Diffusione del primo worm in grado di sfruttare la vulnerabilità di sicurezza presente nel servizio Plug&Play di Windows, risolta appena qualche giorno fa con il rilascio - da parte di Microsoft - della patch MS05-039 (Microsoft Security Bulletin MS05-039) (Aggiornamento della protezione per Windows XP (KB899588)). Il worm per diffondersi, una volta infettata una macchina, va alla ricerche di altri sistemi vulnerabili. In particolare, il virus tenta di collegarsi ad un insieme di indirizzi IP casuale attraverso la porta TCP 445. Se la connessione ha successo, il Worm apre la porta 8888 dalla shell di sistema (cmd.exe): a questo punto viene effettuato il download del codice nocivo del worm attraverso una connessione FTP con la macchina infetta (posta "in ascolto" sulla porta 33333). A questo punto, il sistema comincia a sua volta a cercare in Rete altre macchine vulnerabili ed apre la porta a qualunque genere di razzia da parte di malintenzionati. Il Worm modifica anche il file HOSTS di Windows inibendo l'apertura dei siti web delle principali case produttrici di software antivirus.
Suggeriamo l'immediata installazione delle patch di sicurezza rilasciate da Microsoft (Aggiornamento della protezione per Windows XP (KB899588)) nonché l'adozione di adeguate soluzioni firewall.

Segnalata dai laboratori PandaLabs l'arrivo di un nuovo trojan, PGPCoder.B, progettato per “ricattare” gli utenti. L'estorsione si attiva il momento in cui l’utente va a eseguire l’allegato al messaggio, il trojan cripta tutti i file che trova nel PC con determinate estensioni ed esige l’acquisto di un’applicazione per far tornare il PC allo stato originale. Dopo la cifratura dei file, viene visualizzato un file di testo con il seguente messaggio:
Some files are coded.
To buy decoder mail: md56@mail.ru
with subject: PGPcoder md56
La diffusione del trojan attualmente è molto limitata. PGPCoder.B infatti non ha la capacità di autoinviarsi via posta elettronica, ma deve essere distribuito direttamente dall’autore. Può comunque diffondersi anche tramite FTP, download via Internet, sistemi peer-to-peer. Le piattaforme interessate sono: Windows 2003/XP/2000/NT/ME/98/95

Divulgato dai laboratori PandaLabs un nuovo Trojan - Sikou.A -, che si diffonde attraverso un documento di Microsoft Word. Il Trojan è stato trovato in un documento di Word progettato per sfruttare la vulnerabilità MS03-037 di Microsoft che consente al Trojan di accedere al sistema nel momento in cui l'utente apre il documento. Una volta avviato inizia la sua installazione inserendo una copia di sé nella cartella del sistema e installando due file, uno dei quali contiene la funzioni del Trojan, l'altro è invece un driver che permette di nascondere le attività del codice maligno all'utente del sistema, così da rendere complicata la rilevazione del malware. Il Trojan una volta installato e nascosto cerca di accedere a un file di testo collegato ad un indirizzo Internet, che contiene un secondo indirizzo e una porta dove accederà in un secondo momento. Questo file può essere aggiornato periodicamente dall'autore del malware, in modo che le localizzazioni alle quali accede il Trojan varino e sia più complesso neutralizzarlo. Le piattaforme interessate sono: Windows XP/2000/NT/ME/98

Se avete la vostra casella invasa di e-mail, allora è probabile che si tratti di spam prodotti da sistemi "infettati" dal trojan Sober.Q.
Infatti alcune varianti del worm Sober in questi giorni hanno infettato ben l'80% dei PC, proponendosi all'ignaro utente con delle e-mail esca del tipo: "Complimenti, hai vinto due biglietti per i prossimi mondiali di calcio". Adesso, il trojan Sober.Q, ha iniziato ad inviare spam utilizzando i sistemi precedentemente infettati dalla variante Sober S.
L'oggetto dei messaggi inviati da Sober.Q può contenere uno dei seguenti testi (ma sono possibili anche molte altre varianti):
'4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass'
'Auf Streife durch den Berliner Wedding'
'Auslaender bevorzugt'
'Deutsche Buerger trauen sich nicht ...'
'Auslaenderpolitik'
'Blutige Selbstjustiz'
'Dresden 1945'
'Gegen das Vergessen'
'Deutsche werden kuenftig beim Arzt abgezockt'
'Tuerkei in die EU'
'Vorbildliche Aktion'
'60 Jahre Befreiung: Wer feiert mit?'
'Multi-Kulturell = Multi-Kriminell'
'Turkish Tabloid Enrages Germany with Nazi Comparisons'
'The Whore Lived Like a German'
'Armenian Genocide Plagues Ankara 90 Years On'
'Schily ueber Deutschland'
Una riflessione da fare è quella di prendere in seria considerazione la soluzione di installare un antispam. Software consigliato

L'azienda Trend Micro informa l'utenza di una una nuova minaccia, di livello medio, di un un worm che contiene al proprio interno un programma spyware. Il worm si diffonde via posta elettronica con nomi di vari subject (details, girls, image, love, message, giusto per citarne alcuni) e un allegato in formato zip. Una volta avviato, il worm deposita una propria copia nella cartella di sistema di Windows usando un nome di file casuale. La caratteristica da sottolineare è che il worm registra nella cartella di sistema anche un file DLL che corrisponde a un componete di IESpy, un programma spyware. Wurmark.J è in grado di memorizzare i tasti digitati dall'utente, salvando i log all'interno di una cartella di un file DLL casuale.