QR code per la pagina originale

MyDoom torna ed è subito allarme

MyDoom è tornato con la sua nuova versione ed è subito allarme. Il worm cerca l'indirizzo mail impostato sul pc vittima, cerca sui motori di ricerca (rallentandoli) indirizzi simili e poi si propaga. Symantec etichetta il tutto con allarme 4.

,

Ritorna MyDoom e torna a spaventare come fece alle origini della sua rapida evoluzione. Gli esiti sono immediatamente causa di allarme: migliaia di macchine infettate, forte traffico di messaggi untori, ed infine uno degli effetti più visibili: il rallentamento registrato a singhiozzo sui server di motori di ricerca quali Google, Lycos, Altavista e Yahoo. Il rallentamento è ammesso dai portavoce dei motori stessi, i quali però minimizzano e sottolineano l’attuale ripristinata completa efficienza dei sistemi.

Il funzionamento è stato nuovamente affinato ed i risultati sono emersi fin da subito. Il worm, una volta installatosi nella macchina vittima, ne ricerca immediatamente un indirizzo mail valido. A questo punto il worm compone la query che, sfruttando i motori di ricerca precitati, ricerca altri indirizzi mail facenti riferimento allo stesso dominio (esempio: se l’indirizzo trovato è info@lamiaazienda.com, sui motori verranno cercati altri indirizzi aventi come desinenza @lamiaazienda.com). Quindi punto il worm si autoreplicherà agli indirizzi trovati.

Due le conseguenze immediate. Innanzitutto le continue query sui motori ne hanno causato gli inesorabili rallentamenti. Inoltre il fatto di ricevere la mail infetta da un indirizzo “amico” ne comporta una diminuzione delle difese psicologiche: una volta aperto l’allegato ritenuto “amico” l’infezione è cosa fatta ed il processo di replicazione ha inizio. A cinque ore dalla prima segnalazione MessageLabs aveva già registrato ben 23.000 mail portatrici del nuovo worm.

W32.Mydoom.M@mm, secondo la definizione di Symantec (altri lo hanno nominato Mydoom.O o Mydoom.N), viene trasmesso tramite allegato con una delle solite estensioni .bat, .cmd, .com, .exe, .pif, .scr, o .zip (seguito eventualmente da una seconda estensione .doc, .txt, .htm, o .html) ed apre una backdoor sulla porta 1034. Symantec lo ha catalogato con pericolosità 4. Soluzioni e descrizione sulla scheda tecnica della sezione Sicurezza di HTML.it.