E dietro la patch... un virus worm

Una variante di W32.Leave si spaccia per patch e gira attraverso un falso bollettino di sicurezza Microsoft


Redmond (USA) – Sebbene il nuovo worm W32.Leave.B scoperto dal Symantec Antivirus Research Center (SARC) sia soltanto una variante del già noto W32-Leave e non contenga particolari evoluzioni tecniche, tuttavia si è guadagnato i riflettori grazie al fatto di essere il primo vermicello di questo tipo a diffondersi attraverso un falso bollettino di sicurezza di Microsoft.

Secondo il SARC, infatti, il worm arriva come allegato di posta all’interno di una mail che ha per soggetto la tipica intestazione di uno dei tanti avvisi di sicurezza emessi da Microsoft, “Microsoft Security Bulletin MS01-037”, intestazione che fra l’altro si riferisce ad un bollettino realmente pubblicato, ma che riguarda una falla che nulla ha a che fare con il worm in questione.

Nel corpo del messaggio, l’autore della farsa sembra essersi divertito un mondo a simulare un vero bollettino di Microsoft inserendo firma PGP, disclaimer, link a pagine del sito Microsoft ed altre tipiche sezioni presenti in avvisi di questo genere. Da questa mail si legge che “il virus può colpire i sistemi della maggioranza degli utenti, il rischio è alto, le patch devono essere installate nei sistemi affetti”. Il testo continua poi descrivendo gli effetti del virus, capace, secondo l’autore del testo, di distruggere file e BIOS.

Per applicare la patch, la mail fornisce un URL da cui scaricare il file cvr58-ms.exe che, una volta lanciato, infetterà il sistema con il worm W32.Leave.B.

Secondo gli esperti, il virus non è pericoloso e, come il ceppo W32.Leave da cui discende, può entrare in azione solo se sulla macchina sia già presente un altro virus, il SubSeven Trojan , che gli consentirebbe di controllare da remoto i computer infettati, scaricare componenti aggiuntivi da certi siti Web oltre e accettare certi comandi diffusi via Internet Relay Chat (IRC).

Sembra che il vero scopo del worm non sia quello di distruggere o sottrarre informazioni, bensì quello di utilizzare i computer vittima per guadagnare crediti attraverso la generazione di impression e click su determinati banner e siti.

“Questo è un nuovo tipo di crimine (per un virus informatico, NdR)”, ha affermato Alan Paller, ricercatore presso il SANS Institute. “Io credo si tratti di un crimine finanziario”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Adobe...
    ma vaffan...Si e' tenuta per un sacco di anni le licenze di Postscript, limitandone di fatto la diffusione.L'opinione del giorno e': ma andate ad andare via il c...
    • Anonimo scrive:
      Re: Adobe...
      - Scritto da: Ciao
      ma vaffan...
      Si e' tenuta per un sacco di anni le licenze
      di Postscript, limitandone di fatto la
      diffusione.
      L'opinione del giorno e': ma andate ad
      andare via il c...beh perche le modifiche al formato pdf che da portable sembra sempre di piu' adobe?
  • Anonimo scrive:
    e se..
    e se fondassi la Macrosoft ? :
    • Anonimo scrive:
      Re: e se..
      - Scritto da: Ombra
      e se fondassi la Macrosoft ? :
      Arrivi tardi. Se non ricordo male, una decina di anni fa c'era una software house con questo nome...Erano i tempi del DOS (non ricordo se 3.3 o 4.0)
      • Anonimo scrive:
        Re: e se..
        - Scritto da: FF


        - Scritto da: Ombra

        e se fondassi la Macrosoft ? :


        Arrivi tardi. Se non ricordo male, una
        decina di anni fa c'era una software house
        con questo nome...
        Erano i tempi del DOS (non ricordo se 3.3 o
        4.0)Ed ancora esiste.L'anno scorso andando alla fiera SatExpo, all'uscita c'era un uomo che distribuiva fogli con la pubblicita' della Macrosoft.:))Ciao.
        • Anonimo scrive:
          Re: e se..
          - Scritto da: Ugo
          - Scritto da: FF





          - Scritto da: Ombra


          e se fondassi la Macrosoft ? :




          Arrivi tardi. Se non ricordo male, una

          decina di anni fa c'era una software house

          con questo nome...

          Erano i tempi del DOS (non ricordo se 3.3
          o

          4.0)

          Ed ancora esiste.
          L'anno scorso andando alla fiera SatExpo,
          all'uscita c'era un uomo che distribuiva
          fogli con la pubblicita' della Macrosoft.
          :))
          Ciao.E, per la precisione:http://www.macrosoft.it/Ciao.
  • Anonimo scrive:
    Contour
    Magari ora, gli faranno causa quelli della Gillette :)Iesss
    • Anonimo scrive:
      Re: Contour
      - Scritto da: Iesss
      Magari ora, gli faranno causa quelli della
      Gillette :)

      Iesssahahah anche perche' il titolo della notizia e' "salva la pelle" esattamente come contour gilette :Dma adesso chi ha killustrator installato cosa fa? installa una patch che gli cambia il nome? :D
      • Anonimo scrive:
        Re: Contour
        - Scritto da: Sandrokan
        ma adesso chi ha killustrator installato
        cosa fa? installa una patch che gli cambia
        il nome? :DIo voglio il crack per cambiare nome da Kontour al vecchio KIllustrator! ;-)
    • Anonimo scrive:
      Re: Contour
      - Scritto da: Iesss
      Magari ora, gli faranno causa quelli della
      Gillette :)che tanto sono già in causa conM$ per Sensor EXCEL^___^
Chiudi i commenti