(ASCA) - Roma, 5 lug - Mcafee ha annunciato che Mcafee Avert (Anti-Virus Emergency Response Team) ha elevato la valutazione di rischio a media per il worm W32/Lovgate.ad@MM, conosciuto anche come Lovgate.ad. Si tratta di e' un worm prolifico che si propaga sfruttando le vulnerabilita' dei sistemi via Internet o rete locale, cosi' come via e-mail, auto-inviandosi agli indirizzi trovati sul computer della vittima sottoforma di file .Zip, oppure come file .Pif o .Scr. I ricercatori Mcafee Avert, che hanno rilevato ieri le prime avvisaglie del worm, hanno ricevuto piu' di 100 segnalazioni di Lovgate.ad sia dagli utenti stessi, sia da mail generate dal virus in tutto il mondo. Il virus e' stato rilevato in Giappone, in Europa e negli Stati Uniti. Come i suoi predecessori, Lovgate.ad apre una backdooor e cerca di autoduplicarsi sfruttando accessi remoti poco sicuri, effettuando la scansione di indirizzi Ip. Lovegate.ad puo' sfruttare la vulnerabilita' Windows MS03-026. Il virus ha anche la capacita' di imitare un'infezione di file .Exe, rimpiazzando il file originale con una copia di se stesso e rinominando l'originale con estensione .Zmx. Il worm inoltre fa bloccare i processi associati a diversi prodotti antivirus e di sicurezza. Gli utenti dovrebbero immediatamente cancellare qualunque e-mail che contenga: From: (indirizzo falsificato) Subject: utilizza differenti subject e testi di messaggio Corpo originale del messaggio Mail auto-reply: If you can keep your head when all about you Are losing theirs and blaming it on you; If you can trust yourself when all men doubt you, But make allowance for their doubting too; If you can wait and not be tired by waiting, Or, being lied about, don't deal in lies, Or, being hated, don't give way to hating, And yet don't look too good, nor talk too wise; ... ... more look to the attachment. Get your FREE YAHOO.COM Mail now! Quando crea i messaggi utilizzando il proprio motore, il subject puo' essere uno dei seguenti: -- hi, -- hello, -- Hello, -- Mail transaction Failed, -- mail delivery system Lovegate.ad si auto-invia in due modi, costruendo un messaggio ad hoc utilizzando un motore Smtp built-in, oppure rispondendo a messaggi trovati nel sistema locale. Quando crea i messaggi utilizzando il proprio motore Smtp, Lovgate.ad si auto-invia a e-mail target oppure a quelli raccolti nel computer della vittima. Lovegate.ad risponde agli e-mail ancora non letti che si trovano in Microsoft Outlook e Outlook Express e cancella i messaggi dopo aver risposto. Il worm evita anche di auto-inviarsi a indirizzi contenenti qualunque parte di una lista di stringhe che sono inserite nel suo motore. Il worm infine tenta di aprire una back-door, copia se stesso su parti del computer mal difese e crea una cartella sul computer della vittima denominata Media. Se il worm riesce a duplicarsi su sistema, cerca di auto-eseguirsi da remoto. Il worm sfrutta inoltre la vulnerabilita' MS02-026 per infettare le macchine in rete e aggiunge quindi una chiave ai registri in modo da attivarsi all'accensione del sistema. Informazioni aggiornate e le cure per questo nuovo worm sono disponibili sul sito Mcafee Avert all'indirizzo: http://vil.nai.com/vil/content/v_1256560.htm. Mcafee Avert suggerisce ai propri utenti di aggiornare i sistemi con i file Dat 4372 e utilizzare il motore 4.2.40 o successivi per bloccare potenziali danni. Inoltre, il componente di accesso remoto di Lovgate.ad e' identificato come BackDoor-AQJ, a partire dalla versione 4339 dei DAT.
05-07-2004, 21.44.24
Discussioni simili
