onicWALL ha implementato la prima protezione contro la variante a rapida proliferazione del worm Nuvar che si sta diffondendo attraverso messaggi di posta elettronica che riportano nell'oggetto auguri per le festività. La velocità di infezione è cresciuta rapidamente e sembra sulla buona strada per diventare una delle maggiori minacce dell'anno.
Il computer infettato inizia a cercare proxy di posta elettronica aperti e inviare messaggi con lo scopo di infettare altri computer. Questo worm di mailing su larga scala si sta già muovendo molto rapidamente attraverso Internet, installando molteplici codici sui computer delle vittime, utilizzando poi un rootkit per proteggerli. Gli utenti della tecnologia UTM (Unified Threat Management) di SonicWALL, che protegge da virus, Trojan, worm e altre minacce e vulnerabilità, hanno ricevuto in automatico signature aggiornate sviluppate per respingere il worm Nuwar. Il worm si diffonde mediante posta elettronica e nella maggior parte dei casi riporta nell'oggetto l'augurio "Happy New Year!" e include allegati che di norma presentano uno dei seguenti nomi: "Greeting Card .exe", "Greeting Postcard .exe", "Postcard .exe", "greeting card .exe", "greeting postcard.exe" o "postcard.exe". Al momento dell'esecuzione dell'allegato infetto, il worm tenta di disabilitare i processi antivirus attivi e rilascia un Tibs Trojan nel sistema del computer infetto. Successivamente, cerca di scaricare altro codice nocivo dal sito Web remoto.
Nella fase di propagazione, il worm invia una copia di se stesso utilizzando il proprio motore SMTP verso gli indirizzi di posta elettronica trovati nella rubrica del PC compromesso. In alcuni casi, il worm invia una copia di eseguibili malformati (ovvero contenenti un header sbagliato del file eseguibile), che potrebbe essere ritenuta innocua e trattata semplicemente come un messaggio spam.
I primissimi esempi di questa variante del worm Nuwar sono stati scoperti per la prima volta "in the wild" il 29 dicembre 2006. Il giorno successivo SonicWALL ha pubblicato le seguenti signature realizzate appositamente per la protezione contro questa minaccia:
Signature Antivirus a livello del gateway: Nuwar.B (Worm) Nuwar.C (Worm)
Signature di prevenzione delle intrusioni VIRUS Greeting Card.exe allegati 1 (SID: 1051) VIRUS Greeting Card.exe allegati 2 (SID: 1052) VIRUS Greeting Card.zip allegati 1 (SID: 1053) VIRUS Greeting Card.zip allegati 2 (SID: 1054)
Discussione 0
Ancora nessun commento. Sii il primo a commentare!