Allarme di rischio medio per Kelvir.B e Fatso.A. Inviano agli utenti un instant message con un link a siti Web con codice maligno La particolarità di questi worm è che inviano agli utenti un instant message contenente un link a siti Web dai quali, all’insaputa degli utenti di MSN Messenger, vengono scaricati programmi bot in grado di aprire delle backdoor. Inoltre viene scaricata una copia del codice virale. I due worm sono residenti in memoria e diffondono una copia di se stessi a tutti i contatti on line di MSN Messenger.
Il messaggio di Fatso.A è il seguente:
Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king
Saving the world from Bropia, the world n33ds saving from you!
'-S-K-Y-'-D-E-V-I-L-'
Registra nei sistemi infetti diversi file fra i quali Fat Elvis! Lol.pif, Jennifer Lopez.scr, How a Blonde Eats a Banana.pif, Topless in Miniskirt!lol.pif.
Entrambi i worm sono in grado di colpire PC basati su Windows 9x, ME, NT, 2000 e XP.

Una nuova variante del worm MyDoom.BB o AX Il virus arriva via posta elettronica come allegato e, una volta avviato, fa una copia di se stesso nella macchina infetta installando il file Java.exe. Inoltre installa il file Services.exe che cerca di aprire una backdoor sulla porta 1034. L'oggetto del messaggio è variabile e può includere i seguenti termini:
hello - hi - error - status - test - report - delivery failed - Message could not be delivered - Mail System Error Returned Mail - Delivery reports about your e-mail - Returned mail: see transcript for details - Returned mail: Data format error delivered
La particolarità di questa nuova variante è che il virus cerca indirizzi di posta cui inviarsi utilizzando i motori come Google, Lycos, Yahoo e Altavista. MyDoom, infatti, utilizza il nome del domino degli indirizzi trovati sulla macchina infetta come chiave per la ricerca di altri indirizzi e-mail. Secondo i maggiori vendor, la diffusione di MyDoom.BB sta aumentando, ma il rischio di essere contagiati è ridotto al minimo se si tiene aggiornato il proprio antivirus.

Ritorna il virus I Love You, ritorna il virus. I produttori antivirus avvisano che c'è un ritorno della tecnica usata in passato per indurre l'utente ad aprire allegati con codice virali. L'email che arrivano hanno come oggetto I Love You oppure Re: LOV YA! con in allegato il file LOVE_LETTER.TXT.exe che nasconde il virus W32/Assiral-A. Una volta lanciato l’eseguibile, il worm apre una pagina Web su Geocities e cerca di mandare una copia del codice virale agli utenti trovati nelle rubriche del PC infetto.

Si sta diffondendo una nuova variante del virus W32/Sober che arriva per posta elettronica come allegato. I maggiori produttori di antivirus allertano l'utenza che questa nuova variante del worm Sober è molto aggressiva. Sober.K è un worm di tipo mass-mailer, ovvero si diffonde via posta elettronica prendendo i contatti dalle rubriche presenti nei PC infetti. Si presume che il worm abbia origine dalla Germania. L ’oggetto del messaggio (in lingua tedesca o inglese) può includere le seguenti frasi:
Alert! New Sober worm,
Paris Hilton Sex Videos
You visit illegal websites
Your new Password
Non solo, il messaggio può visualizzare anche un finto avviso da parte dei produttori di antivirus che sollecitano di lanciare l’allegato spacciandolo per una patch. Se l’utente apre l’allegato, Sober.K copia il codice virale nel computer attraverso i file filenamescsrss.exe, winlogon.exe e smss.exe. L'identificazione della presenza del worm, da parte dell'utente, risulta facile visto che, una volta infettato il PC, il virus apre Notepad visualizzando il contenuto del file systemdrive%/windows/temp/doc_data-text.txt. A rischio sono i sistemi operativi Windows 95, 98, NT, 2000, 2003, XP. Per maggiori informazioni fate riferimento a queste pagine di Panda Software e Sophos.

L'azienda Trend Micro informa l'utenza di una una nuova minaccia, di livello medio, di un un worm che contiene al proprio interno un programma spyware. Il worm si diffonde via posta elettronica con nomi di vari subject (details, girls, image, love, message, giusto per citarne alcuni) e un allegato in formato zip. Una volta avviato, il worm deposita una propria copia nella cartella di sistema di Windows usando un nome di file casuale. La caratteristica da sottolineare è che il worm registra nella cartella di sistema anche un file DLL che corrisponde a un componete di IESpy, un programma spyware. Wurmark.J è in grado di memorizzare i tasti digitati dall'utente, salvando i log all'interno di una cartella di un file DLL casuale.

E' stato resa nota dalla Sophos la notizia della creazione di un Trojan in grado di disabilitare e rendere inoperativo il software anti-spyware rilasciato, in vesione beta, dalla casa Microsoft. Il software anti-spyware era stato progettato acquisendo la tecnologia di una piccola società americana: la Giant. Il Trojan di nome Bankash-A cercherebbe di ottenere informazioni personali sull'utente, come password ed informazioni sugli account per l'on-line banking.

E' stato resa nota dalla Sophos la notizia della creazione di un Trojan in grado di disabilitare e rendere inoperativo il software anti-spyware rilasciato, in vesione beta, dalla casa Microsoft. Il software anti-spyware era stato progettato acquisendo la tecnologia di una piccola società americana: la Giant. Il Trojan di nome Bankash-A cercherebbe di ottenere informazioni personali sull'utente, come password ed informazioni sugli account per l'on-line banking.

E' stato resono noto dalla Sophos della divulgazione di un nuovo worm. La nuova versione di Forbot colpisce il noto database, usato da milioni di utenti in tutto il mondo. Gli amministratori di sistema e gli utenti del database MySql devono prestare particolare attenzione alla nuova versione di Forbot (DY). Si tratta di un worm che tenta di diffondersi nella rete con finte password e sfruttando due vulnerabilità nei sistemi Microsoft. A rischio sono tutte le versioni di Windows sulle quali gira MySql. Si stima che ci siano più di 5 milioni le installazioni in tutto il mondo. Oltre a diffondersi via Internet, Forbot.DY cerca di creare il cosiddetto zombie bot che permetterebbe ai cracker di lanciare da remoto un attacco di tipo DOS (Denial Of Service) con l’obiettivo di mettere fuori uso i siti in seguito al bombardamento di messaggi e-mail. Così gli Alias del worm: Win32.ForBot.LM [Computer Associates], Backdoor.Win32.Wootbot.al [Kaspersky Lab], W32/Sdbot.worm!166912 [McAfee], W32/Forbot-DY [Sophos], WORM_WOOTBOT.FV [Trend Micro]