Symantec Security Response ha confermato la notizia di un worm che si sta diffondendo attraverso e-mail sotto il nome di "Here you have" ("Qui si hanno"). La minaccia, di tipo social engineering, individuata da Symantec Giovedi 9 settembre, sta infettando centinaia di migliaia di computer in tutto il mondo. Il worm, infatti, arriva attraverso una mail di posta elettronica che chiede al destinatario di cliccare su un link all’interno del testo. Il link, in realtà, apre il file di un programma infetto che sembra un file PDF.
Quando l’utente clicca sul link, il PC immediatamente scarica e lancia il file dannoso, installando il worm sul computer della vittima, a sua insaputa. Le prime analisi hanno dimostrato che il worm disattiva molti prodotti Antivirus comuni, ma non i prodotti Norton/Symantec. Scovato da Symantec e dalle altre software house specializzate, W32.Imsolk.B @ mm è la variante di un worm già individuato un mese fa: il link remoto, camuffato da documento in formato PDF, porta al download di un file eseguibile .scr (estensione storica degli screensaver di Windows) che a sua volta contiene il payload malevolo vero e proprio. L'email originale è come quella riportata qui di seguito:
Hello:
This is The Document I told you about, you can find it Here.http://www.sharedocuments.com/library/PDF_Document21.025542010.pdf.src
Please check it and reply as soon as possible.
Cheers,
http://us.norton.com/here-you-have-email-virus |
In questo caso, il file effettivamente scaricato si chiama "PDF_Document21_025542010.pdf.scr" ed è ospitato sul dominio http://www.multimania.co.uk/. Questo file è una variazione di W32.Imsolk.A @ mm. Una volta in funzione sul computer, la minaccia tenta di mandare via e-mail una copia della mail originale a tutti gli indirizzi di posta elettronica trovati nella rubrica danneggiata dell’utente. Il worm cerca inoltre di diffondersi da computer a computer all’interno del network locale (quindi agli altri PC collegati di casa o dell’ufficio), effettuando copie di se stesso per aprire unità di condivisione e rimovibili trovate su altri computer del network.
Inoltre, tenta di diffondersi via e-mail ottenendo gli indirizzi di posta elettronica dal computer danneggiato. I report provenienti da varie fonti segnalano la presenza della nuova minaccia sui sistemi di Google, il network televisivo ABC/Disney, Coca-Cola, NASA e altrove. Il provider Comcast sarebbe stato addirittura costretto a spegnere i server di posta elettronica a causa dell'infezione. Imsolk è attualmente al centro degli studi dell'Internet Storm Center del SANS Institute, mentre la speranza degli esperti è che la dipendenza da una URL specifica permetta di contrastare e mettere fuori gioco l'infezione in tempi brevi.
Nessun commento:
Posta un commento