Nuovo allarme di livello medio per le ultime varianti dei virus, ovvero Bagle.Z e Netsky.AB. Al momento le principali segnalazioni in Europa arrivano dalla Germania.
Bagle.Z, come il predecessore, Bagle.X cerca di confondere l’utente nell’apertura degli allegati utilizzando le cosiddette tecniche di social engineering. In questo caso il worm si camuffa come un documento protetto da password, oppure come avviso di risposta.
L’intestazione del messaggio è “Protected message” oppure “RE: Msg reply” e il corpo del messaggio include un file.jpg che si presume debba contenere la pasword richiesta per vedere l’allegato che si presenta con nomi tipo “Alive_Condom”, “Loves_money” o “MoreInfo”.
L’allegato contiene un worm che fa una copia di se stesso nella directory di Windows (come drvddll.exe) e aggiunge alcune chiavi al registro per l’esecuzione ad ogni riavvio. Bagle.Z colpisce tutte le versioni di Windows (da 95 a XP). Come Bagle.Z anche Netsky.AB utilizza tecniche di social engineering per confondere l’utente, con titoli come "Money", "Only love?" e "Privacy". Il corpo del messaggio presenta domande come "True love letter?" e "Why do you show your body?”, mentre gli allegati sono in formato PIF.

Rischio medio per il worm Bagle.X allarme di rischio medio per Bagle.X, nuova versione del popolare worm segnalato in Francia, Regno Unito, America Latina e Stati Uniti. A differenza delle precedenti versioni che sfruttavano una vulnerabilità di Internet Explorer, Bagle.X si maschera inserendo il nome del dominio dell'indirizzo del destinatario, come se il messaggio fosse spedito da un collega. Il worm si camuffa da screensaver o da eseguibile e una volta attivato disabilita i programmi antivirus e di sicurezza. Bagle.X si presenta con nomi femminili come Annie, Christina, Jessie, SecretGurl e con una fotografia in formato JPEG. Gli allegati sono di tipo com, exe, scr, zip e una volta eseguiti copiano il worm nella cartella di sistema di Windows (come Drvsys.exe) aggiungendo anche alcune chiavi nel registro per attivarsi automaticamente a ogni riavvio. Le piattaforme a rischio sono Windows 95, 98, ME, NT, 2000 e XP. Il worm, di tipo polimorfo, si propaga per posta elettronica o tramite condivisione di risorse di rete. A questo proposito il worm colloca una copia di se stesso nelle cartelle condivise, fingendo di essere un file scaricato illegalmente come Matrix 3 Revolution, Microsoft Office 2003 Crack o Porno Screensaver.

Sono arrivate a 20 le varianti di Netsky - Livello rosso per Netsky infatti le varianti S e T del worm che, a differenza dei predecessori, cercano di sfruttare le backdoor dei computer infetti.
Netsky.S agisce sulla porta TCP 6789 e punta a un attacco di tipo DOS (Denial Of Service). Nel mirino ci sono i siti di Kazaa ed Emule nel periodo che da 14 al 23 aprile. La sua propagazione avviene via e-mail e l’oggetto della e-mail può variare: i più diffusi sono: Hello, Hi!, Re: My details, Your information, Re: Approved, Re: Your document,...... Il file in allegato è un documento di tipo PIF.
Il worm si installa come file EASYAV.EXE nella directory di Windows e aggiunge la seguente chiave nel registro di sistema: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "EasyAV" = %WinDir%\EASYAV.EXE

Allarme giallo per W32.Netsky.P@mm - E' stato ufficializzato da Trend Micro e dalla Symantec un allarme di livello medio per Netsky.P, nuova variante del worm W32.Netsky.Q@mm, Win32/Netsky.P@mm, Worm/NetSky.P, W32/Netsky.P.worm che ha creato già danni per miliardi di dollari. Il nuovo worm è il risultato della guerra fra i creatori di Netsky e Bagle. Il worm sfrutta una vulnerabilità interna di Internet Explorer riguardante l'intestazione MIME (Leggere il bollettino rilasciato dalla Microsoft (MS01-020) Il codice virale si propaga via e-mail usando un proprio motore SMTP o via rete copiandosi nelle cartelle condivise dei sistemi colpiti. L'oggetto del messaggio, apparentemente innocuo, puo variare varia come ad esempio “Protected Mail Request” o “Mail Authentication”. Il testo contiene informazioni che traggono in inganno l'utente perchè sembrano arrivare da un produttore di antivirus e dichiarano che nessun virus è stato rilevato, inducendo quindi l'utente distratto ad aprire il messaggio. Il worm è residente in memoria e crea alcune chiavi nel registry in modo da essere eseguito automaticamente a ogni avvio di Windows. Le versioni dei sistemi operativi Windows 95, 98, ME, NT, 2000 e XP.

Alua o W32.Beagle.B@mm che variano dalla A alla U è un worm di distribuzione di massa che apre una backdoor sulla porta TCP 8866. Esso utilizza il proprio motore SMTP per la diffusione via e-mail ed è in grado di contattare l'autore del worm mediante la porta sulla quale la backdoor è in ascolto e un numero di identificazione casuale. Attacca i sistemi operativi da Windows 95 a XP. L'infezione avviene aprendo un messaggio di posta elettronica infetto. Non esistono regole per poterlo riconoscesce effettivamente ma generalmente le caratteristiche del messaggio e-mail sono le seguenti:
Da: <mascherato> Oggetto: ID <caratteri a caso>... thanks. Allegato: <caratteri a caso>.exe

Si sta diffondendo un pericoloso virus: alcuni software antivirus lo riconoscono come Mimail.R, altri come Novarg.A o MyDoom. Tutti i produttori di software antivirus hanno immediatamente marcato questo virus con il bollino rosso evidenziandone la grande pericolosità. Mimail.R è un virus worm che si diffonde come allegato a normali messaggi di posta elettronica. Quando un computer viene infettato, il virus installa, sul sistema, un proprio componente (backdoor) che rende il computer vulnerabile dall'esterno (vengono aperte le porte TCP 3127-3198). In questo modo, un utente malintenzionato può accedere indisturbato al computer infetto ed alle sue risorse. Il worm si diffonde anche attraverso i network peer-to-peer e può scaricare ed eseguire file sul computer infetto. Mimail.R, promette di sferrare un attacco DoS (Denial Of Service) verso il dominio sco.com a partire dal 1° Febbraio sino al 12 Febbraio prossimi. Come sempre, provvedete a mantenere costantemente aggiornato il vostro software antivirus. Il worm cerca di disattivare gli antivirus e i firewall presenti sulla macchina. Tale Virus si presenta all'interno di file allegati a mail e spesso provenienti da mittenti sconosciuti. Tipicamente i messaggi riportano come oggetto parole di tipo "Test", "Status", "hi", "hello", "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status Error"

I principali produttori di software antivirus segnalano la diffusione di due nuove varianti del virus Dumaru, ampiamente veicolato, nel corso dei mesi estivi, attraverso la posta elettronica. Entrambe le varianti si presentano in mailbox con un messaggio con oggetto: Important information for you. Read it immediately ! In allegato, al solito, il virus vero e proprio. Non minuisce invece, l'ondata di virus Sober (in particolare, la variante "C") che ormai da più di un mese sta riempiendo le caselle di posta elettronica degli utenti di tutto il mondo. Il suggerimento che possiamo dare è quello di mantenere costantemente aggiornato il software antivirus. Nel caso in cui si è stati infettati ecco alcuni tool che permettono la loro rimozione.

I principali sviluppatori di software anti-spyware informano tutti gli utenti circa la diffusione di CoolWWWSearch.SmartKiller, una pericolosa variante di CoolWWWSearch. Una volta entrato in funzione, CoolWWWSearch.SmartKiller è in grado di chiudere automaticamente qualunque finestra del browser sulla quale sia in corso un collegamento a siti web di produttori di software anti-spyware. CoolWWWSearch.SmartKiller è capace, inoltre, di interrompere l'esecuzione di programmi quali SpyBot-S&D, Ad-Aware e simili. Se notate comportamenti strani, provvedete a "disinfestare" il vostro personal computer da CoolWWWSearch.SmartKiller utilizzando il removal tool Delcwssk