W32.Magistr, worm polimorfico in arrivo

Un comportamento diverso dal solito e la capacità di mascherarsi potrebbe indurre in inganno l'utente. Massima cautela, dunque, per un worm che Symantec classifica come rischio medio capace di inviare documenti Word ad indirizzi casuali


Web – Arriva con uno o più allegati di posta elettronica il messaggio email che contiene il nuovo W32.Magistr.24876@mm, un worm individuato da Symantec nelle scorse ore a cui viene attribuito un livello di pericolosità medio-alto.

La diffusione del worm è piuttosto rapida sebbene non ancora decisamente allarmante e legata, come già in passato per molti altri codici di questo tipo, alla capacità di aggredire i sistemi Windows e di utilizzare la rubrica di Outlook Express. Una novità è la sua capacità di sfruttare anche l’Address Book di Netscape per individuare indirizzi presenti sul computer infetto a cui inviare un’email a sua volta infetta.

Sul piano “tecnico”, W32.Magistr colpisce tutti i file PE (Portable Executable) di Windows e non tocca le DLL. La sua dimensione è variabile ma non è inferiore ai 25 Kilobyte.

A quanto pare, il virus è capace di “contare” i computer collegati ad una rete e di cercare le cartelline di Windows che abbiano come nome “Winnt”, “Windows”, “Win95” o “Win98”. Se una di queste directory contiene il file win.ini, il virus viene copiato all’interno della cartellina e il file viene modificato con l’inserimento di una chiave (“RUN”) capace di avviare il file infetto che si trova nel sistema.

Come detto, W32.Magistr sa propagarsi via email e dispone di un proprio SMTP per l’invio delle email infette. Utilizza le rubriche di Outlook Express per “catturare” gli indirizzi a cui auto-inviarsi e sceglie, per le email con cui si propaga, un subject variabile ma con un massimo di 60 caratteri di lunghezza.

Il testo all’interno del messaggio infetto è casuale e può cambiare dunque ad ogni invio. Non contento, al messaggio infetto può allegare anche fino a cinque file di testo e documenti di Word. “File – fa notare Symantec – che possono naturalmente contenere dati e informazioni riservati”.


Se l’utente che riceve il virus ne viene colpito, W32.Magistr tenta di individuare Explorer.exe nella memoria e, se ce la fa, vi inserisce in una porzione aperta a scrittura un codice da 120 byte “prendendo possesso” della funzione TranslateMessage.

A quel punto il worm, passati tre minuti dalla sua “installazione”, verifica la presenza sul sistema di Outlook Express, Netscape Messenger o Internet Mail and News. Sfruttando il proprio SMTP si auto-invia con le caratteristiche descritte. Nel frattempo provvede ad infettare tutti i file PE, come detto.

Le possibili conseguenze del worm sono numerose e secondo Symantec ricordano da vicino il virus Kriz . In particolare, il worm potrebbe provvedere alla riscrittura di porzioni dell’hard disk, alla cancellazione del CMOS e al flashing del BIOS.

Le caratteristiche del file infetto includono anche una porzione di codice cifrato polimorfico pensato per rendere più complessa l’attività di “pulizia” degli antivirus.

I laboratori SARC di Symantec hanno comunque messo già a disposizione l’aggiornamento necessario a bloccare il virus ed eventualmente a distruggerlo se si viene colpiti.

Rimane naturalmente valido l’invito di sempre a non aprire file allegati della cui origine non si sia certi e di esercitare cautela anche dinanzi ad allegati provenienti da conoscenti ma che non erano stati preannunciati e dunque “inattesi”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Valutazione economica SPICCIA!!
    Secondo me le major si sono fatte bene bene i loro conti...un CD viene L.40.000, contiene diciamo 15 canzoni, fanno circa L.2500 a canzone...POCO!! Fanno un sito e uno si scarica le canzoni da li pagando con gioia 2500 per ogniuna!Si, ma loro si saranno detti1) ne scaricano 2/3, le altre fanno CAGARE, non le scaricano, non ci guadagniamo2) i micropagamenti via CCredito sono comunque soggetti al "dazio" della transazione CC che non e' il 5% ma sicuramente non va sotto il 3!!3) noi teniamo su una macchina che fa NASCERE, SPREME, E POI FA MORIRE gruppi e cantanti col solo scopo di GUADAGNARE (chiedete a un cantante quanto guadagna a CD!! vi farete delle risate!!)Con internet noi NON SERVIAMO PIU!!E allora?Allora LOTTA DURA SENZA PAURA anche se SANNO che il copyright e' morto! Lo tengono in vita con le bombole della "legge"...Cosa ne pensate?
  • Anonimo scrive:
    Però continua a funzionare........
    Non so voi.... ma io continuo a scaricare 3-4 mp3 al giorno senza nessun problema !!!!E quel giorno che non funzionerà più? No problem passo a Limewire o a Bearshare.....fate voi, è un anno che non compro un CD.....certo che se costassero 15-20 carte ne comprerei uno a settimana!
  • Anonimo scrive:
    ma io mi domando e dico...
    non ci pensano al buisness che c'è dietro ai lettori di mp3 portatili? Hanno le bistecche sugli occhi o la merda nel cervello?
    • Anonimo scrive:
      Re: ma io mi domando e dico...
      Bravo, non so da dove esci ma dovresti amministrare una grande major discografica....sarebbe un successone!- Scritto da: Toto
      non ci pensano al buisness che c'è dietro ai
      lettori di mp3 portatili? Hanno le bistecche
      sugli occhi o la merda nel cervello?
  • Anonimo scrive:
    Napster rulez
    Quando capiranno sarà troppo tardi. Distruggi il network, distruggi il programma, Napster non muore, Napster è un nome. Prima di distruggere Napster bisogna distruggere il suo nome. Noi siamo Napster e non i software che ci permettono di accedervi. La sopravvivenza di Napster dipende da voi che siete la fuori da quello schermo lì; si si, proprio tu lì... ti piace la buona musica? ti piace spendere i tuoi soldi, allora? oppure sei uno di quelle persone intelligenti che fa della rete internet un modo per prendere in giro chi lo fa da anni e anni facendoci pagare un CD anche 40.000£?Rifletti. Se Napster sarà chiudo rinascerà dalle ceneri. Troveremo sempre un modo per ricostituirci. Non ci abbatterete mai! WE ARE NAPSTER AND WE'LL ALWAYS BELIEVE IN IT!Se condividete il mio pensiero, se volete lottare per la nostra causa ho allegato il mio email.NAPSTER FOREVER
  • Anonimo scrive:
    Immortale
    Ma vi rendete conto? Ne stanno tentando di tutti i colori eppure ancora Napster continua a funzionare normalmente come sempre...Secondo me non lo fermeranno...
    • Anonimo scrive:
      Re: Immortale
      - Scritto da: Lorenzo TAD
      Ma vi rendete conto? Ne stanno tentando di
      tutti i colori eppure ancora Napster
      continua a funzionare normalmente come
      sempre...

      Secondo me non lo fermeranno......E' proprio questo che fa girare le P@lle a chi vuol fare soldi.....loro fanno un calcolo..."se tutti questi interessati ai brani Mp3, avessero voglia di pagare ..sai quanti soldi ci facciamo?..dobbiamo metterci le mani sopra!!!! "E invece...:-)
      • Anonimo scrive:
        Re: Immortale
        La mia opinione è che il giochino, ormai, gli sia sfuggito dalle mani, così imparano a fare cartello!! A me piacerebbe molto comprare i cd originali con i libretti belli, i testi, il cd stesso decorato; ma se credono che rifilarci i cd a Lit 40.000 quando il prezzo equo dovrebbe essere Lit 13.000-15.000 considerando anche un giusto profitto, hanno perso; esiste una regola di mercato molto semplice, quando il prezzo imposto supera il prezzo d'equilibrio, si sviluppa un mercato illegale, e lo sanno!!!!!!Viva la libertà!
  • Anonimo scrive:
    Bravo Napster !
    Come dimostrare che si sta facendo di tutto , ossequiosamente al disposto del Giudice, per svuotare il mare usando un cucchiaino da caffe' !Questo e' quello che sta facendo Napster ;-) ;-) !Bravo Napster ... il miglior successo ... speriamo.I discografici non essendo gestiti da persone interessate alla musica potrebbero anche spuntarsi i denti ;-) Spes ultima Dea.Seguace
Chiudi i commenti