Le attività dei virus nel mese di novembre 2003 fino al 26

firewallSicurezza

TrendLabsEMEA: nel corso del mese di novembre, Trend Micro ha rilevato
circa 189 codici maligni come worm, virus, adware, Trojan horse e altre
tipologie di codice malware.

Considerando i virus rilevati nel periodo, novembre è stato il mese delle nuove varianti. Il 72% dei 10 virus più osservati da Trend Micro in questo mese ha riguardato infatti nuove variazioni di codice già noto; di questo, il 28% appartiene alla categoria dei worm, il 22% è collegato a Trojan Horse, un altro 22% è associabile alle backdoor e il 28% riguarda una combinazione di script Java, Word, Excel, Visual script, PE, ecc. Entrando nel dettaglio, sono state identificate 16 nuove varianti del virus WORM_AGOBOT, 13 nuove incarnazioni del tipo BKDR_SDBOT e 12 nuove versioni del codice WORM_MIMAIL. Il tipo WORM_SWEN.A si riconferma al primo posto della Top 10 dei virus. Dal 18 settembre questo worm ha infettato in tutto il mondo 290.869 computer (alla data del 24 novembre). Dati estratti dalla Trend Micro Virus Map disponibile all’indirizzo http://uk.trendmicro-europe.com/enterprise/security_info/virus_map.php). La diffusione del codice WORM_SWEN.A sottolinea ancora una volta la vulnerabilità degli utenti delle reti. Attraverso il ricorso a una tecnica nota come social engineering, gli autori di virus confondono l’utente facendogli credere che il messaggio di posta elettronica arrivi da Microsoft (il virus utilizza infatti l’aspetto grafico ufficiale di Microsoft). Ciò dimostra quanto sia importante tenere in considerazione gli utenti nella creazione di una policy di sicurezza e mantenerli informati sulle attività di questi virus. WORM_KLEZ_H è presente nella Top10 da circa 19 mesi. Esponente della categoria dei retrovirus (virus che disabilitano le soluzioni antivirus), WORM_KLEZ.H evidenzia bene la minaccia rappresentata da questo tipo di codice pericoloso. Nonostante gli antidoti rilasciati dai produttori antivirus, questo worm continuaad affliggere computer di ogni parte del mondo. Il codice WORM_SDBOT appartiene sia alla categoria dei worm che a quella delle backdoor. Esso fa leva infatti su utility legittime per propagarsi su sistemi remoti protetti da password inefficaci. Per tale ragione, Trend Micro non cessa di sottolineare l’imperativo per gli amministratori di rete di promuovere l’applicazione di solide policy per le password presso gli utenti a tutti i livelli della rete, raccomandando loro di evitare che gli utenti possiedano permessi di amministratore sulle rispettive macchine. La nuova variante del codice WORM_MIMAIL utilizza la tecnica di propagazione impiegata dal capostipite (attraverso la posta elettronica utilizzando un proprio engine SMTP), ma si avvale di un corpo del messaggio e di un nome dell’allegato differenti per ingannare l’utente finale. La maggior parte delle nuove varianti del codice WORM_AGOBOT utilizza tecniche tipiche dei retrovirus e, similmente alle versioni precedenti, per propagarsi attraverso la rete questo worm sfrutta le seguenti vulnerabilità di Windows: Remote Procedure Call (RPC) Distributed Component Object Model (DCOM); IIS5/WEBDAV Buffer Overflow; RPC Locator. Ancora una volta, le vulnerabilità dei sistemi vengono sfruttate per infettare i computer, a dimostrazione di quante macchine prive di patch siano ancora diffuse. Infine, Trend Micro invita gli utenti a restare in guardia: con l’approssimarsi delle festività di fine anno occorre infatti prestare particolare attenzione alla diffusione delle cartoline di auguri contenenti sorprese inaspettate. Un glossario dei termini dei virus è disponibile all’indirizzo http://uk.trendmicro-europe.com/enterprise/security_info/glossar.php#Virus%20types

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore