mercoledì 26 dicembre 2007

Attenzione alle mail con oggetto Happy 2008 !

Un altro pericolo viaggia sui binari delle mail: sono quelle inviateci dagli spammer con oggetto: "Happy 2008!" and "Happy New Year!" e sue varianti.
L'allarme è stato lanciato da due delle più accreditate agenzie di sicurezza:
Prevx e Symantec. I messaggi tentano di persaudere i destinatari a cliccare in modo da installare una nuova e pericolosa variante di worm, il cosidetto "happy2008.exe"
Marco Giuliani di Prevx e del sito "Pc Al Sicuro" ne aveva già segnalato l'esistenza. Una rete di botnet provvede a trasformare "lo storm worm" in ben 166 versioni differenti, un trucco, cioè, usato dagli autori del malware per ingannare gli antivirus.
Un'altra strategia adottata per eludere i sistemi di sicurezza è il veloce e frequente cambiamento dei DNS.
Il Cybercrime, dunque, è sempre in agguato , come comprovato dall'esistenza della tristemente famosa rete RBN.

EDIT 27/12/07 ore 23,00 p.m. :
Sul blog ufficiale dell'azienda PrevX, Marco Giuliani, malware analyst, ha pubblicato
nuovi dettagli sulle ultime varianti di "Storm Worm" che stanno in queste ore attaccando le caselle di posta in tutto il mondo, tramite messaggi di spam, nel tentativo di infettare un numero più alto possibile di sistemi. Secondo Marco Giuliani, sebbene l'impatto dell'attacco sia in lenta attenuazione, l'oubreak sta proseguendo in queste ore con il rilascio di ulteriori varianti del malware. PrevX ha monitorato più di 400 varianti del codice nocivo negli ultimi 4 giorni. Nell'ultime ore è stata isolata una nuova versione di Storm Worm che utilizza un runtime packer differente. Altri due domini sono stati registrati e messi online per diffondere il malware che ora presenta i seguenti nomi: happy-2008.exe e happynewyear.exe.
EDIT 28/12/07 ore 12,00 a.m. :
Storm Worm di Fine Anno, Ora Rootkit
Sembra che il nome dell'eseguibile malware diffuso tramite i domini nocivi stia venendo modificato molto spesso, attualmente il file infettivo si chiama fck2009.exe.
Marco Giuliani commenta: "Se l'attacco è attualmente conosciuto – parlando tecnicamente – e le aziende di sicurezza stanno aggiornando i loro software, una nuova domanda emerge: perché questi domini fake sono ancora attivi? Se i server che ospitano i siti vengono costantemente modificati in modo che sia impossibile metterli offline, questi server possono essere raggiunti da 4 domini ben conosciuti. Perché, dopo 4 giorni, nessuno è riuscito con successo a chiudere questi domini? Solo la cooperazione tra aziende di sicurezza, ISP e forze dell'ordine può rappresentare l'arma letale contro questi team che scrivono malware e che sono potenzialmente in grado di compromettere server internazionali cruciali con le loro botnet".
continua >>> l'articolo tratto da Tweakness

cheyenne

Nessun commento: