Symantec identifica nuove funzionalità del worm W32.Mydoom.M@mm
Dopo ulteriori analisi del worm Mydoom.M, Symantec ha identificato alcune funzionalità precedentemente non documentate. Tre queste figura un meccanismo utilizzato per creare un elenco di tutti i sistemi infetti conosciuti per permettere all'autore di questo worm di effettuare l'upload del codice binario aggiornato e, nel contempo, impedire ad altri di intervenire tempestivamente sui sistemi infetti.
Tale meccanismo, inoltre, consente all'autore del worm di aggiornare in maniera rapida e automatica tutti i sistemi infettati da Mydoom.M con un nuovo codice nocivo senza correre il rischio che altri worm writers possano impadronirsi del network colpito.
Riesaminando il worm W32.Mydoom.L@mm, gli esperti del Symantec Security Response hanno scoperto che anche questa variante contiene un sistema progettato per creare un elenco di tutti i sistemi infettati per permettere all'autore di effettuare l'upload di eseguibili aggiornati, rendendo più ardua la possibilità che altri assumano il controllo del network infetto.
"Il recente manifestarsi del worm Mydoom.M e la rapidità con cui si è diffuso ci inducono a pensare che i computer infettati da Mydoom.L possano essere stati utilizzati come una sorta di network peer-to-peer per l'infezione. Tale ipotesi spiegherebbe perché Mydoom.M sia diventato un worm ad alto rischio in così breve tempo", ha commentato Francesca Giudice, Vice President & Managing Director Southern Europe, Middle East and Africa. "Grazie a questo meccanismo, è sufficiente che l'autore del worm esegua l'upload di Mydoom.M su un unico host infetto, poiché la consultazione dell'elenco IP, ivi memorizzato, permette a sua volta l'upload verso altri sistemi".
Il team Symantec Security Response continua ad analizzare le funzionalità che caratterizzano questi worm ritenendo che l'autore di Mydoom.M e Mydoom.L stia utilizzando queste minacce per diffondere altri tipi di codice nocivo.
Uno dei primi codici nocivi identificati è W32.Zindos.A. Questa nuova minaccia, scoperta il 27 luglio dal Symantec Security Response, sfrutta, infatti, la backdoor creata da Mydoom.M. W32.Zindos.A, creato dall'autore del worm Mydoom, tenta di eseguire un attacco DoS contro il dominio Microsoft.com. Il codice pericoloso W32.Zindos.A è stato immediatamente classificato come una minaccia di livello 2. Per maggiori dettagli al riguardo è possibile visitare l'indirizzo http://securityresponse.symantec.com/avcenter/venc/data/w32.zindos.a.html. Gli esperti Symantec ritengono, inoltre, che l'autore di queste minacce stia utilizzando il codice W32.Zindos.A per aggiornare le diverse varianti di Mydoom.
Grazie ai servizi di allarme precoce Symantec DeepSight, che compongono una rete di 20.000 sensori impegnati a monitorare le attività di firewall e IDS in ogni parte del mondo, Symantec ha rilevato un picco nell'attività: tre gradi di scostamento dalla deviazione normale sulle porte TCP 1034 e1042, che sono associate rispettivamente ai worm W32.MyDoom.M@mm e W32.MyDoom.L@mm.
Symantec Security Response raccomanda agli utenti di aggiornare le virus definition, di bloccare gli accessi alle porte TCP 1034 e 1042 su tutti i sistemi e di implementare filtri per allegati su tutti i gateway e-mail. Inoltre, si consiglia di non aprire o eseguire alcun file proveniente da fonte ignota. L'impiego di un firewall o un IDS può consentire di bloccare o identificare le comunicazioni tra la backdoor del server con l'applicazione client remota.
Ad oggi il numero di segnalazioni relative a Mydoom.M è diminuito, registrando nella giornata del 27 luglio (giorno successivo alla sua scoperta) 141 segnalazioni provenienti dal settore enterprise e 274 dall'utenza privata. Il 26 luglio il Symantec Security Response aveva raccolto 1652 segnalazioni (997 dal settore consumer; 655 dal comparto enterprise).