Allerta: Storm Worm Augura Buon 2008

Pubblicato il dicembre 27, 2007. Archiviato in: News |

Storm worm prosegue senza nel suo “attacco alle festività” con il rilascio in-the-wild di nuove varianti di codice nocivo diffuse sfruttando messaggi di posta spam. Le ultime incarnazioni di messaggi infettivi fanno riferimento alle feste del prossimo capodanno, tentando di indurre i malcapitati destinatari a scaricare un file nocivo da un sito web. Le nuove segnalazioni di varanti Storm Worm (aka Dorf, Nuwar, ZHELATI) sono state pubblicate dalle aziende di sicurezza F-Secure, Sophos, PrevX, Trend Micro e McAfee.

SophosLabs classifica le nuove varianti “di capodanno” del malware come Mal/Dorf-H, Trend Micro come WORM_ZHELATI.AIS. Sophos commenta: “Gli autori di malware hanno dimostrato che per i codici nocivi la stagione delle festività è il momento ideale per rilasciare nuove minacce. La loro speranza è quella di capitalizzare su questa opportunità perché, presumibilmente, tutti sono impegnati con lo shopping natalizio, nel festeggiare o divertirsi, e non si accorgono o ricordano di dover aggiornare le definizioni dei propri antivirus. Questa non-azione è particolarmente pericolosa per gli utenti finali perché gli autori di malware a volte mirano specificatamente alle festività pubbliche quando gli utenti sono a guardia bassa“.

Le nuove varianti “New Year greeting card spam” tentano di dirottare le vittime sul sito uhavepostcard.com dove viene lanciato il download dell’eseguibile Happy2008.exe, una copia del codice nocivo. Nella giornata di oggi è stata isoalta un’ulteriore variante primaria: nuovo dominio infettivo happycards2008.com e nome file modificato in happy-2008.exe.

Prevx Research Lab commenta: “Fino a ieri abbiamo monitorato più di 700 varianti di Storm worm, ripacchettato ogni tot minuti dal server utilizzando una tecnica polymorphic-like per evadere il rilevamento da parte dei software antivirus. Ora il team di Storm worm ha mostrato il suo reale obiettivo: il nuovo anno. A partire da ieri pomeriggio il worm si sta diffondendo col nome di happy2008.exe. Abbiamo visto due varianti differenti di questa minaccia, diverse nel codice rispetto alla prima versione diffusa via spam durante gli scorsi due giorni. La prima è stata online per circa 10 ore e abbiamo visto 166 versioni repacked differenti che utilizzano la stessa tecnica polimorfica degli scorsi giorni“.

Secondo Sophos, la variante più recente non utilizza neanche il packing dell’eseguibile. A quanto pare i cybercriminali stanno tentando in questo modo di eludere il rilevamento dei software antivirus che sfruttano tecniche pro-attive per identificare packer runtime sospetti.

Fonte.

About these ads

Make a Comment

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

Iscriviti

Ricevi al tuo indirizzo email tutti i nuovi post del sito.

%d blogger cliccano Mi Piace per questo: