Altre varianti per il malware Netsky: anche in italiano
Il worm NETSKY nelle sue varianti .X e .Y scrive in italiano.
Iniziano ad essere preoccupanti le ultime due versioni del worm chiamato Netsky. Si tratta di due varianti, .x e .y, che sono in grado di attaccare tutti i sistemi Windows sprovvisti di protezione, da windows 95 in avanti.
Sono comparsi a pochissima distanza l’uno dall’altro, proprio per questo motivo gli esperti indicano la versione X come variante della versione Y e viceversa.
La particolarità di questa infezione è sicuramente la variante Italiana, che rende ancora più difficile la rilevazione da parte degli esperti informatici, abituati fino a questo momento a rintracciare versioni inglesi nel registro di sistema.
Come si diffonde l’infezione
Questi due worm, una volta che riescono ad entrare all’interno del sistema operativo, oltre ad inviare messaggi in giro per il mondo, aprono una porta esterna (backdoor) che consente agli autori di accedere dall’esterno della macchina.
I due worm sono inoltre stati studiati per utilizzare il PC infetto e farlo partecipare ad un attacco informatico di tipo DOS (Denial of Service), indirizzato verso alcuni siti: www.nibis.de – www.medinfo.ufl.edu – www.educa.ch.
La variante .x di Netsky possiede una caratteristica peculiare che gli permette di essere di difficile individuazione da parte dell’utente sotto attacco: si propone con testi in italiano quando rileva un sistema operativo con lingua italiana.
La versione Netsky X
Netsky .x si presenta nella casella di posta elettronica con un allegato di estensione .pif, della dimensione di circa 26.112 byte, ricordatevi di andare a controllare le email inviate dal vostro account di posta, soprattutto identificando invii massivi con allegati.
Se viene eseguito, il worm si insinua nel computer, compiendo una diversa serie di operazioni. La prima è la scrittura sul registro di sistema di windows dei comandi necessari per poter essere avviato una volta che viene acceso il PC. Il worm esegue inoltre una copia di sé stesso che scrive successivamente nella directory di Windows (il nome dei file è: FirewallSvr.exe e fuck_you_bagle.txt).
Subito dopo , esegue una scansione di tutti i dischi che non siano CD ROM, alla ricerca di file contenenti indirizzi a cui auto inviarsi per la sua diffusione, utilizzando un proprio server di appoggio.
Come già detto in precedenza, questo worm è capace di assegnare al testo della mail e al nome dell’allegato una lingua che corrisponde al dominio internet nazionale di primo livello dell’indirizzo e mail, quindi identificando un sistema operativo in italiano e un server di posta anch’esso in lingua italiana, è in grado di scrivere i messaggio nella lingua italiana, mascherando così la sua presenza.
La versione Netsky Y
La versione .y si presenta come un allegato che assomiglia molto ad un indirizzo internet. La sua dimensione è di circa 19 KB. Escluso l’allegato e il testo del messaggio, questo worm si comporta in maniera del tutto simile alla variante .x.
Come difendersi dalle nuove varianti Netsky
Per proteggersi da questi due worm è necessario aggiornare quanto prima le definizioni del software antivirus. Questa operazione consente l’intercettazione dei file prima che possano causare danni al computer.
Segnaliamo che anche Security Center di Microsoft è in grado (scaricando l’opportuno upgrade di aggiornamento) di rilevare il worm durante la normale scansione del sistema operativo.
Anche a computer già infettato è possibile rimuovere il worm andando ad aggiornare la definizione infezioni del nostro antivirus, in alternativa è possibile eseguire una scansione online.
Articoli correlati:
