Il virus MyParty si espande online

Dopo un giorno di incubazione dilaga anche in Italia un nuovo worm capace di ingannare gli utenti e farsi passare come un innocuo allegato. In realtà agisce sul browser, crasha il PC, intasa i mail server. I dettagli


Roma – L’allarme era partito durante il week-end ma ieri i principali osservatori antivirus hanno notato una forte accelerazione di un nuovo worm, che i labs dei produttori di software di sicurezza hanno denominato “W32.Myparty@mm”. Stando alle segnalazioni giunte a Punto Informatico, appare evidente una forte diffusione del worm nelle ultime ore anche in Italia.

Il programmino aggressivo si diffonde ancora una volta via posta elettronica sui sistemi Windows. W32.MyParty, infatti, arriva come allegato infetto di una email che ha per mittente un utente nella cui rubrica il worm ha trovato gli indirizzi a cui auto-spedirsi: un meccanismo utilizzato da molti worm che si traduce nel fatto che chi riceve l’email con l’attachment infetto potrebbe essere indotto ad aprire l’allegato proprio perché conosce chi ha spedito il messaggio.

L’email è in sé facilmente individuabile se si considera che ha per subject la frase: “new photos from my party!”. Il testo del messaggio, poi, al contrario di altri worm più aggressivi, è sempre lo stesso:
Hello!
My party… It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

L’allegato infetto ha un nome che può effettivamente sembrare il link ad un sito sotto Yahoo, un sito che contenga le immagini di cui parla il messaggio. Il nome dell’attachment è “www.myparty.yahoo.com” e chi lo lanciasse consentirebbe al worm di installarsi nel proprio computer.

Quando viene eseguito, la prima cosa che il worm fa è controllare la data del computer. Se la data non è compresa tra il 25 e il 29 gennaio 2002 (con datazione scritta “all’americana”) o se la tastiera impostata sul computer è russa, allora il worm si copia in una directory casuale sotto C:recycled. In caso contrario, come indicato dai labs di Symantec, continua la sua azione.

A quel punto, se il worm utilizza come nome di file casuale con cui si è impiantato nel sistema il termine “access”, allora tutto quello che fa è tentare di lanciare il browser dell’utente e fargli aprire la pagina www.disney.com.

Se il nome di file ha invece un’estensione.com, allora il worm si copia automaticamente in:
C:regctrl.exe (su sistemi Windows NT, 2000 o XP)
oppure in:
C:Recycledregctrl.exe (su Windows 9x o WindowsMe).
Fatto questo, lancia il file “regctrl.exe” per autoreplicarsi.

Se il nome di file ha una estensione.exe, come appunto regctrl.exe, allora il worm inizia la scansione della Rubrica di Windows nonché i file delle cartelline di Outlook Express, a caccia di indirizzi email. A questi tenta dunque di autoinviarsi sfruttando un proprio servizio SMTP, sfruttando lo stesso indirizzo di server utilizzato di default dall’utente infetto. I messaggi così inviati, come detto, appaiono come spediti dall’utente stesso.

Su Windows NT, 2000 e XP, il worm tenta anche di copiarsi in “WindowsStart MenuProgramsStartupmsstask.exe” per riavviarsi ad ogni reboot di Windows.

Alla fine delle sue operazioni, il worm invia un messaggio email a napster@gala.net, che secondo gli esperti è un’email con cui l’autore del virus tiene traccia della diffusione ottenuta dal suo worm…

Per proteggersi dal worm, oltre a non aprire le email con queste caratteristiche, è senz’altro utile scaricare le ultime definizioni antivirus del proprio programma di protezione. Qualora si fosse rimasti infetti si può scansionare il sistema a caccia dei file “W32.MyParty@mm” o di “regctrl.exe” e cancellare tutto quello che si trova.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Il problema...
    Scusate ma dove sta il problema?
  • Anonimo scrive:
    È una boiata, molto meglio Morpheus!
    Io Libero FTP l'ho provato alcune volte, ma non ne sono rimasto per niente soddisfatto.I files sono raggruppati in modo piuttosto confusionario e non c'è la possibilità di fare una ricerca mirata, come nei normali sistemi P2P.Si scarica alla cieca, senza prewiew e senza possibilità di riprendere un download interrotto: insomma una boiata.Saluti
    • Anonimo scrive:
      Re: È una boiata, molto meglio Morpheus!
      - Scritto da: Oblomov
      Io Libero FTP l'ho provato alcune volte, ma
      non ne sono rimasto per niente soddisfatto.

      I files sono raggruppati in modo piuttosto
      confusionario e non c'è la possibilità di
      fare una ricerca mirata, come nei normali
      sistemi P2P.
      Si scarica alla cieca, senza prewiew e senza
      possibilità di riprendere un download
      interrotto: insomma una boiata.

      SalutiI file li raggruppano li utenti in fase di richiesta quindi non lamentarti se non li raggruppano correttamente ed inoltre il resume dei download funziona perfettamente.
  • Anonimo scrive:
    La trappola !!! Occhio la BSA indaga !!!
    • Anonimo scrive:
      Re: La trappola !!! Occhio la BSA indaga !!!
      Vero, la BSA indaga e fa bene.Per cui facciamo attenzione ad utilizzare solo software originale.
  • Anonimo scrive:
    Avere il controllo?
    Ma per favore e noi dovremmo farci scemi per infostrada? Sia mai! Avanti tutta Peer to Peer anonimo.... :P
  • Anonimo scrive:
    Il punto
    e' che si da user name e pw all'ingresso. e' come entrare in una gioielleria e dire: ciao, mi chiamo marco togni, son qui per vedere cosa c'e' ed eventualmente sgraffignare qualcosa. il mio indirizzo e recapito gia' ce lo avete.:-)
    • Anonimo scrive:
      Re: Il punto
      se fosse solo quello...potresti aprirti un'identità falsa. Non è cerlo il codice fiscale il problema...Cmq una cosa simile esiste già su xoom e si scarica davvero di tutto!
      • Anonimo scrive:
        Re: Il punto
        Dati veri o falsi poco importa. Lasci il tuo IP address come traccia (IP = PC collegato alla rete = telefono di casa = rintracciabile in qualsiasi momento previa opportuna indagine). Quindi NON sei anonimo. Anzi, tutto l'opposto.
        • Anonimo scrive:
          Re: Il punto
          basta usare un proxy e sei anonimo (+ o -)giusto?supergaz
          • Anonimo scrive:
            Re: Il punto

            basta usare un proxy e sei anonimo (+ o -)
            giusto?No. Sei sempre rintracciabile, al massimo rendi le cose un po' più lunghe. Idem per tutti i servizi che offrono l'anonimato inrete. Il tuo IP viene sempre e comunqueregistrato "prima di scomparire in lineateorica". Anche se fai un giro di 300 "nodi"per allungare il percorso e mischiare le carte, in caso di indagine verresti rintracciatosenza troppi problemi.O vai in un Internet point, un pub, qualcosadel genere o da casa tua sarai sempre recuperabile.
          • Anonimo scrive:
            Re: Il punto

            No. Sei sempre rintracciabile, al massimo
            rendi le cose un po' più lunghe.Una volta qualcuno disse: "Se passi attraverso una mezza dozzina di stati esteri devi proprio uccidere qualcuno perchè ti vengano a prendere."
          • Anonimo scrive:
            Re: Il punto
            nei pub/internet point *seri* cmq rikiedono un doc, quindi sanno ki si è loggato nella tal postazione nel tal momento ;))saluti
          • Anonimo scrive:
            Re: Il punto

            No. Sei sempre rintracciabile, al massimo
            rendi le cose un po' più lunghe. Idem per
            tutti i servizi che offrono l'anonimato in
            rete. Il tuo IP viene sempre e comunque
            registrato "prima di scomparire in linea
            teorica". Anche se fai un giro di 300 "nodi"
            per allungare il percorso e mischiare le
            carte, in caso di indagine verresti
            rintracciato
            senza troppi problemi.Non credo che sia così facile. Tempo fa, incuriosito da un articolo di una nota rivista di informatica, ho provato ad utilizzare il servizio messo a disposizione da Safeweb (mi sembra che si chiamasse così, tanto adesso ha chiuso...). La prima cosa che mi saltò agli occhi è che il sito utilizzava il protocollo https per dialogare con gli utenti. Incuriosito lessi tutto ciò che era leggibile all'interno del sito stesso e, se non ricordo male, l'utente dialogava con il "proxy" tramite una connessione sicura e che il proxy non manteneva nessun log degli ip degli utenti. Ciò vuol dire che procedendo dalla pagina trappola verso l'utente ci si imbatte nel proxy, viceversa (monitorando direttamente la connessione dell'utente) possiamo solo vedere che lui è connesso a Safeweb senza aver possibilità di sapere cosa stia facendo. Perlomeno questo è ciò che dichiaravano, mia memoria permettendo.
          • Anonimo scrive:
            Re: Il punto
            Per mia esperienza diretta in Italia le indagini non arrivano a tanto a meno che, come si diceva prima, non si abbia prorpio ammazzato qualcuno!
  • Anonimo scrive:
    http://liaokai.myrice.com/en/index.htm
    ci avete mai fatto un giro? ;-)
  • Anonimo scrive:
    ??? Sparito?
    Come mai è sparito il mio precedente commento?
  • Anonimo scrive:
    Semplice e geniale
    Fai quello che vuoi, ma poi sono 'zzi tuoi!^__^E bravi quelli di windfostrada!
  • Anonimo scrive:
    ma i contenuti da dove vengono?
    I contenuti comunque sono già on line, giusto?è una specie di gateway web per fare FXP ... ovvero FTP da server a server, con quelle funzionalità aggiuntive di filesharing citate nell'articolo...o no?in pratica, io non posso postare un file, giusto?
  • Anonimo scrive:
    "Io non mi assumo..."
    E Io non mi assumo nessuna responsabilità sul file che scarico se invece di essere una foto jpg di Anastacia da 3 mega è invece un mp3 (vacchesfiga eh?).Scarlight
  • Anonimo scrive:
    "Libero non si assume nessuna..."
    "...responsabilità dei contenuti". Mi ricorda un po' i siti in cui ti dicono "Figa a volontà: clicca QUI se sei maggiorenne, oppure se proprio vuoi fare finta... clicca QUA se sei minorenne".
  • Anonimo scrive:
    E a me mi hanno cancellato un'account su Digiland!
    INCREDIBILE!!!Se Digiland avevo realizzato uno pseudo-sito su di me, i miei hobby, con una decina di MB di MP3 realizzati da me. (Qualche strimpellata con la chitarra elettrica con la quale mi diletto il fine settimana.)In meno di 24 ore dalla messa on-line dei brani sul mio sito PERSONALE, mi arriva una e-mail da Digiland che mi informa che il mio sito è stato cancellato e il mio account su Digiland sospeso, per la violazione dei termini di servizio. Il bello è che accedendo alla pagina del mio sito, compare la scritta, "Il proprietario potrebbe averlo rimosso o spostato. Se invece stavi cercando mp3z, crackz, etcz...Digiland potrebbe averlo eliminato perchè nonin linea con le sue condizioni d'uso".Che vergogna!!!!! (Per me soprattutto che sembra che abbia aperto un SITO PIRATA!!!)Mai più su Digiland, mai più con libero...Ciao!
    • Anonimo scrive:
      Re: E a me mi hanno cancellato un'account su Digiland!
      Il trucco era: rinominare i .MP3 in .BOH e poi specificare, da qualche parte, "Rinominare BOH in Mp3".
      • Anonimo scrive:
        Re: E a me mi hanno cancellato un'account su Digiland!

        Il trucco era: rinominare i .MP3 in .BOH e
        poi specificare, da qualche parte,
        "Rinominare BOH in Mp3". Si, ma se uno pubblica dei SUOI pezzi che necessità ha di doverli rinominare...
        • Anonimo scrive:
          Re: E a me mi hanno cancellato un'account su Digiland!
          Nessuna necessità, lo fa perchè quelli di Libero sono un po' rinco.
          • Anonimo scrive:
            Re: E a me mi hanno cancellato un'account su Digiland!
            - Scritto da: Rinoceronte
            Nessuna necessità, lo fa perchè quelli di
            Libero sono un po' rinco.purtroppo e' cosi' e poi ci si stupisce se un sito fallisce, dei licenziamenti e degli articoli di panoramamettiamocelo bene in testa: molta gente che lavora *per* internet non sa nulla della stessaquindi hacker=delinquente mp3=illegale eccetera
          • Anonimo scrive:
            Vaschetta
            Basta non rendere "pubblici" i download dei singoli utenti. Se nasce come vaschetta personale, tale dovrebbe rimanere, o no? Chiaro che se apro un bordello "gratuito" e urlo "figa per tutti" non mi aspetto che la gente passi senza dire nulla o senza farci un giro di prova. Forse qualcuno lo ha già detto, ma tant'e'.
          • Anonimo scrive:
            Re: E a me mi hanno cancellato un'account su Digiland!
            - Scritto da: Rinoceronte
            Nessuna necessità, lo fa perchè quelli di
            Libero sono un po' rinco.Si... la mia domanda era ironica...volevo dire che il punto non era trovare un modo per raggirare il blocco degli mp3, ma che quelli di libero sono rinco :)))
    • Anonimo scrive:
      Re: E a me mi hanno cancellato un'account su Digiland!
      stessa cosa e' successa a me!cmq puoi fare degli .OGG anziche degli .MP3 che e' anche meglio.. :) [www.vorbis.com]e se suoni da un occhiata a http://vilipendio.inventai.org ;p
    • Anonimo scrive:
      Re: E a me mi hanno cancellato un'account su Digiland!
      ovvio che nel contratto che ti propinano c'è scritto "mp3 coperti da diritto d'autore" o qualcosa di simile, quindi non i tuoi. ma è anche ovvio che il sysadmin di infostrada non si "smazzola" tutti i file uno a uno e se li ascolta controllando la legittimità degli stessi. una bel filtro sul server web con identificati tutti i siti personali contenenti mp3 e zac, una bella zappata a tutti gli utenti interessati.. in un click. ma non dico niente di nuovo.piuttosto andate qua:http://freenetproject.org/cgi-bin/twiki/view/IT/WebHome:)
Chiudi i commenti