Visualizza messaggio singolo
Vecchio 05-05-2004, 14.15.39   #14
Giorgius
Gold Member
Top Poster
 
L'avatar di Giorgius
 
Registrato: 26-08-2000
Loc.: tokyo city
Messaggi: 8.374
Giorgius promette bene
Virus Sasser: Mcafee, Rischio Medio Per Nuova Variante "D"

(ASCA) - Roma, 5 mag - Mcafee Avert (Anti Virus Emergency Response Team), la divisione di ricerca antivirus di Network Associates, ha elevato la valutazione di rischio a media per il virus W32/Sasser.worm.d., conosciuto anche come Sasser.d. Sasser.d e' la quarta variante auto-eseguibile della famiglia Sasser che sfrutta la vulnerabilita' Microsoft MS04-011 annunciata da Microsoft lo scorso aprile. Mcafee Avert ha elevato la valutazione di rischio a causa della sua diffusione e alla sua capacita' di diffondersi senza il supporto dell'e-mail, che e' stato il principale veicolo di diffusione per la maggior parte dei worm identificati della famiglia Sasser. Questo nuovo worm e' un programma auto-eseguibile che si propaga tramite la scansione degli indirizzi Ip casuali dei sistemi vulnerabili. Fino a oggi Mcafee Avert ha ricevuto parecchi rapporti del worm che ha bloccato o che ha infettato gli utenti in parecchi paesi, la maggior parte dei rapporti proviene dagli Stati Uniti e dall'Europa. Sasser.d si sta propagando velocemente, ma non e' realmente differente dalle altre varianti. Per quanto riguarda la diffusione del worm, i report segnalati ai laboratori provengono principalmente da Sasser.a e da Sasser.b. Il totale delle infezioni e' finora di 1 milione per tutte le varianti. Alcuni rapporti dalla Germania indicano in 300.000 le macchine infettate (dati Deutsche Post). I dati specifici di Mcafee.com danno le seguenti infezioni: 6.500 per la variante a, 9.500 per la variante b, 2.000 per la variante c e 1.000 per la variante d. Il numero delle infezioni e' di gran lunga maggiore rispetto a Blaster che a questo punto contava 10.000 macchine infettate (clienti di Mcafee.com), mentre Sasser e' oltre 20.000. Il virus continua a diffondersi per la difficolta' di rimozione. Un utente domestico con un Pc infettato puo' rimuovere facilmente il virus, ma senza la patch non appena collegato a Internet infetta di nuovo la propria macchina con una delle varianti. Altre statistiche rilevate da Mcafee.com: la variante D ha infettato 1.000 Pc negli Stati Uniti, 450 in Europa (Spagna 8 per cento, Gran Bretagna 7 per cento, Francia 4 per cento, Germania 1,5 per cento, Italia 1,5 per cento, Olanda 1,5 per cento), 198 in Asia e Giappone (80 per cento delle infezioni in Asia); la variante B ha infettato 62.000 Pc negli Stati Uniti, 4.400 in Spagna, 200 in Francia, 1.600 in Germania, 400 in Italia, 1.200 in Turchia; gli utenti Mcafee.com infettati da una variante o dall'altra sono 65.000. Gli utenti colpiti sono principalmente utenti finali, che non hanno preso le misure A-V necessarie a differenza delle grandi aziende. A causa della mancanza di aggiornamento delle patch, gli utenti domestici sono destinati a subire ancora l'infezione. La mancanza di informazione e conoscenza della minaccia da parte degli utenti domestici, nonche' l'assenza di prevenzione, permettera' ai virus di espandersi. Ulteriori varianti si diffonderanno rapidamente. Il worm Sasser.d e' un worm auto-eseguibile che si propaga sfruttando la vulnerabilita' Microsoft MS04-011 (http://www.microsoft.com/technet/sec.../MS04-011.mspx). Lo scopo primario del worm e' propagarsi su quante piu' macchine vulnerabili possibile sfruttando i sistemi Windows senza le patch piu' recenti, dando loro la capacita' di eseguirlo senza richiedere alcuna azione da parte dell'utente. Una volta attivato il worm si copia in una cartella della directory di sistema di Windows e aggiunge una chiave di registro che si avvia allo start-up del sistema. Sasser.d ha molte similitudini con le varianti precedenti, anche se Sasser.d si propaga con nomi di file diversi, invia pacchetti eco Icmp come modo per scoprire vittime potenziali e crea una shell remota sulla porta Tcp 9995. Dopo essere stato eseguito, Sasser.d esplora gli indirizzi Ip casuali sulla porta Tcp 445 dei sistemi infettati. Quando ne ha trovato uno, il worm sfrutta il sistema vulnerabile generando uno script ed eseguendolo. Questo script da' alla vittima individuata le istruzioni per scaricare ed eseguire il worm dall'host infettato. Poiche' il worm effettua la scansione di indirizzi Ip random, analizza le porte Tcp a partire dalla 1068. Inoltre funge da server Ftp sulla porta Tcp 5554 e genera una shell remota sulla porta Tcp 9996. Informazioni e cure immediate per questo worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo: http://vil.nai.com/vil/content/v_125012.htm. Mcafee Avert suggerisce ai propri utenti di aggiornare i sistemi con i file Dat 4357 per proteggersi contro tutte le attuali minacce.
Giorgius non  collegato