Roma – L’infezione di massa scatenata da MyDoom, il worm che maggiormente si è diffuso nella storia di internet, continua a produrre conseguenze, sebbene di rilevanza decisamente minore. Tutte sotto forma di nuovi worm.
Dopo l’emergere del worm mangiaworm Doomjuice , gli osservatori antivirus hanno segnalato l’arrivo di Doomjuice.B , variante assai simile al codice precedente e pensata per tentare di attaccare il sito di Microsoft, www.microsoft.com , a partire da domani.
Doomjuice.B, che si diffonde sui computer Windows infettati da MyDoom sfruttando le porte lasciate aperte da quest’ultimo su quei PC, è pensato per aggiornare il codice che consente di attivare il PC infetto per fargli inviare richieste fasulle ai server Microsoft. Come si ricorderà, MyDoom.B , variante di MyDoom specificamente pensata per colpire il web di Microsoft, soffre di un bug nella programmazione che di fatto gli impedisce di trasformare molti dei PC infetti in macchine da attacco denial-of-service (DoS).
Se riesce a raggiungere uno di questi computer, Doomjuice.B fa sì che questo partecipi ad una aggressione distribuita contro Microsoft se la propria data di sistema non è fissata su Gennaio e se il giorno è precedente all’8 del mese o successivo al 12. Per questo si ritiene che oggi, 13 Febbraio, i computer infettati dalla variante B di Doomjuice inizieranno a “sparare” richieste contro microsoft.com. L’attacco DoS viene realizzato inviando richieste HTTP GET sulla porta 80.
Più complessa ma nell’insieme meno preoccupante è invece l’infezione in corso dovuta ad una nuova variante di Welchia (noto anche come Nachi), worm che la scorsa estate procurò non pochi problemi in giro per la rete.
Welchia.B per aggredire i PC Windows sfrutta la stessa porta di ingresso utilizzata da MyDoom. Se questo dovrebbe facilitare la vita alla diffusione del worm, in realtà il fatto che molti dei computer colpiti da MyDoom siano stati nel frattempo portati in sicurezza si risolve con una minore capacità di Welchia.B di aggredire con successo.
Ma la caratteristica portante di Welchia.B è di tentare di sanare le vulnerabilità aperte da MyDoom, e non solo quelle, sui computer che abbiano il sistema operativo in lingua inglese, cinese o coreana. Oltre a cercare di scaricare patch sul PC colpito, il nuovo worm tenta di debellare le due versioni di MyDoom.
Non è la prima volta che un worm tenta di arginare le falle aperte da altri worm ma gli esperti antivirus non applaudono. A loro parere, infatti, a parte le scarse possibilità di riuscire nell’intento, il worm rappresenta comunque un codice di attacco che circola abusivamente in rete, rappresentando in questo senso un problema di sicurezza.
Ti potrebbe interessare
13 feb 2004