Mondo
Non abbiamo fatto in tempo a pensare di aver scampato il pericolo MyDoom ed ecco che scatta un nuovo allarme virus.
Questa volta si chiama Doomjuice – ma molti lo chiamano già MyDoom.C – si sta propagando da ieri negli Stati Uniti e in misura lievemente minore anche in Europa e sta infettando nuovamente i computer già presi di mira dalle due precedenti versioni di Mydoom.
Contrariamente a MyDoom, il nuovo virus non si propaga via eMail né attraverso le reti peer-to-peer. Esso infatti scandisce indirizzi Internet a casaccio e infetta gli apparecchi già contaminati (e non ¿ripuliti¿) dal suo predecessore, che aveva lasciato aperta la porta TCP 3127, proprio per permettere ad altri hacker di prendere il controllo dei Pc.
In base a quanto dichiarato da Panda Software, dal momento in cui Doomjuice (conosciuto anche come Doomhat) si installa su un computer già infettato, la macchina esegue localmente il codice di MyDoom re-infettandola, di fatto, a distanza. Una volta attivato, infatti, Doomjuice copia se stesso nel file “intrenat.exe” nella cartella Windows, e produce il file “sync-src-1.00.tbz” in diverse applicazioni del Pc.
Questo nuovo metodo di contagio rivela una tendenza del tutto nuova degli hacker che si ¿passano la mano¿ e rendono la propagazione molto più violenta e difficile da arginare.
La pericolosità del virus è stata classificata di grado 2, quindi moderata.
Anche Doomjuice è stato creato per lanciare un attacco a saturazione contro il sito di Microsoft (www.microsoft.com ), ma sembra soprattutto destinata a permettere agli autori di MyDoom, attualmente molto ricercati, di coprire le proprie tracce: prima della propagazione di Doomjuice, infatti solo gli autori erano a conoscenza del codice sorgente del virus, che avrebbe costituito prova della loro colpevolezza.
Ora, questo di riconoscimento non è più valido, dal momento che migliaia di utenti dispongono magari senza saperlo di questo codice sul proprio Pc, infettato e ricaduto nel virus.
Questa prova conferma anche la notoria complicità della comunità hacker che non ha affatto ceduto alla tentazione del denaro offerto da SCO e Microsoft ¿ due taglie da 250 mila dollari l¿una ¿ per acciuffare gli autori.
Maggiori informazioni su W32/Doomjuice-A, worm costituito da un file a 32 bit, sono disponibili all”indirizzo: www.sophos.com/virusinfo/analyses/w32doomjuicea.html.
Per ulteriori approfondimenti, leggi:
Il virus MyDoom scuote la rete. SCO mette una taglia sull”ideatore
MyDoom affonda SCO e punta a Microsoft
MyDoom: scoperta una nuova versione. L¿FBI indaga e Microsoft mette un¿altra taglia sull¿autore
