|
|
|
da "SalvaPC News" - di Venerdi' 19 settembre 2003 Supplemento a Punto Informatico
ATTENZIONE A SWEN (o GIBE-F) Un worm sta sollevando l'attenzione degli osservatori specializzati per la velocità con cui riesce a diffondersi su Internet. Si tratta di Gibe-F, anche noto come Swen, un worm capace di diffondersi attraverso piu' sistemi: posta elettronica, reti locali di computer, sistemi di condivisione peer-to-peer (es.: Kazaa) e altro ancora. MESSAGGI FASULLI
Quando arriva via email, il worm è un allegato ad un messaggio di posta
elettronica che può assomigliare in tutto e per tutto ad una comunicazione
ufficiale proveniente da Microsoft, oppure mascherarsi come messaggio che ha
fallito la sua spedizione e sta quindi tornando indietro (delivery failure). NON PROVIENE DA MICROSOFT
L'email infetta contiene, in inglese, il pressante invito ad installare un
presunto aggiornamento di Windows che dovrebbe mettere al riparo da
qualsiasi problema di sicurezza. CHI PUO' ESSERE COLPITO Ad essere vulnerabili sono tutti i sistemi Windows da Windows 95 a Windows Server 2003. COME FUNZIONA Se l'allegato viene aperto, il worm fa apparire una serie di finestre che inducono l'utente a ritenere che si tratti di un software di aggiornamento Microsoft. In realtà, mentre questo accade, il worm si installa nel sistema. Una volta dentro, Swen tenta di bloccare il funzionamento di sistemi di sicurezza come i firewall e i software antivirus, infila una copia di se stesso nella directory di Windows generando un file con un nome casuale, crea un secondo file con tutti gli indirizzi di posta elettronica che riesce ad individuare sul computer colpito e un terzo file con tutti i dati sul tipo di computer che ha colpito e sul quale si e' installato. A questo punto il worm compie modifiche nel file di registro di Windows per garantirsi la riattivazione ad ogni riavvio di Windows e il funzionamento di un proprio sistema di posta elettronica. Addirittura presenta all'utente una schermata che sembra perfettamente legittima e che lo invita ad inserire i propri dati, compreso l'account email, in un modulo. Dati che poi il worm utilizza per diffondersi. COME SI DIFFONDE Si diffonde per posta elettronica ma anche attraverso le condivisioni in reti locali, le chat di IRC e i sistemi di file sharing come Kazaa. Quando l'utente si connette ad IRC, dunque, Swen fa partire uno script che gli consente di inviarsi a tutti gli altri utenti della chat IRC alla quale si é connesso il computer infetto. Su Kazaa, invece, il worm copia se stesso nella directory dei file condivisi dall'utente infetto in attesa di essere scaricato da altri utenti. Nelle reti locali, infine, Swen compie una mappatura dei sistemi che ne fanno parte e individua le directory in cui installarsi. COME PROTEGGERSI In queste ore tutti i principali produttori di software antivirus stanno aggiornando i propri sistemi di difesa ed e' dunque bene scaricare le ultime definizioni. Inoltre, non e' mai accaduto che Microsoft abbia diffuso per posta elettronica un aggiornamento ad un utente che non abbia un contratto con l'azienda stessa e non abbia espressamente richiesto uno speciale servizio di assistenza. Dunque, tutte le email non richieste di questo tipo, per quanto possano sembrare ufficiali, devono essere scartate perché potenzialmente pericolose.
I worm sfruttano una vulnerabilità dei sistemi Windows per cui Microsoft ha
rilasciato una patch nello scorso giugno. Chi non l'avesse installata può
provvedere immediatamente a partire da questo indirizzo:
Per approfondire le caratteristiche di Gibe-F/Swen, Sophos ha realizzato una
pagina di approfondimento a disposizione degli utenti:
---------------------------------------------------------------------- |