Allarme USA per W32-Leaves.worm

La divisione specializzata dell' FBI avverte: c'è un codicillo, che viene diffuso attraverso il trojan Subseven, che può scatenare attacchi DDoS. L'allarme non è molto elevato ma amministratori e produttori finiscono sotto accusa


Washington (USA) – “Il NIPC ha ricevuto informazioni di recente su tentativi di localizzare e impiantare un worm noto come W32.Leaves.worm su computer già colpiti dal cavallo di troia Subseven. Questa novità richiede che tutti gli utenti di sistemi Microsoft prendano precauzioni contro Subseven e le sue varianti e, se si ritrovano colpiti, immediatamente attivino le procedure di rimozione di Subseven”.

Comincia così l’advisory ufficiale rilasciato dal National Infrastructure Protection Center, divisione specializzata della polizia federale americana. Un advisory che ancora una volta parla del “celebre” codice Subseven, che consente di controllare da remoto i computer “infettati” ma che questa volta aggiunge al pericolo Subseven un nuovo pericolo, un worm che può essere inserito attraverso Subseven nei computer già infetti.

Il pericolo è dunque doppio, sebbene la diffusione di questo worm potrebbe consentire ad utenti che siano stati infettati da Subseven di accorgersi dell’accaduto.

Secondo i labs di Symantec, questo worm è pensato per scaricare componenti aggiuntivi da certi siti web oltre a contenere codici capaci di accettare certi comandi diffusi via Internet Relay Chat (IRC), l’ambiente di “diffusione” originario per Subseven.

Il worm è composto di diversi componenti:
Bin.dll
Registry.dll
Regsv.exe
Rg32.dll
Aci32.dll

Quando Regsv.exe viene fatto girare, si auto-copia nella directory di Windows e poi si attiva. A quel punto crea una serie di chiavi e valori di registro che cambiano a seconda della versione di Windows utilizzata dal computer colpito.

Fatto questo, l’originario.exe viene cancellato e viene invece creato il file Aci32.dll che contiene la URL cifrata del file da scaricare. Per rimuovere il worm e Subseven è sufficiente attivare il proprio antivirus con le definizioni aggiornate.

Sulle “ragioni” di questo worm si è espresso Vincent Gullotto, direttore del centro antivirus di Network Associates. Secondo Gullotto il comportamento del worm “può indicare che si sta preparando a fare qualcosa. Il governo è essenzialmente preoccupato che possa attivare attacchi denial-of-service”. Gullotto ha anche anticipato che se nei prossimi giorni non succederà niente di nuovo, l’allarme dovrebbe rientrare. E ha specificato che “al momento nessuno è davvero preoccupato per questo nuovo worm”.

Un’accusa agli amministratori di sistema e al modo in cui vengono dati gli allarmi antivirus arriva invece da Neohapsis. Secondo Greg Shipley, dirigente dell’azienda di sicurezza, “si tende a pensare in modo pratico ma non strategico”. Secondo l’esperto bisogna anticipare le infezioni e non aspettare che si verifichino: “La prima cosa da fare è patchare i server e aggiornare le patch quando escono, ma si tratta di una mossa tattica. Sul piano strategico bisogna che i produttori di software si prendano qualche responsabilità per i bug che si trovano sui loro server”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Sigh...
    Sigh...Ho conosciuto le macchine della mitica DEC all'inizio degli anni '90, nei primi anni universitari, dove, dopo una breve esperienza su VAX, "sono" passato al mirabolante Alpha.Che tempi... l'OpenVMS era un sistema fantastico (aveva un linguaggio di scripting veramente completo, con caratteristiche che *nix neppure si sogna. C'era anche il concetto di versione dei file, che permetteva di lavorare con assoluta sicurezza)...Più tardi sono migrato, seppur a malinquore, a OSF/1 Digital Unix, e lì ho conosciuto la flessibilità di *nix... applicata alla potenza del "cuore" Alpha.Cherrobba... l'"Alfy" reggeva benissimo qualcosa come almeno 30 utenti contemporaneamente, dei quali almeno una decina in navigazione con Netscape 3.0 (e qualche fanatico con Mosaic) o "in" Matlab, eseguendo nel frattempo anche le mansioni di dns, pop3, ecc.Quando ho letto dell'acquisto della DEC da parte della Compaq, per me è stato come quando si sparse la voce del possibile fallimento della Commodore... ora è esattamente come quando è fallita. :-(((Addio, mio buon "vecchio" caro Alpha.(scusate questo piccolo sfogo)
  • Anonimo scrive:
    Argh...
    Lavoro tutti i giorni su PC compaqe posso affermare che a parita di configurazionesono MOLTO piu' lenti di un assemblatopovera Intel...
    • Anonimo scrive:
      Si sta parlando di servers
      Ne hai mai visto uno?- Scritto da: P.O.W.
      Lavoro tutti i giorni su PC compaq
      e posso affermare che a parita di
      configurazione
      sono MOLTO piu' lenti di un assemblato

      povera Intel...

      • Anonimo scrive:
        Re: Si sta parlando di servers
        Sono veramente dispiaciuto che tu sia imbattuto in un pc con un chip AMD, e così ti vedi costrettoa gettare fango su tutto quello che è stabile, la velocità non è tutto, vorrei vederti con un server AMD, povera AMD- Scritto da: CoccoDio
        Ne hai mai visto uno?

        - Scritto da: P.O.W.

        Lavoro tutti i giorni su PC compaq

        e posso affermare che a parita di

        configurazione

        sono MOLTO piu' lenti di un assemblato



        povera Intel...



    • Anonimo scrive:
      Re: Argh...
      ma sei fulminato? i processori alpha sono i piu veloci del mondo!!!!!!!i computer compaq che usi tutti i giorni hanno processori intel per quello sono cosi lenti...é la fine dell'informatica tecnologica e l'inizio di quella solo commerciale...sighaddio alpha ci hai servito bene :((((- Scritto da: P.O.W.
      Lavoro tutti i giorni su PC compaq
      e posso affermare che a parita di
      configurazione
      sono MOLTO piu' lenti di un assemblato

      povera Intel...

      • Anonimo scrive:
        Re: Argh...
        è bello leggere questi messaggi scritti da chi i chip alpha e forse anche Xeon li ha visti sulle pagine di qualche rivista, al massimo, abbiate la decenza di trattenervi.- Scritto da: Alakhai

        ma sei fulminato?
        i processori alpha sono i piu veloci del
        mondo!!!!!!!
        i computer compaq che usi tutti i giorni
        hanno processori intel per quello sono cosi
        lenti...
        é la fine dell'informatica tecnologica e
        l'inizio di quella solo commerciale...
        sigh
        addio alpha ci hai servito bene :((((
        - Scritto da: P.O.W.

        Lavoro tutti i giorni su PC compaq

        e posso affermare che a parita di

        configurazione

        sono MOLTO piu' lenti di un assemblato



        povera Intel...



    • Anonimo scrive:
      Re: Argh...
      - Scritto da: P.O.W.
      Lavoro tutti i giorni su PC compaq
      e posso affermare che a parita di
      configurazione
      sono MOLTO piu' lenti di un assemblato

      povera Intel...

      che significa "a parità di configurazione"?????vuoi dire che se metto gli stessi componenti di unPC compaq in un'assemblato quest'ultimova + veloce??? la velocità non la fa mica il cabinet.... suvvia....
Chiudi i commenti