I virus della settiman: Nestsky.C, Bizex.A, N
Netsky.C si diffonde attraverso la posta elettronica in un messaggio
scritto in inglese e con caratteristiche variabili – e mediante i
programmi condivisi di file P2P. Questo codice maligno cancella le entrate
appartenenti a diversi worm, tra i quali Mydoom.A e Mimail.T.
Bizer.A, si diffonde attraverso il programma di Instant Message ICQ. Per
scaricare ed eseguire una copia di sé nel computer colpito, sfrutta due
vulnerabilità recentemente scoperte in Internet Explorer.
Bizer.A cerca di rubare le informazioni che l’utente inserisce in siti web
legati a determinate entità finanziarie così come quella inviata via HTTPS
(HTTP over Secure Socket Layer) relativa ai domini login.yahoo.com e
.passport. I dati che ottiene li invia al server FTP.
Il terzo worm è Nachi.D che ha come bersaglio pc con sistemi operativi
Windows 2003, XP, 2000 o NT. Con l’obiettivo di propagarsi al maggior
numero possibile di computer sfrutta tre vulnerabilità – Buffer Overrun
nell’interfaccia RPC, WebDAV e Buffer Overrun nel Service Workstation ? per
scaricare una copia di sé. Questa azione provoca un aumento del traffico di
rete per le porte TCP 80, 135 e 445.
Nachi.D è capace di disinstallare le varianti A e B di Mydoom e di
Doomjuice, terminando i suoi processi e eliminando i file associati. Quando
arriva la data 1 di giugno 2004 il worm si cancella da solo.
Analogamente a Netsky.C, Mydoom.F si diffonde per posta elettronica con un
messaggio in inglese con caratteristiche variabili. Si tratta di un codice
maligno distruttivo, dato che elimina tutti i file che hanno uno delle
seguenti estensioni: AVI, BMP, DOC, JPG, MDB, SAV e XLS.
Mydoom.F installa una DDL che contiene una backdoor e permette di
finalizzare processi corrispondenti a programmi antivirus, lasciando così
il pc vulnerabile agli attacchi di altri malware. Inoltre, quando la data
del sistema si trova tra il 17 e il 22 di qualsiasi mese dell’anno, questo
worm realizza attacchi di Distributed Denial of Service (DDoS) contro le
pagine www.microsoft.it e www.ria.com. Due volte su tre l’attacco è rivolto
al sito di Microsoft. Sette volte su dieci la presenza di Mydoom.F si
riscontra nella comparsa di un messaggio di errore.