Quattro varianti per il worm Mytob

firewallSicurezza

PandaLabs ha rilevato, in un intervallo di poche ore, la comparsa di quattro nuove varianti di Mytob, chiamate S, U, V e W

Le quattro nuove varianti del worm Mytob, chiamate S, U, V e W, hanno tutte caratteristiche di backdoor, lasciano una porta aperta nel sistema attraverso la quale possono ricevere ordini. La rilevazione di PandaLabs mostra che questo processo non avviene direttamente, ma mediante due server chiamati 19.xxor.biz (nel caso delle varianti S, U e W) e irc.blackcarder.net, quello impiegato per Mytob.V. In questo modo, gli autori di questi codici maligni possono controllare qualsiasi macchina infettata da uno di questi worm. Uno dei principali pericoli di queste varianti consiste nella capacità di modificare il file “hosts” del sistema. In questa maniera, evitano che gli utenti possano connettersi alle pagine web di alcuni produttori di antivirus, impedendo così il download degli aggiornamenti necessari per eliminare questi worm. Per la loro diffusione usano tre metodi diversi: sfruttano la vulnerabilità conosciuta LSASS, pubblicata e corretta da Microsof t nel suo bollettino di sicurezza MS04-011; attraverso risorse condivise che sono protette da password facilmente indovinabili o deboli; per posta elettronica (con file con estensione .abd, .asp, . dbx, .htm, .php, .pl, .sht e .tbb). Per evitare di eseguirsi più di una volta nel sistema, creano diversi “mutex”, il cui nome cambia a seconda della variante di Mytob. Così la versione S crea il mutex ggmutexk2 e la U, ggmutexk1. La verisone V invece lo chiama H-E-L-L-B-O-T-2-BY-DIABLO, molto simile alla W, denominato H-E-L-L-B-O-T. Ultimamente l’autore o gli autori di questi worm cercano di mettere in circolazione un gran numero di codici maligni per aumentare la possibilità di infettare i PC. In questo caso, visto che si tratta di worm che consentono il controllo remoto delle macchine, l’obiettivo sembra essere la creazione di una rete di computer che possano essere controllati contemporaneamente. In questo modo si possono portare a termine un gran numero di azioni dannose: dall’installazione di altri malware, come keylogger o spyware, fino alla creazione di “zombi” destinati all’invio di messaggi spam.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore