IN
PILLOLE
----------
Minaccia: intrusione nel computer, spionaggio e uso della
propia connessione
Mezzo: email
Pericoli: per i dati, la privacy e la propria connessione
Sistemi interessati: Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows XP
Azioni possibili: fare attenzione alle email e i loro
allegati
UN NUOVO
ALLARME
----------------
Sta destando preoccupazione la crescente diffusione di un
cavallo di Troia (Trojan Horse) scoperto il 19 gennaio scorso. Si
tratta di un piccolo programma che raggiunge i computer via email.
Per Symanetc si chiama Trojan.Peacomm ed è un
programma che una volta installatosi nel computer comincia a scaricare
altri file potenzialmente pericolosi, l'allarme è di livello
3 (su 5 che equivale alla massima allerta). Altri nomi per la stessa
minaccia sono: CME-711, TROJ_SMALL.EDW, Small.DAM, Downloader-BAI,
Troj/Dorf-Fam.
IL TROJAN
CONOSCIUTO
--------------------
Per fortuna è abbastanza facile individuare
l'email che porta con sé questo trojan: il soggetto
dell'email è in inglese e può essere uno tra i
seguenti:
- A killer at 11, he's free at 21 and kill again!
- U.S. Secretary of State Condoleezza Rice has kicked German
Chancellor Angela Merkel
- British Muslims Genocide
- Fidel Castro dead.
- Naked teens attack home director.
- 230 dead as storm batters Europe.
- Re: Your text
- Radical Muslim drinking enemies's blood.
- Chinese missile shot down Russian satellite
- Chinese missile shot down Russian aircraft
- Chinese missile shot down USA aircraft
- Chinese missile shot down USA satellite
- Russian missile shot down USA aircraft
- Russian missile shot down USA satellite
- Russian missile shot down Chinese aircraft
- Russian missile shot down Chinese satellite
- Saddam Hussein safe and sound!
- Saddam Hussein alive!
- Venezuelan leader: "Let's the War beginning".
Il messaggio di posta elettronica è accompagnato
da un file allegato con uno dei segutni nomi:
- FullVideo.exe
- Full Story.exe
- Video.exe
- Read More.exe
- FullClip.exe
- GreetingPostcard.exe
- MoreHere.exe
- FlashPostcard.exe
- GreetingCard.exe
- ClickHere.exe
- ReadMore.exe
- FlashPostcard.exe
- FullNews.exe
Chi cliccasse sull'allegato, se dotato di un sistema Windows
non sufficientemente protetto, si troverebbe il proprio computer
infetto in pochi istanti.
Il livello di fastidi che questo trojan può
generare è considerato alto dagli esperti, che
però sostengono sia abbastanza semplice da contenere.
Più compessa è la rimozione definitiva del trojan
dal computer.
COME
FUNZIONA
-------------
Una volta attivato, il trojan si installa all'interno delle
directory di sistema di Windows, tipicamente sotto windows/system32 (ma
il nome delle directory può variare a seconda della versione
del sistema operativo oppure dalle scelte in fase di installazione),
con il nome di "wincom32.sys".
Subito dopo inserisce alcune chiavi nel registro di
configurazione del sistema al fine di aprire le porte UDP (4000 e 7871)
con le quali entrerà in contatto con altri computer,
effettuando il download di un altro trojan e un worm.
I programmi che vengono scaricati dal trojan sono ben
più minacciosi e capaci di svolgere operazioni sul computer
infetto.
COME
DIFENDERSI
---------------
Aggiornare e mantenere sempre attivi i software di
protezione: questo trojan, per quanto insidioso, è noto ai
maggiori produttori di sistemi di sicurezza ed è ora
riconosciuto e bloccato.
ULTERIORI
INFORMAZIONI
----------------------
Tra le società di sicurezza che parlano di questo
trojan SalvaPC suggerisce di leggere (in inglese):
Symantec:
Sophos:
Italiana directory