Minacce informatiche: nuove varianti di worm
Le varianti O e N di Bagle hanno diverse caratteristiche in comune e le più
significative sono le seguenti:
– Si diffondono attraverso i programmi di condivisione di file P2P e
mediante la posta elettronica in un messaggio scritto in inglese, con
caratteristiche variabili, che contiene un file allegato (nella variante O
ha un’icona simile a quella del Notepad, mentre nella N l’icona sembra
quella del font True Type).
– Colpiscono file PE (Portable Executable), aumentando la loro grandezza
(nella variante O l’incremento è pari a 44 KB mentre nella N raggiunge i 21
KB)
– Entrambe aprono una backdoor attraverso la posta TCP 2556
– Terminano i processi corrispondenti a diversi programmi, tra i quali
antivirus, firewall, tool di monitoraggio del sistema e altri processi
legati a varianti precedenti di Bagle e Netsky.
– Si eseguono solo se la data del sistema è minore o uguale al 31 dicembre
del 2005
Nello specifico ci sono alcuni elementi che differenziano le due nuove
varianti di Bagle:
– Bagle.O contiene un testo nel suo codice che non appare mai e presenta
l’immagine di una farfalla
– Bagle.N è un codice maligno polimorfico.
– La loro grandezza quando sono compressi o decompressi: quella di Bagle.O
è rispettivamente di 23558 e 44189 byte mentre quella di Bagle è di 20650 e
38570 byte.
Le altre tre varianti di Bagle sono la Q, la R e la S. La prima e l’ultima
danneggiano i file. Bagle.Q, inoltre, cerca di scaricare un file da
Internet per poi eseguirlo nel pc . Secondo i dati di PandaLabs, questa
variante ha avuto un’ampia diffusione.
Terminiamo questo rapporto settimanale con le due nuove varianti N e O di
Netsky. Si inviano per posta elettronica, utilizzando il loro stesso motore
SMTP, a tutti gli indirizzi che trovano nei file che hanno determinate
estensioni. A sua volta, nel computer danneggiato, creano diversi file –
alcuni di questi in formato MIME (Multipurpose Internet Mail Extentions) e
eliminano le entrate appartenenti a vari worm, tra i quali Mydoom e Bagle.
Inoltre, generano un mutex per evitare che ci siano esecuzioni allo stesso
tempo.
Le due varianti si differenziano essenzialmente sul testo del messaggio nel
quale sono inviati, sui file che copiano per colpire il computer e
sull’entrata del registro che generano.