La settimana scorsa, i virus sono stati nuovamente protagonisti nel
panorama della sicurezza informatica. Tutto ciò è la conseguenza di una
cyber-guerra dichiarata tra diversi autori di virus, che sono arrivati
addirittura a scambiarsi messaggi offensivi nascosti nel codice del virus
stesso.

Negli ultimi giorni sono comparse ben 9 varianti (C, D, E, F, G, H, I, J e
K) di Bagle. Sono tutte molto simili al worm originale ma si differenziano
in aspetti quali la misura del file che contiene il codice maligno o la
data nel quale è stata programmata l’esecuzione. Le nuove varianti di Bagle
si diffondono efficacemente attraverso i programmi P2P e la posta
elettronica con messaggi con caratteristiche variabili. Creano anche una
backdoor nella porta TCP 2745.

Tuttavia, è necessario sottolineare che alcune di queste varianti di Bagle
possono arrivare al computer in un file allegato in formato ZIP, protetto
da password. Di conseguenza i programmi antivirus non possono analizzare il
contenuto per verificare che sia portatore di un virus prima che venga
decompresso, ciò può indurre a un falsa percezione di sicurezza. Per
evitare questo, Panda Software ha incluso nei suoi antivirus una funzione
specifica per la scoperta di questi tipi di file così da poter proteggere
in anticipo i suoi clienti.

Un altro grande attore della settimana è il worm Netsky, del quale si sono
scoperte le varianti D, E, F, H e F. In particolare Netsky.D è il codice
maligno che ha causato il maggior numero di danni in tutto il mondo, tanto
che per parecchi giorni ha occupato la prima posizione nella classifica dei
virus più frequentemente individuati da Panda ActiveScan. Anche queste
varianti sono molto simili tra loro e si differenziano essenzialmente nella
data nella quale sono stati programmati per emettere un suono particolare
attraverso un altoparlante interno al computer colpito o nella forma nella
quale sono stati studiati. Si tratta di codici maligni che si diffondono
rapidamente per posta elettronica con un messaggio che ha diverse
caratteristiche. Inoltre, lo fanno in modo efficiente mediante l’apertura
di fili di esecuzione per auto-inviarsi. Per esempio, Netsky.D è capace di
aprire fino a otto processi differenti.

Il terzo contendente della guerra è la famiglia dei worm Mydoom, le cui
varianti G e H, molto simili tra loro, sono state rilevate da PandaLabs. Si
tratta di un worm che si invia per posta elettronica e che è stato
disegnato per realizzare un attacco denial of service contro il website di
un’azienda produttrice di antivirus.

Infine, bisogna menzionare Nachi.E, la nuova variante del worm che si
diffonde direttamente via Internet e che sfrutta le vulnerabilità
conosciute come Buffer Overrun nell’interfaccia RPC, WebDAV e Buffer
Overrun nel Workstation Service. Nechi.E è capace inoltre di disinstallare
Mydoom.A, Mydoom.B, Doomjuice.A e Doomjuice.B, terminando i loro processi
ed eliminando i file associati.