Una nota azienda antivirus avverte della scoperta di due nuovi worms che si stanno diffondendo nelle rete di instant messaging di Microsoft e America Online. I codici nocivi cancellano alcuni files sul PC infettato e lasciano i sistemi vulnerabili ad attacchi di hijacking.
Symantec ha pubblicato due alerts per i worms "Hotmatom" e "Maniccum", classificandoli entrambi a livello di rischio "2". L'azienda di sicurezza di Cupertino sfrutta una scala da 1 a 5 per quantificare il pericolo derivante da worms, viruses, e Trojans, di cui effettua una analisi.
Hotmatom, è un worm di lingua spagnola attivo sul network di instant messaging Microsoft MSN. L'infezione avviene tramite un messaggio che sembra provenire da un contatto IM fidato. Il messaggio fasullo avverte che è stato rilevato un "virus molto pericoloso" (virus muy peligroso), e offre un link ad una patch gratuita. Cliccando sul link, tuttavia, si esegue proprio l'installazione del worm sul sistema.
Una volta insediatosi nel PC ospite, Hotmatom elimina alcuni files nella root dei drive A:/ e C:/, e assegna i nomi dei files eliminati a nuove copie di se stesso (con estensione .exe). Si replica anche nella cartella di sistema (dho.exe) e disabilita il Task Manager modificando il registro di sistema. Il worm tenta anche di diffondersi tramite messaggio netsend nella rete locale e aggiunge un testo a tutti i successivi messaggi di posta elettronica inviati con Microsoft Hotmail dal computer infetto; il testo, in spagnolo o inglese, include i links per scaricare il medesimo codice nocivo.
Maniccum, invece, si propaga sia tramite la rete America Online AIM sia sul network di Microsoft MSN. Se installato il worm si replica nella cartella di sistema con un nome file random e si garantisce l'esecuzione automatica all'avvio della macchina tramite modifica del registro.
Maniccum apre quindi una backdoor sul PC attaccato (TCP port 5190) e tenta di disabilitare i programmi di sicurezza installati, inclusi alcuni software anti-virus e firewall, provando anche ad impedirne l'esecuzione al riavvio della macchina. La backdoor, che accetta comandi dall'attacker via IRC, può essere sfruttata per accedere a files, aggiornare il codice del worm, inviare ulteriori codici nocivi e messaggi AIM e/o MSN e lanciare attacchi denial-of-service (DoS).
Fonte
Symantec ha pubblicato due alerts per i worms "Hotmatom" e "Maniccum", classificandoli entrambi a livello di rischio "2". L'azienda di sicurezza di Cupertino sfrutta una scala da 1 a 5 per quantificare il pericolo derivante da worms, viruses, e Trojans, di cui effettua una analisi.
Hotmatom, è un worm di lingua spagnola attivo sul network di instant messaging Microsoft MSN. L'infezione avviene tramite un messaggio che sembra provenire da un contatto IM fidato. Il messaggio fasullo avverte che è stato rilevato un "virus molto pericoloso" (virus muy peligroso), e offre un link ad una patch gratuita. Cliccando sul link, tuttavia, si esegue proprio l'installazione del worm sul sistema.
Una volta insediatosi nel PC ospite, Hotmatom elimina alcuni files nella root dei drive A:/ e C:/, e assegna i nomi dei files eliminati a nuove copie di se stesso (con estensione .exe). Si replica anche nella cartella di sistema (dho.exe) e disabilita il Task Manager modificando il registro di sistema. Il worm tenta anche di diffondersi tramite messaggio netsend nella rete locale e aggiunge un testo a tutti i successivi messaggi di posta elettronica inviati con Microsoft Hotmail dal computer infetto; il testo, in spagnolo o inglese, include i links per scaricare il medesimo codice nocivo.
Maniccum, invece, si propaga sia tramite la rete America Online AIM sia sul network di Microsoft MSN. Se installato il worm si replica nella cartella di sistema con un nome file random e si garantisce l'esecuzione automatica all'avvio della macchina tramite modifica del registro.
Maniccum apre quindi una backdoor sul PC attaccato (TCP port 5190) e tenta di disabilitare i programmi di sicurezza installati, inclusi alcuni software anti-virus e firewall, provando anche ad impedirne l'esecuzione al riavvio della macchina. La backdoor, che accetta comandi dall'attacker via IRC, può essere sfruttata per accedere a files, aggiornare il codice del worm, inviare ulteriori codici nocivi e messaggi AIM e/o MSN e lanciare attacchi denial-of-service (DoS).
Fonte