Worms

Il worm W32.Beagle.J@mm:

• è un worm di distribuzione di massa che apre una backdoor sulla porta TCP 2745, e utilizza il proprio motore SMTP per diffondersi tramite posta elettronica.
• invia inoltre all'aggressore la porta sulla quale la backdoor è in ascolto e l'indirizzo IP.
• tenta di diffondersi attraverso reti di condivisione file, come Kazaa e iMesh, copiandosi nelle cartelle che contengono "shar" nel nome.

Le caratteristiche del messaggio e-mail sono le seguenti:
Da: mascherato per apparire inviato da uno dei seguenti indirizzi presso il dominio del destinatario:

• management
• administration
• staff
• noreply
• support

Allegato: Un file .exe con nome scelto a caso posto all'interno di un file .zip o .pif. Il file zip può essere protetto da password. I prodotti antivirus Symantec comunque rilevano questi file.

 

Note:

• Le definizioni dei virus di LiveUpdate rese disponibili il 18-02-04 rilevano questa minaccia come W32.Beagle.A@mm.
• Non è disponibile un MD5 statico per questa minaccia.
• Symantec Security Response ha reso disponibile uno strumento di rimozione per eliminare le infezioni causate da W32.Beagle.J@mm.

causa dell'aumento delle segnalazioni, Symantec Security Response ha aggiornato W32.Netsky.D@mm da una categoria 3 a una categoria 4 il 1 marzo 2004.

W32.Netsky.D@mm è un worm di distribuzione di massa, variante di W32.Netsky.C@mm. Il worm esegue una scansione delle unità da C a Z alla ricerca di indirizzi e-mail per poi inviarsi agli indirizzi trovati.

I nomi dell'Oggetto e dell'Allegato possono variare. L'allegato ha l'estensione file .pif.

 

Note:

• I prodotti Consumer Symantec che supportano la funzionalità Blocco worm rilevano automaticamente questa minaccia non appena questa tenta di diffondersi.
• Symantec Security Response ha reso disponibile uno strumento di rimozione per pulire le infezioni causate da W32.Netsky.D@mm.
• Il valore MD5 del worm è 0x6f49434d7e4532520372a4721a7a9aec.

W32.Beagle.E@mm è un worm di distribuzione di massa. Esso si diffonde principalmente via posta elettronica e in maniera indipendente rispetto al client di posta della vittima. W32.Beagle.E crea anche una breccia alla sicurezza, nota come backdoor, sul computer attaccato. Il componente backdoor consente all'aggressore remoto di introdursi nel sistema attaccato. Per creare la backdoor, il worm apre la porta TCP 2745.

Il messaggio di e-mail formato dal worm ha le seguenti caratteristiche:

• Il campo Da contiene un indirizzo e-mail mascherato, che significa che l'e-mail conterrà molto probabilmente un indirizzo e-mail di qualcuno conosciuto, anche se il worm non ha avuto origine da quella persona.
• Il campo Oggetto viene selezionato da un elenco di diverse frasi disponibili. Per questo motivo, l'oggetto del messaggio può variare da un'e-mail all'altra.
• Il campo Allegato contiene un nome file che è il nome file del worm allegato all'e-mail, formato da un gruppo di caratteri a caso e seguito dall'estensione di file ".zip."

Il worm opera in maniera molto simile a W32.Beagle.C@mm.

 

Note:

• I prodotti Consumer Symantec che supportano la funzionalità Blocco worm rilevano questa minaccia non appena questa tenta di diffondersi.
• Symantec Security Response ha reso disponibile uno strumento di rimozione per eliminare le infezioni causate da W32.Beagle.E@mm.

W32.Netsky.C è un worm di distribuzione di massa che utilizza il proprio motore SMTP per inviare se stesso agli indirizzi e-mail trovati eseguendo la scansione delle unità disco rigido e di quelle mappate. Cerca inoltre nelle unità da C a Y nomi di cartella che contengono "Shar", per poi copiarsi in queste cartelle.

L'oggetto, il corpo del messaggio e l'allegato alla e-mail possono variare.

 

Note:

• I prodotti Consumer di Symantec che supportano la funzionalità Blocco worm rilevano automaticamente questa minaccia non appena questa tenta di diffondersi.
• Le definizioni dei virus Rapid Release versione 2/24/04 rev 32 (60224af o 20040224.032) e successive sono in grado di rilevare la minaccia.
• Symantec Security Response ha reso disponibile uno strumento di rimozione per pulire le infezioni causate da W32.Netsky.C@mm.

Il worm W32.Mydoom.F@mm:

• È un worm di distribuzione di massa che apre una backdoor sulla porta TCP 1080.
• È in grado di scaricare ed eseguire file arbitrari.
• Eseguirà un attacco Dos (Denial of Service) contro www.microsoft.com e www.riaa.com, se la data di sistema del computer è compresa tra il 17 e il 22 di qualsiasi mese.
• Imposta una backdoor nel sistema infetto aprendo la porta TCP 1080. Ciò permette all'aggressore di connettersi al computer ed utilizzarlo come proxy per accedere alle sue risorse di rete.

Il worm arriva sotto forma di allegato con estensione file .bat, .com, .cmd, .exe, .pif, .scr, o .zip. L'indirizzo alla riga Da: del messaggio e-mail può essere mascherato.

Symantec Security Response ha reso disponibile uno strumento di rimozione per pulire le infezioni causate da W32.Mydoom.F@mm e dalle precedenti varianti di questa minaccia.
 

W32.Netsky.B è un worm di distribuzione di massa che utilizza il proprio motore SMTP per inviare se stesso agli indirizzi e-mail trovati eseguendo la scansione delle unità disco rigido e di quelle mappate. Cerca inoltre nelle unità da C a Z nomi di cartella che contengono "share" o "sharing" (condivisione), per poi copiarsi in queste cartelle.

L'oggetto, il corpo del messaggio e l'allegato alla e-mail possono variare.

Symantec Security Response ha reso disponibile uno strumento di rimozione per pulire le infezioni causate da W32.Netsky.B@mm.
 

W32.Mydoom.A@mm (conosciuto anche come W32.Novarg.A@mm) è un worm di distribuzione di massa che arriva sotto forma di allegato con estensione file .bat, .cmd, .exe, .pif, .scr, o .zip.

Quando il computer viene infettato, il worm installa una backdoor nel sistema aprendo le porte TCP da 3127 a 3198. Ciò rende possibile a un aggressore di connettersi al computer e di utilizzarlo come proxy per accedere alle risorse di rete.

La backdoor ha inoltre la capacità di scaricare ed eseguire file.

Esiste il 25% di possibilità che un computer infettato dal worm esegua un attacco di tipo DoS (Denial of Service) il 1° febbraio 2004. Se verrà sferrato l'attacco, il worm non inizierà la distribuzione di massa via posta elettronica. Il worm è programmato per cessare di propagarsi in data 12 febbraio 2004. Anche se il worm cesserà di propagarsi il 12 febbraio 2004, il componente backdoor continuerà a funzionare anche dopo questa data.

 

Note:

• I prodotti Consumer Symantec dotati della funzionalità di Blocco worm rilevano automaticamente questa minaccia non appena questa tenta di propagarsi.
• Symantec Security Response ha sviluppato uno strumento di rimozione per pulire le infezioni causate da W32.Mydoom.A@mm
• Le definizioni dei virus con data precedente al 4 febbraio 2004 rilevano questa minaccia come W32.Novarg.A@mm.

W32.Swen.A@mm

In seguito all'aumento delle segnalazioni, Symantec Security Response ha riclassificato W32.Swen.A@mm nella categoria 3, in data 18-09-03.

W32.Swen.A@mm è un worm di distribuzione di massa che utilizza il proprio motore SMTP per propagarsi. Il worm tenta di propagarsi attraverso le reti di condivisione file, come KaZaA e IRC, e di terminare i programmi antivirus e di firewall personale in esecuzione sul computer.

Il worm arriva come allegato in un messaggio di posta elettronica. L'oggetto, il corpo e l'indirizzo Da: del messaggio possono variare. In alcuni esempi il messaggio finge di essere un patch per Microsoft Internet Explorer oppure la notifica di una consegna non riuscita da qmail.

Il worm W32.Swen.A@mm è simile a W32.Gibe.B@mm nelle funzioni ed è scritto nel linguaggio C++.


Questo worm sfrutta una vulnerabilità di Microsoft Outlook e Outlook Express e tenta di eseguire se stesso quando si apre o anche solo si visualizza in anteprima il messaggio. È possibile trovare informazioni in merito e un patch per la vulnerabilità all'indirizzo
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Symantec Security Response ha sviluppato un strumento di rimozione per pulire le infezioni di W32.Swen.A@mm.