Torna alla ribalta Bugbear, ma in una variante più cattiva

firewallSicurezza

Da ieri, avvisano le società di sicurezza, è in circolazione Bugbear.B, che si diffonde rapidamente

MessageLabs da mercoledì scorso, quando i primi esemplari sono stati individuati, fino a giovedì pomeriggio, ha bloccato 37.400 copie di BugBear.B in 125 località. Network Associates ha dichiarato di aver ricevuto 100 segnalazioni di infezione da utenti di fascia corporate e consumer. Network Associates ha assegnato una valutazione di rischio media sia per gli utenti Corporate che per gli utenti Home. Lo definisce un worm molto complesso che racchiude molti diversi elementi dannosi: Mass-mailer, Network Share Propagation, keylogger, Remote Access Trojan, Polymorhic Parasitic File Infector, Security Software Terminator. Symantec ha dichiarato di averne ricevute 180 da utenti consumer e 51 da compagnie. Symbolic segnala che la nuova variante polimorfica di Bugbear, dotata di un proprio motore SMTP, manda e-mail di vario contenuto ed utilizza vulnerabilità conosciute per eseguire automaticamente gli allegati nel momento in cui l’e-mail viene aperta. Il file contenente il worm è un eseguibile Windows PE compresso mediante compressore di file UPX e cifrato con un semplice crittoalgoritmo che cambia in ogni generazione del worm rendendolo così polimorfico. Gli allegati infetti hanno estensione EXE, SCR e PIF. Le email con cui si diffonde hanno un mittente casuale, che può essere un indirizzo inventato oppure pescato dal worm in mezzo agli indirizzi trovati sul computer infetto. Il worm può utilizzare messaggi di posta elettronica presenti sul computer infetto e inoltrarli a terzi aggiugendovi un allegato nel quale infila una copia di sé stesso. Questo significa che dal computer colpito possono diramarsi informazioni confidenziali senza che l’utente ne sia consapevole. Secondo F-Secure Bugbear.B si sta diffondendo in modo allarmante sulla Rete, in particolare in Italia, tanto che F-Secure lo posiziona a livello 1 di allerta (massimo rischio). F-Secure Anti-Virus, comunque, è già in grado di rilevare il worm con gli aggiornamenti rilasciati ieri mattina.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore