CERT: allarme ufficiale per Hybris

La colpa della diffusione inarrestabile del worm mutaforma è dei sistemi di posta aperti che non filtrano a dovere la posta non richiesta. Lo affermano gli esperti di sicurezza dopo mesi di diffusione crescente per il celebre virus


Palo Alto (USA) – Il CERT, il centro di coordinamento per la sicurezza informatica della Carnegie Mellon University americana, ha rilasciato un warning nelle scorse ore appellandosi ai fornitori di servizi Internet: una delle ragioni per la crescente diffusione di Hybris risiede negli open mail relays, server che consentono il passaggio e dunque l’invio di posta elettronica anche da parte di terzi non autorizzati.

Anche questo elemento, dunque, sta contribuendo, secondo gli esperti, a rendere Hybris il virus più invasivo mai apparso finora. L’unico worm che a mesi dalla sua prima apparizione non solo continua a circolare ma anche ad aumentare il numero di “infezioni”. Una situazione dovuta al fatto che spesso e volentieri chi è vittima di Hybris non sa di esserlo e che i messaggi inviati da Hybris sono spesso del tutto “anonimi” e non consentono di risalire facilmente alla fonte. Una situazione che, però, è anche causata, dicono quelli del CERT, da una gestione “allegra” degli open mail relays.

Secondo il CERT “è ben noto che aggressori vari hanno usato gli open mail relay per anni per distribuire posta non richiesta. Di recente, il CERT ha iniziato a ricevere conferme di abusi portati attraverso gli open mail relay per la diffusione di codici dannosi come il worm Hybris”.

“Questo elemento – continua il CERT – rappresenta un pericolo perché chi abusa utilizza sempre più spesso questi mezzi per aumentare il numero di messaggi distribuiti contenenti codici aggressivi. Il tutto sfruttando la banda crescente e la maggiore potenza degli host connessi ad Internet”.

Il problema sta anche nel fatto che sono molti i siti con server open mail relay che potrebbero non sapere di costituire un potenziale veicolo per posta indesiderata, come lo spam, o per la trasmissione di infezioni informatiche come Hybris.


Secondo il CERT, un ulteriore pericolo legato ad Hybris è quello della sua “modularità”, la sua capacità di “cambiare forma”. Come noto, infatti, Hybris interagisce con Usenet per scaricare plug-in e aggiornarsi come deciso dagli autori. Questo significa che è in continuo mutamento e, secondo gli esperti, non è detto che in futuro il worm, oggi quasi innocuo se si eccettua l’intasamento di banda che provoca sulla Rete, potrebbe trasformarsi in un pericoloso tool di attacco su scala internazionale.

Oggi Hybris è noto con diversi nomi, tra cui W32.Hybris@m e W32.Hybris.gen. Arriva, nella variante più difficile da ostacolare, in un messaggio di posta elettronica che è riconoscibile dal fatto che né mittente, né destinatario vengono indicati. Come attachment al messaggio si trova un file dal nome scritto in maiuscolo ma del tutto casuale e con estensione.exe,.scr o.zip.

Altre versioni, che si vanno diffondendo ormai da tempo anche in Italia, comprendono quella che nel messaggio inserisce il testo “Snow White and the Seven dwarves” (“Biancaneve e i sette nani”) con un attachment il cui nome richiama contenuti pornografici. Una email infetta inviata apparentemente da un mittente di nome “Hahaha”.

Il “funzionamento” di Hybris è quello di un worm modulare. Una volta aperto il file allegato all’email, infatti, si installa nel sistema modificando o rimpiazzando il file di Windows wsock32.dll. Una modifica che consente al virus di allegarsi in messaggi di posta elettronica che autoinvia segretamente ogni qual volta l’utente fa partire un proprio messaggio email.

Una volta “dentro”, il worm cerca di connettersi al newsgroup alt.comp.virus e, se ci riesce, invia le proprie definizioni sotto forma di plug-in cifrato. Allo stesso tempo controlla se le definizioni presenti sono più aggiornate e in quel caso le scarica per auto-aggiornarsi. I labs Symantec hanno rintracciato dei moduli che, per esempio, consentono al worm di infettare anche file.zip.

Hybris è noto da molto tempo e un antivirus aggiornato non dovrebbe avere problemi a individuare e distruggere il worm. Il problema, come detto, è che chi ne è infetto spesso non sospetta di esserlo.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    compli-menti
    il mondo è pieno di pazzi...........ma del resto cosa serebbe senza..........
  • Anonimo scrive:
    Ciao, sono Vierika
    sono appena tornata dalle vacanza. Mi ha cercato qualcuno?
  • Anonimo scrive:
    una curiosita'...
    rimasto infetto da Vierika ricevevo una risposta da una persona presente nella mia rubrica:"Oh...testa di cazzo...a chi credi di mandare un virus?"subito dopo, dalla stessa persona ricevevo un'altra email vuota con un allegato: "HAPPY99.EXE"...a voi il commento...
  • Anonimo scrive:
    HO LE PROVE!!!! UCCIDIAMOLO!!!!
    Dai, uccidiamolo...portiamolo in piazza e mettiamolo al rogo!!!!!no, no, TORTURIAMOLO PRIMA!
  • Anonimo scrive:
    HO SCOPERTO L'IDIOTA CHE LO HA PRESO!!!
    vi prego denunciatelo...e' troppo idiota per aprire un VBS...scrivetemi e vi daro' il nome me cognome dell'unico idiota che l'ha preso...
  • Anonimo scrive:
    il vero autore....
    il vero autore sono io...vedo che qui il merito se lo vogliono prendere in tanti...chi vuole fare l'autore...chi vuole fare il detective...vi diro' una cosa riguardo a questo virus: non me ne importa nulla... c'e' gia' chi l'ha copiato e ne ha fatte delle copie totali (dico totali...anche dell'animazione che non ha niente a che vedere con il virus...) e lo ha diffuso su altri server americani...
  • Anonimo scrive:
    L'autore sono io
    ...e mi piace vedere imbecilli gridare 'vi prego denunciatelo' ... se non ci fossero gli imbecilli come lui la Microsoft non saprebbe come campare... ...mi ha fatto molto piacere vedere ancora una volta criminalizzare fatti e persone ancor prima di essere conosciuti. La stessa F-Secure americana ha riportato informazioni allarmistiche sul virus. Ne ha parlato come se fosse in grado di generare danni maggiori di Iloveyou, il quale eliminava fisicamente files dall'hard-disk.Tornando all'imbecille che grida 'impicchiamo l'autore del virus!' ricordo che puo' tranquillamente rivolgersi al proprio avvocato...Grazie dell'attenzione...
  • Anonimo scrive:
    c'e una nuova versione.....
    dicono alla f-secure che c'e'in giro la versione B...e risiede su Geocities.
  • Anonimo scrive:
    non e 'poi cosi' male...
    il virus...chi se ne frega ...si puo' avere lei, grazie...?
  • Anonimo scrive:
    l'ho (ahimé) provato: rompe le scatole al mondo
    E' vero, funziona così, e infetta tutti i presenti nella rubrica (cui poi si deve chiedere scusa per la sbadataggine).In più, "setta" come home page del browser il suo ex sito. Nel frattempo chiuso, e tempestivamente, come si può vedere dalla comunicazione che qui riporto, in data 6.3:il sito web.tiscalinet.it/krivojrog/Vierika/Vindex.html conteneva,uso il passato in quanto e' stato chiuso nel pomerggio di ieri,il virus worm letter.cordiali salutiValentina VaccaTiscali S.p.Aabuse@tiscalinet.itsecurity@tiscali.it
  • Anonimo scrive:
    http://digilander.iol.it/vierika
    ecco il sito di Vierika...ma senza virus...scambio il virus che ho preso con lei ...si puo'?
  • Anonimo scrive:
    PASSATE A LINUX
    E questi VIRUS Vi faranno meno di 1 pippa.
  • Anonimo scrive:
    BELLISSIMO LO VOGLIO !!!
    Questo Virus e' una figata... lo voglio.. faccio collezione di questi gioielli....BYEzzzz
    • Anonimo scrive:
      Re: BELLISSIMO LO VOGLIO !!!
      Ho la stessa passione, se vuoi fare degli scambi, fammelo sapere- Scritto da: Igorsoft
      Questo Virus e' una figata... lo voglio..
      faccio collezione di questi gioielli....
      BYEzzzz
Chiudi i commenti