Attenzione al virus Beagle !!!!!
19 Marzo 2004———————-
Nelle scorse ore sono state scoperte ben quattro nuove varianti di Beagle (secondo alcuni Bagle), che si stanno diffondendo su Internet via posta elettronica.
Tra le nuove versioni una e' particolarmente pericolosa perche' l'email con cui arriva puo' non presentare alcun allegato ma contenere comunque il worm. E' sufficiente infatti aprire l'email per correre il rischio che il proprio computer rimanga infettato.
Le nuove varianti sono la O, la R, la S e la T. La variante particolarmente pericolosa e' la R (secondo alcuni centri di ricerca si tratterebbe della variante Q, ma e' solo un problema di nome).
CHI VIENE COLPITO
—————–
Come tutte le varianti di Beagle, ad essere colpiti sono i sistemi Windows dalla versione 95 in poi.
Beagle.R quando arriva senza allegato riesce ad infettare le macchine con installato Windows che non abbiano applicato tutte le patch messe a disposizione da Microsoft. In particolare, quella relativa alla “Microsoft Internet Explorer Object Tag Vulnerability”, una vulnerabilita' descritta nel relativo bollettino di sicurezza disponibile dal 3 ottobre 2003 con relativa patch al seguente indirizzo:
http://www.microsoft.com/technet/security/bulletin/MS03-032.mspx
COME FUNZIONA
————-
L'email che permette l'infezione di Beagle.R contiene al suo interno del codice HTML che viene eseguito non appena si apre il messaggio di posta elettronica. In sostanza, viene richiamato un particolare file presente su vari server che si occupa di saricare ed eseguire il worm.
Va anche considerato che il file che viene scaricato attraverso questo sistema e' attualmnete il worm Beagle.R, ma questo potrebbe essere sostituito con altri worm oppure altri file eseguibili per svolgere anche diversi tipi di attacchi.
COME RICONOSCERLO
—————–
L'indirizzo del mittente con cui arriva il messaggio comincia con uno dei seguenti nomi, ma il dominio e' casuale: management@, administration@, staff@, antivirus@, antispam@, noreply@, support@.
Il soggetto delle email, sempre in inglese, puo' essere uno tra i seguenti:
Account notify
E-mail account disabling warning.
E-mail account security warning.
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Email account utilization warning.
Email report
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
RE: Protected message
RE: Text message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
Re: Thank you!
Re: Thanks 🙂
Re: Yahoo!
Request response
Site changes
Warning about your e-mail account
Il testo del messaggio puo' cominciare con una delle seguenti parole, ma puo' contenerne molte altre, oltre al codice HTML per scaricare il worm:
Dear user of
Hello user of
Dear user
the management of .
Il file che si puo' trovare nella versione con allegato ha la dimensione di 25.600 KB.
QUALI DANNI PROVOCA
——————-
Quando questo worm riesce ad infettare il sistema svolge una serie di funzioni tipiche: esegue alcune scritture sul registro di sistema, cancella alcune voci e rende impossibile l'avvio di numerosi programmi e tra questi i piu' popolari sistemi antivirus. Non contento cerca anche di disattivare eventuali software antivirus in funzione.
Come le altre varianti di Beagle anche la R apre una backdoor sul computer infettato. La porta 2556 viene resa utilizzabile dall'esterno per chi volesse entrare nel sistema.
Ancora, il worm tenta di diffondersi anche attraverso i software di file sharing (P2P: Kazaa, eMule, WinMX, ecc) copiando se stesso in tutte le cartelle il cui nome comincia per “shar”, utilizzando nomi di programmi famosi per essere appetibile agli utenti che utilizzano questi sistemi di scambio file. Ecco i nomi che puo' prendere Beagle.R:
ACDSee 9.exe
Adobe Photoshop 9 full.exe
Ahead Nero 7.exe
Matrix 3 Revolution English Subtitles.exe
Microsoft Office 2003 Crack, Working!.exe
Microsoft Office XP working Crack, Keygen.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Opera 8 New!.exe
Porno pics arhive, xxx.exe
Porno Screensaver.scr
Porno, sex, oral, anal cool, awesome!!.exe
Serials.txt.exe
WinAmp 5 Pro Keygen Crack Update.exe
WinAmp 6 New!.exe
Windown Longhorn Beta Leak.exe
Windows Sourcecode update.doc.exe
XXX hardcore images.exe
Infine, come tutti i worm, cerca nei dischi tutti gli indirizzi email a cui poi spedire se stesso utilizzando un proprio server SMTP, ovvero il protocollo per l'invio di messaggi di posta elettronica su Internet.
COME PROTEGGERSI
—————-
E' consigliabile alzare la guardia verso tutti i messagi in arrivo con soggetto in inglese. Se proprio si e' in dubbio sulla bonta' di un determinato messaggio e' consigliabile escludere la connessione alla rete prima di aprire l'email.
Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione.
ULTERIORI INFORMAZIONI
———————-
Maggiori informazioni su Beagle.R sono disponibili in inglese ai seguenti indirizzi:
http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.r@mm.html
http://www.sophos.com/virusinfo/analyses/w32bagler.html
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=PE_BAGLE.Q