Fonte: http://punto-informatico.it/p.asp?i=47234
Tutti gli osservatori e gli esperti di sicurezza ricorderanno il 27 gennaio come una data "nera": la scoperta di MyDoom, il mail worm più aggressivo della storia, con oltre 1 milione di macchine infettate e una frequenza di 1 mail su 3 in tutto il traffico di posta elettronica mondiale nel momento di massima diffusione.
MyDoom aveva rubato la scena a Bagle, un altro virus uscito pochi giorni prima e che sembrava destinato a dominare il mese di gennaio, ed era stato in grado di frantumare i record di illustri predecessori come Sobig e Klez; gli operatori del nostro settore si erano quindi preparati a misurarsi con questa nuova minaccia, prevedendo una lunga permanenza in Rete per questo nuovo ceppo virale: la variante A era infatti programmata per disattivarsi il 10 febbraio, ma era stata subito rimpiazzata da nuove versioni.
Il fatto che questa famiglia di worm fosse in grado di attivare una backdoor sui sistemi infetti e piazzarli sotto controllo remoto, e di lanciare attacchi Denial of Service contro diversi siti web (tra cui SCO e Microsoft), rendeva lo scenario ancora peggiore.
Il 16 febbraio, pero', un nuovo worm piuttosto semplice e quasi dilettantesco ha iniziato a diffondersi con estrema aggressività; battezzato NetSky, questo infettore ha tra i suoi effetti quello di rimuovere le chiavi di registro utilizzate da MyDoom, disattivandolo. I "virus anti-virus" non sono una novità, ne esistono numerosi esempi dal passato, ma in questo caso lo sberleffo nei confronti di MyDoom è evidente, specialmente perchè NetSky.A e le sue successive varianti hanno rubato la scena alla famiglia MyDoom. Una delle varianti di NetSky contiene addirittura un guanto di sfida contro MyDoom, in forma di messaggio nascosto nel codice eseguibile: "Noi siamo skynet - non potete nascondervi - noi uccidiamo gli autori di malware" (NB: il riferimento è alla Skynet del film "Terminator").
In questo duello si sono intromessi pero' gli autori di Bagle, che erano risultati perdenti nel duello con MyDoom.A. In un brevissimo lasso di tempo, Bagle è arrivato alla sua decima variante, riconquistando terreno sui due rivali. Si è quindi verificata una situazione esplosiva, con 3 diversi worm a contendersi la scena, tutti ugualmente aggressivi e diffusi:
- MyDoom.F, una variante distruttiva che cancella diversi tipi di file e attacca i siti di Microsoft e RIAA
- Bagle.F, che si spedisce per e-mail utilizzando file zippati protetti da una password indicata nella mail stessa (si tratta di un espediente per aggirare la scansione degli antivirus per gateway, che tipicamente non sono in grado di aprire questo tipo di file)
- NetSky.D, che nelle prime ore di diffusione ha superato ogni record di velocità, e che continua ad accanirsi contro MyDoom, disattivandolo dalle macchine infette.
Da stanotte, la guerra dei worm è dichiarata; poche ore fa, due nuove varianti di MyDoom e Bagle sono state scoperte in Rete, ed entrambe contengono un messaggio per gli autori di Netsky. MyDoom.G dice: "Agli autori di NetSky: secondo me, Skynet è una rete neurale peer-to-peer decentralizzata. Abbiamo visto il Peer-to-Peer solo in Slapper e in Sinit. Loro possono essere definiti Skynet, non la vostra applicazione di m...".
Slapper e Sinit sono due network worm piuttosto avanzati, capaci di realizzare una rete Peer-to-Peer tra le macchine infette, un espediente che consente loro di ottimizzare i tempi di propagazione e ottenere un maggior controllo su tutte le istanze infettive: evidentemente gli autori di MyDoom hanno voluto farsi gioco della povertà tecnica dei rivali, paragonandoli a più illustri predecessori.
Bagle.J è ancora più esplicito: "Hey NetSky (...) wanna start a war?" ("vuoi iniziare una guerra?").
In NetSky.F, scoperto stamattina, la sprezzante risposta "Bagle - you are a looser!!!!" ("Bagle - sei un perdente!!!!").
La situazione è poco piacevole per gli utenti, che sono le prime vittime di questo conflitto fra 3 gruppi di virus writer determinati e accaniti; la continua scoperta di nuove varianti costringe ad un aggiornamento costante dei propri antivirus e dei filtri sulla posta elettronica. Naturalmente, le precauzioni tradizionali sono sempre valide; attenzione agli allegati nella posta elettronica, a prescindere dall'icona mostrata e da quanto sembri realistico il messaggio che li accompagna. Tutti i siti dedicati alla security contengono suggerimenti su come proteggersi e i produttori di antivirus rilasciano puntualmente gli aggiornamenti per le nuove minacce. Specialmente in questo periodo di Guerre Virali, la massima prudenza è d'obbligo.
Fabrizio Cassoni
Content Security Manager
Symbolic S.p.A.
--------------------------------------------------------------------------------
Il delirio globale é iniziato.
Altro che ideologia startrekkiana: ideiologia startakkiana (da star tak)