Roma – Ci sono geni di alcuni celebri worm alla base del nuovo Explet (anche noto come Plexus), un vermicello capace di diffondersi sfruttando due diverse falle di Windows e utilizzando più mezzi di propagazione.
Il worm è in grado di penetrare automaticamente in un PC attraverso una vecchia falla di Windows nel componente DCOM, la stessa sfruttata nell’agosto dello scorso anno da Blaster , e da una più recente vulnerabilità nel servizio LSASS, impiegata lo scorso aprile da Sasser .
Una volta infettato un computer, Explet utilizza un proprio server SMTP per inviare copie di se stesso a tutti gli indirizzi di posta elettronica contenuti nella rubrica di Windows e a quelli raccolti analizzando tutti i file HTML, PHP e TXT presenti sui dischi locali. Oltre a questo, Explet è in grado di diffondersi sotto forma di file “.exe” attraverso le condivisioni di rete e il network P2P di Kazaa: tra i nomi utilizzati per mascherarsi c’è ICQBomber e Shrek_2.
Come in molti dei worm più recenti, anche Explet si pone in ascolto su di una o più porte TCP del computer (in questo caso la 1250) in attesa di ricevere comandi o file dall’esterno.
Da notare come il worm riesca a disabilitare l’aggiornamento automatico di un noto antivirus di Kaspersky Labs semplicemente modificando una chiave del registro e il file hosts di Windows.
Explet, che Symantec chiama formalmente W32.Explet.A@mm, è al momento ancora scarsamente diffuso, tuttavia gli esperti affermano che questo virus ha tutte le potenzialità per generare un’epidemia piuttosto ampia. Fortunatamente, nella versione originale, il suo livello di pericolosità è scarso.
Ti potrebbe interessare
