Virus Mydoom

SERVER DI POSTA
HOME	COMPUTER & DINTORNI	I VIRUS	Stampa la pagina

Purtroppo è un’epidemia! Paragonabile solamente a quanto provocato, a suo tempo, dai virus Blaster e Bugbear. Si tratta di Mydoom, worm al quale è stato assegnato un rischio di attacco elevato, da parte dei maggiori produttori di antivirus. Mydoom, conosciuto anche come W32/Mydoom@mm o W32.Novarg.A@mm, si propaga via Kazaa replicando se stesso nella directory condivisa oppure tramite posta elettronica. Nel caso della posta elettronica, purtroppo, vengono utilizzati non solo gli indirizzi e.mail presenti nella rubrica di posta dell’utente ma ne vengono anche creati a caso, usando nomi di dominio, con la conseguenza che aumenta il traffico attraverso i server di posta elettronica. Altra particolarità di Mydoom è che non usa il client (Outloox Express etc.) di posta elettronica presente sul computer che attacca ma ha un proprio programma per l'invio delle e.mail, impercettibile. Mydoom si camuffa come file di testo allegato ad una e.mail. Una volta attivato, avvia l'applicazione NotePad e vi inserisce una serie di caratteri senza senso. Inoltre, cerca di diffondersi via e.mail o tramite la directory condivisa di Kazaa. Il messaggio di posta che si può ricevere, con il worm Mydoom allegato, ha le seguenti caratteristiche: il mittente contiene l'indirizzo di posta elettronica di "mittenti conosciuti" ma anche di perfetti sconosciuti; l'oggetto, consiste in una descrizione sintetica che può variare e che, in genere, è: test; hi; hello; Mail Delivery System; Mail Transaction Failed; Server Report; Status; Error; anche il testo della e.mail varia e può essere del tipo "Mail Transaction Failed"; oppure "Partial Message is available" o, ancora, "The message contains Unicode characters and has been sent as a binary attachment"; "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment". Tutte le versioni di Windows, esclusa la 3.x, sono a rischio mentre non sono attaccabili i sistemi DOS, Linux, Unix e Os/2. Come sempre, è necessario ricordare che è importante non avviare file sospetti contenuti in allegato ad e.mail e di avere un antivirus sempre aggiornato. Infatti, Mydoom non ha alcun effetto se non si apre l'allegato che lo contiene. Attualmente Mydoom è conosciuto, dalle case produttrici di antivirus, nelle varianti A e B. Una delle caratteristiche che differenzia la variante B dalla A è che nei sistemi operativi Windows NT, 2000, XP e 2003 il file "%SYSDIR%\drivers\etc\hosts" viene modificato con lo scopo di bloccare qualsiasi tentativo, da parte dell'utente, di visitare i siti Web dei produttori di software antivirus come Symantec, Sophos, McAfee, F-Secure, Kaspersky, Computer Associates, Trend Micro e altri, oltre a quello di Microsoft. Fortunatamente, proprio Microsoft ha rilasciato un tool gratuito chiamato MyDoom (A,B) Worm Removal Tool for Windows XP and Windows 2000 che permette la rimozione del virus e di ripristinare una copia sana del file "hosts". (febbraio 2004)