www.MegaLab.it

Il virus MyDoom è stato senza dubbio uno dei problemi più gravi che Rete abbia dovuto fronteggiare: con migliaia di dollari di danni e decine di ore di downtime per molti sistemi mission-critical, questo vermicello è stato una vera e propria pestilenza per Internet.

Ora il verme sembra riproporsi in una nuova versione potenziata ed aggiornata che introduce qualche sostanziale novità nella propria diffusione rispetto al solito allegato infetto .

MyDoom.AH, questo il nome assegnato dai laboratori mondiali di sicurezza al worm, si replica infatti senza allegato, spedendo a tutti gli indirizzi raccolti sul sistema infetto una e-mail con un semplice indirizzo web che, se aperto con il browser Internet Explorer, causa l'esecuzione automatica di uno script che installa il virus.

Le piattaforme concorrenti invece, come Opera, Mozilla e naturalmente tutti i sistemi Linux e Macintosh, sono immuni dal problema, cosìccome i sistemi Windows XP su cui sia stato installato Service Pack 2.

Per impedire di rendere inefficace la propria diffusione mediante la semplice chiusura del sito di distribuzione, il worm installa un server http su ogni computer compromesso, erogando da esso le pagine web in grado di infettare il sistema.

Le e-mail infette sono facilmente riconoscibili dall'oggetto hi!, hey!, Confirmation oppure nessun oggetto e dal contenuto del messaggio, che induce l'utente ad aprire il collegamento alla pagina malformata facendo leva su aspetti psicologici.

Ecco alcuni esempi.

Questo primo testo avvisa che sulla carta di credito dell'utente sono appena stati addebitati 175 dollari, e invita a cliccare il link per maggiori informazioni al riguardo.

Congratulations! PayPal has successfully charged$ 175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.

To see details please click this link .

Thank you for using PayPal.

Ancora, una ragazza di Miami desidera fare nuove amicizie

Hi! I am looking for new friends.

My name is Jane, I am from Miami, FL.

See my homepage with my weblog and last webcam photos!

See you!

Gli amministratori di sistema posso rilevare la presenza del worm controllando il traffico sulle porte da 1639 a 1650 mentre per l'utenza desktop è raccomandato l'aggiornamento delle definizioni dell'antivirus, nonché naturalmente la massima prudenza nel cliccare su link provenienti da mittenti sconosciuti.

Alcuni test preliminari sembrano confermare che anche l'antivirus via web Panda ActiveScan è in grado di rilevare e rimuovere il worm.