SalvaPC News - sicurezza per tutti N. 101 di martedi' 14 dicembre 2004
Supplemento a Punto Informatico
UNA NUOVA MINACCIA
Sotto Natale anche quest'anno,
come gia' accaduto in anni
precedenti, si presentano nuovi
worm che cercano di sfruttare la
corrispondenza elettronica
natalizia per indurre gli utenti
ad accedere a file che possono
creare non pochi problemi.
In queste ore sta emergendo il
nuovo worm Zafi.d (anche
chiamato Erkez.D) che si ritiene
di origine ungherese e che
preoccupa non poco i centri di
sicurezza antivirus. Zafi.d puo'
colpire tutt ele versioni di
Windows, dalla 95 in poi.
COME RICONOSCERE ZAFI.D
Il
worm si presenta all'utente
all'interno di una email che
appare come una cartolina di
auguri natalizi ma si diffonde
anche attraverso i sistemi di
file sharing peer-to-peer. I
paesi europei nei quali fino a
questo momento e' stata
segnalata la massima diffusione
sono Germania, Spagna e Francia.
SalvaPC ha rilevato diverse
infezioni in Italia. Cio' si
deve al fatto che l'email puo'
arrivare non solo in inglese,
come succede con gran parte dei
worm, ma anche in molte altre
lingue, compreso l'italiano.
Riconoscere il nuovo worm non e'
facile ma, nella versione
italiana, si presenta con un
subject esplicito: "Re: Buon
Natale!" oppure "Fw: Buon
Natale!", o anche "Buon
Natale!". Nel testo
del messaggio, nella versione
italiana, si legge: "* Buon....
....Natale! * :) (NOME UTENTE)"
In allegato si trovano diversi
tipi di file che hanno per
estensione pif, .cmd, .bat, .com
o .zip ma che in ogni caso nel
nome fanno riferimento ad una
cartolina di auguri natalizia,
ad esempio
"cartoline.christmas.index.jpg3051.zip".
Il mittente del messaggio ancora
una volta non e' il PC infetto
quanto invece uno degli
indirizzi trovati da Zafi.d sui
computer infettati ed utilizzati
per l'invio delle email infette.
I DANNI DI ZAFI.D
Trend
Micro e F-Secure ritengono
Zafi.d piuttosto insidioso. Una
volta avviato il file infetto,
il worm si inserisce nel
registro di Windows in modo tale
da assicurarsi di essere sempre
attivo quando il PC viene
riavviato. Inoltre copia se
stesso con il nome di "winamp
5.7 new!.exe" o "ICQ 2005a new!.exe"
nelle cartelline del PC il cui
nome comprenda i termini
"share", "upload" o "music".
Per ottenere gli indirizzi a cui
inviare il proprio codice
malevolo, Zafi.d scansiona una
quantita' di file diversi sul PC
nonche' tutta la rubrica di
Windows, dopodiche' si
autospedisce a tutti gli
indirizzi trovati. Sfruttando un
proprio motore SMTP, Zafi.d
cerca di impedire che l'utente
si accorga dell'invio dei
messaggi abusivi.
Per cercare di non essere
rilevato dalle societa' di
sicurezza antivirus e dai grandi
portali web, Zafi.d non viene
inviato ad indirizzi che
contengano tutta una serie di
nomi noti, da "hotm" (che sta
per Hotmail) a "kasper" (che sta
per Kaspersky Labs).
Non contento, Zafi.d cerca di
disattivare tutte le
applicazioni antivirus e di
sicurezza attive sul PC
infettato. Non solo, installa
anche una backdoor sulla porta
8181 che consente dall'esterno
di accedere al PC, cancellare
dati o importarvene di nuovi.
COME DIFENDERSI
Come sempre in presenza di un
worm di questo tipo e'
necessario non aprire
l'allegato. In questo caso e'
ancora piu' necessario perche'
non tutti i centri antivirus
hanno gia' sviluppato un
aggiornamento dei propri sistemi
di protezione ed e' dunque
necessaria la massima cautela.
Uno scanner antivirus che
colpisce Zafi.d e' stato messo a
punto da Trend Micro ed e'
disponibile all'indirizzo:
http://it.trendmicro-europe.com/enterprise/products/housecall.php
Qualora si sia individuato Zafi.d sul proprio computer e' necessario seguire una
procedura complessa di rimozione, come descritto ancora da Trend Micro:
- aprire il file di registro (regedit da "Esegui" del menu' avvio)
- aprire la chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
- sulla destra cercare e cancellare le
chiavi:
Wxp4 = "SYSTEM\Norton Update.exe" ("SYSTEM" va sostituita con il percorso della
cartella di sistema di Windows ("system" appunto) che varia a seconda della
versione di Windows o delle preferenze dell'utente.
Attenzione pero', modificare il registro senza sapere esattamente cosa si sta
facendo puo' rendere il computer inservibile.
ULTERIORI
INFORMAZIONI
----------------------
Per ora sono disponibili le seguenti pagine di approfondimento.
SSR:
http://www.sarc.com/avcenter/venc/data/w32.erkez.d@mm.html
F-Secure:
http://www.f-secure.com/v-descs/zafi_d.shtml
Trend Micro:
http://it.trendmicro-europe.com/enterprise/
security_info/ve_detail.php?VName=WORM_ZAFI.D