Pubblichiamo il puntuale rapporto sulle minacce informatiche a cura di Panda Software.

In questo rapporto settimanale prenderemo nuovamente in considerazione il
worm Mydoom.A apparso lo scorso 27 gennaio e ci riferiremo a cinque
esemplari diversi quali: Mimail.T, Sdbot.MH, Gaobot:DQ, X-Scan.A e Y2k.

Nonostante l’attacco del worm si sia stabilizzato, il numero di computer
colpiti da Mydoom.A continua ad essere molto elevato, superando cinque
volte quelli di danneggiati da Downloader.L, il secondo virus più frequente
scoperto da Panda ActiveScan.

Mydoom.A è stato il codice maligno che si è diffuso più rapidamente nella
storia dell’informatica, tanto da provocare la maggiore epidemia
conosciuta finora. Come è ormai noto, il virus si propaga per posta
elettronica con un messaggio con caratteristiche variabili e attraverso un
programma di file condivisi (P2P) KaZaA. Se la data del sistema si trova
tra l’1 e il 12 di febbraio, realizza attacchi di Distributed Denial of
Service (DDoS) contro la pagina web www.sco.com, A partire dal 12 febbraio
2004, Mydoom.A annullerà gli effetti, terminando la sua esecuzione ogni
volta che sarà attivato.

La variante T del worm Mimail è stata inviata per posta elettronica con un
messaggio con caratteristiche variabili, includendo un file compresso con
il codice ? protetto con password -. Periodicamente verifica la connessione
a Internet, cercando di accedere alla pagina www.google.com. Inoltre, per
non apparire nella lista dei processi del Task Manager, Mimail.T registra
se stesso come un servizio di Windows.

Sdboat.MH è invece una backdoor che, una volta eseguita, si colloca
residente in memoria e si connette a un server per accedere a un canale IRC
specifico e ricevere comandi di controllo (quali ? per esempio ? scaricare
ed eseguire file, analizzare le porte, etc.)

Gaobot.DQ, il quarto worm di questo report, attacca i computer con sistema
operativo Windows 2003/XP/200/NT. Si diffonde realizzando copia di sé in
risorse di rete condivise nelle quali riesce ad entrare e sfruttando le
vulnerabilità RPC Locator, RPC DCOM e WebDAV. Di fatto, un chiaro segnale
di presenza di Gaobot.DQ in un pc è dato dal considerevole aumento del
traffico di rete attraverso le porte TCP 135 e 445, dovuto al suo intento
di approfittare dei problemi di sicurezza.
Dopo l’esecuzione, Gaobot.DQ si connette ad un server IRC determinato e
attende ordini di controllo. Termina anche processi appartenenti ai
programma antivirus, firewall e tool di monitoraggio del sistema e a codici
maligni quali Nachi.A e Sobig.F

X-Scan.A è un tool di hacking che analizza i computer e le reti in cerca di
vulnerabilità. Se ne trova una il tool registra tutte le digitazioni
realizzate durante la sessione. Ottiene numerosi dati dal pc colpito come
il tipo e la versione del sistema operativo, lo stato delle porte standard,
informazioni del Registro di Windows e dei protocolli SNMP/NETBIOS,
vulnerabilità CGI/IIS/RPC, server SQL/FTP/SMTP/POP3, etc.

Terminiamo il presente rapporto con Y2k, il joke che mostra sul video un
messaggio che simula la realizzazione di un’analisi per verificare che il
pc sia compatibile con l’arrivo dell’anno 2000. Durante questo accertamento
porta a termine altre operazioni, come aprire e chiudere l’icona CD Rom
posta sul system tray, creare degli sfarfallii sul monitor e cambiare la
direzione del puntatore del mouse. Quando il test fasullo è concluso, Y2k
informa l’utente che ha trovato un’irregolarità nello speacker del pc e se
non si rimuove il problema, il computer non potrà essere avviato per tutto
l’anno 2000. Alla fine, quando termina la sua esecuzione, questo joke
avvisa che l’intero processo è stato semplicemente uno scherzo.