un aggiornamento dell’antivirus di Symantec. Il worm, cui al momento sono stati dati diversi nomi, tra cui W32.Gruel@mm e W32/Fakerr@mm, modifica le configurazioni di sistema delle macchine Windows e cerca di cancellare i file di sistema più cruciali, come tutti i file .dll, .com, .exe contenuti nella cartella System32. Come la maggior parte dei worm, Gruel/Fakerr si diffonde autoinviandosi a tutti gli indirizzi che trova nella rubrica di Outlook e si copia come file di sistema nascosto. Comunque è in grado di propagarsi anche attraverso la rete di file-sharing di Kazaa. Se gli allegati eseguibili vengono lanciati, il worm modifica il Registro di Window. Apre una serie di finestre del Pannello di controllo, provocando un crollo del sistema. Nasconde il disco C da Windows, modifica l’accesso ai file eseguibili. Ha una routine casuale che costringe gli utenti a cambiare la password. Mentre per ora il tasso di infezione è basso e gli utenti dotati di antivirus aggiornati sono protetti, Gruel/Fakerr può essere pericoloso per il suo travestimento. Due delle tre varianti del worm giungono come email inviata da Microsoft con oggetto «Microsoft Windows Critical Update». Che sia una coincidenza o meno, Microsoft ha appena annunciato tre falle di sicurezza, una delle quali classificata come critica, a poche ore dall’identificazione del worm.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore