In questo rapporto settimanale sulle minacce informatiche prenderemo in considerazione sei worm -Mydoom.A y Mydoom.B, le varianti Q e S di Mimail, Gaobot.DK e
Dumaru.Z- e il trojan Govnodav.A . Tra queste minacce in particolare Mydoom.A,
ha avuto un ruolo da protagonista per aver generato la scorsa settimana una
delle maggiori epidemie della storia dell’informatica.

Mydoom.A e Mydoom B si diffondono per posta elettronica con un messaggio
che ha caratteristiche variabili e attraverso il programma di file
condiviso (P2P) KaZaA. Qui di seguito alcune azioni che i virus portano a
termine nel pc colpito:

– Introducono un’agenda link dinamica che a sua volta crea una backdoor che
apre la prima porta TCP disponibile dal 3127 al 3198.

– Realizzano attacchi di Distributed Denial of Service (DDoS) contro la
pagina web www.sco.com, inviando richieste GET/http/1.1

– Aprono il Block Notes di Windows (NOTEPAD.EXE) e mostrano del testo
spazzatura

I due virus hanno però alcune differenze, per esempio:
– Al fine di assicurarsi che due copie di Mydoom.A non vengano eseguite
allo stesso tempo, il worm genera un mutex (Mutual Exclusion Object)
chiamato SwbSipcSmtxSO

– Mydoom.B sovrascrive il file HOSTS di Windows, che permette di
ri-direzionare alcuni indirizzi Internet, incluso quelli di alcune
compagnie produttrici di antivirus tanto da impedire che molti antivirus
possano essere scaricati con gli aggiornamenti corrispondenti.

– Mydoom.B è disegnato per causare attacchi di Denial of Service contro i
server di Microsoft.

Anche le varianti S e Q di Mimail si diffondono per posta elettronica con
messaggio con peculiarità variabili. La caratteristica fondamentale di
questi worm è che mostrano un falso formulario proveniente da Microsoft
attraverso il quale l’utente è indotto a fornire informazioni confidenziali
(numero della carta di credito, PIN etc.). I dati che raccolgono vengono
inviati ad un indirizzo di posta.

Gaobot.DK è invece un worm che danneggia computer con i sistemi operativi
Windows 2003/XP/2000/NT. Per diffondersi alla maggior numero possibile di
pc sfrutta le vulnerabilità RPC Locator, RPC DCOM e WebDAV. A sua volta si
diffonde realizzando copie di sé in risorse condivise della rete alle quali
riesce ad accedere.

Una volta eseguito, Gaobot.DK si connette ad un server IRC determinato e
attende ordini di controllo. In sostanza, finalizza processi appartenenti a
programmi antivirus, firewall e tool di monitoraggio del sistema, rendendo
così il pc vulnerabile agli attacchi di altri virus o worm. Allo stesso
modo, termina i processi corrispondenti a Nachi.A, Autorooter.A, Sobig.F e
diverse varianti di Blaster. Inoltre, Gaobot.DK permette di ottenere
informazioni sul computer, eseguire i file, realizzare attacchi di
Distributed Denial of Service, ricevere file da FTP, etc.

Dumaru.Z è l’ultimo worm di oggi. Si diffonde per posta elettronica con un
messaggio che ha come oggetto "Important information for you. Read it
immediately !", e include un file chiamato "MYPHOTO.ZIP". e si invia a
tutti gli indirizzi che trova in una e-mail che include il codice
Explot/frame, che gli permette di attivarsi se il messaggio è visualizzato
attraverso il Preview Pane di Outlook.
Nel pc che colpisce, la variante Z di Dumaru ruba informazioni sugli
account e-gold e apre le porte 2283 e 10000. Inoltre, scarica il worm
Spybot.FC, che cerca di connettersi al server IRC del dominio
egold-hosting.com e disattiva vari tool amministrativi come, per esempio,
il Task manager e il Windows Register editor.

Infine, nel panorama dei virus della settimana compare Govnodav.A, un
trojan con caratteristiche di Keylogger. Anche se non si propaga
autoinviandosi, è stato mandato per posta elettronica in forma massiva. Si
trova in certe catene di testo realizzate dall’utente che salva in un file
che invia per posta al creatore del virus.