Occhi puntati sul nuovo Netsky

Ennesima variante di uno dei worm più prolifici dell'ultimo anno, Netsky.AG sembra intenzionato a percorrere le orme del proprio capostipite e intrufolarsi in milioni di mailbox. Intanto s'affaccia, su alcune reti di chat e P2P, Narcs
Ennesima variante di uno dei worm più prolifici dell'ultimo anno, Netsky.AG sembra intenzionato a percorrere le orme del proprio capostipite e intrufolarsi in milioni di mailbox. Intanto s'affaccia, su alcune reti di chat e P2P, Narcs


Roma – A più di nove mesi di distanza dalla sua prima apparizione nelle mailbox degli utenti, il prolifico vermicello Netsky non sembra ancora intenzionato ad uscire di scena. Una sua nuova variante, nota come Netsky.ag, sta infatti rapidamente scalando le classifiche dei worm più diffusi sulla Rete.

McAfee, che la scorsa settimana ha elevato la stima di pericolosità di Netsky.AG da bassa a media, ha spiegato che il worm sembra essersi diramato da alcuni paese dell’America Latina per poi, nel giro di pochi giorni, raggiungere l’Europa l’Asia.

La nuova variante di Netsky, creata modificando il file eseguibile di Netsky.B (uno dei worm più prolifici di tutti i tempi), eredita dal proprio progenitore la capacità di collezionare gli indirizzi di e-mail locali e inviare a ciascuno di essi, utilizzando un proprio motore SMTP, una copia di se stesso. Per ingannare meglio gli utenti, il verme elettronico adotta l’ormai tradizionale “trucco” di mascherare la provenienza dell’e-mail inserendo nel campo “from” un indirizzo a caso fra quelli importati dalla rubrica del PC infetto.

Una volta eseguito, Netsky.AG visualizza un falso messaggio di errore (“File corrupted replace this!”) e tenta di copiare se stesso in tutti i dischi locali aperti in scrittura, ed in particolare all’interno delle cartelle condivise (LAN e P2P) e quelle che contengono, nel nome, la parola “share” o “sharing”. Il codicillo cancella poi, se presenti, alcune voci di registro create da altri worm come Mydoom.A e Mimail.T.

In queste ore è stato segnalato anche Narcs, un worm che, seppure non sembri destinato a diffondersi in modo significativo, ha la capacità di propagarsi utilizzando i network IRC, IMesh e KaZaA. Una volta installatosi, Narcs tenta di scaricare ed eseguire il worm Spybot (anche conosciuto come Rbot-GR).

Link copiato negli appunti

Ti potrebbe interessare

18 10 2004
Link copiato negli appunti