Un virus sfrutta la popolarità di Nimda

Un virus già noto si sta diffondendo mascherandosi dietro ad una e-mail che, all'apparenza, sembra contenere un cleaner per Nimda
Un virus già noto si sta diffondendo mascherandosi dietro ad una e-mail che, all'apparenza, sembra contenere un cleaner per Nimda


Un virus già noto si sta diffondendo mascherandosi dietro ad una e-mail che, all’apparenza, sembra contenere un cleaner per Nimda

San Mateo (USA) – Pochi mesi fa a qualcuno venne l’idea di celare la variante di un noto worm sotto le tipiche sembianze di un bollettino di sicurezza di Microsoft. In questi giorni questo subdolo inganno è stato sfruttato per mascherare un altro virus già conosciuto, Bionet, all’interno di una mail che, almeno all’apparenza, sembra provenire dal noto sito di sicurezza SecurityFocus e dall’altrettanto noto produttore di antivirus TrendMicro.

SecurityFocus, che nella giornata di ieri ha immediatamente rilasciato un avviso nel quale spiegava la sua estraneità e quella di TrendMicro con la mail in questione, ha spiegato che il messaggio contiene un allegato di posta elettronica che si spaccia per un tool di rimozione del noto worm Nimda .

In allegato alla falsa e-mail c’è infatti un file eseguibile, chiamato FIX_NIMDA.exe , il cui nome è molto simile a quello del vero cleaner distribuito gratuitamente da TrendMicro, FIX_NIMDA.com : in realtà il file.exe è un archivio Zip auto-estraente che al suo interno contiene il file Readme.txt originale che accompagna il cleaner di TrendMicro e il file slide.exe contenente il virus Bionet.

Una volta eseguito, Bionet apre nel sistema una backdoor che rende possibile, dall’esterno, accedere alla macchina e sottrarre dati e password.

SecurityFocus ha ribadito l’opportunità di verificare sempre la vera autenticità del mittente prima di eseguire qualsiasi file incluso in una e-mail, inoltre ha tenuto a precisare che non è sua abitudine mandare e-mail contenenti programmi o script.

La società di sicurezza ha anche spiegato che dall’header del messaggio è possibile constatare come la falsa mail sia partita da un servizio di Web-mail tedesco.

Link copiato negli appunti

Ti potrebbe interessare

02 10 2001
Link copiato negli appunti