martedì 20 maggio 2003

Nuovo virus molto pericoloso

Si chiama tecnicamente W32.HLLW.Mankx@mm, e rappresenta una minaccia ibrida (blended threat) perchè è un mass-mailing worm che si diffonde attraverso liste di indirizzi e-mail e reti aziendali. Peculiarità: si diffonde tramite la semplice pressione di un tasto, introducendosi abusivamente nei programmi e tentando di bloccare/disattivare gli antivirus e i programmi di firewall. Il virus, come moda di questoperiodo, utilizza un proprio engine STMP per autotrasmettersi via email a tutti i contatti identificati nei file contrassegnati dalle seguenti estensioni: .wab, .dbx, .htm, .html, .eml, .txt; mentre il messaggio email sembra provenire dall'indirizzo support@microsoft.com.
Ecco i consigli di Symantec, presi dal loro sito...

Disattivare e rimuovere tutti i servizi non strettamente necessari. Per default, molti sistemi operativi installano servizi d'importanza non critica quali server FTP, telnet e server Web. Questi servizi rappresentano possibili canali per tentativi di attacco. Una volta rimossi, i punti da difendere risultano ridotti così come i servizi da mantenere attraverso le relative patch.

All'insorgere dell'infezione in uno o più servizi di rete, disabilitare o impedire l'accesso a tali servizi fino all'implementazione dell'apposita patch.

Mantenere sempre aggiornate le patch di sistema, specialmente sui computer che gestiscono servizi aperti al pubblico e sono quindi accessibili attraverso il firewall, quali i servizi HTTP, FTP, mail e DNS.

Applicare una policy per le password. Password complesse rendono più difficile violare i relativi file sui computer compromessi. In questo modo è più facile prevenire o limitare i danni in caso di attacco.

Configurare il server email in modo da bloccare o rimuovere i messaggi contenenti i tipi di allegati utilizzati comunemente per diffondere i virus: .vbs, .bat, .exe, .pif e .scr.

Isolare rapidamente i computer infetti per prevenire la diffusione del contagio. Eseguire un'analisi accurata e ripristinare i computer utilizzando supporti (CD-ROM ecc.) sicuri.

Addestrare il personale a non aprire gli allegati sconosciuti e a non lanciare programmi software scaricati da Internet fino a quando non ne sia stata completata la scansione alla ricerca di eventuali virus. Qualora le vulnerabilità di certi browser non siano state eliminate attraverso l'applicazione di apposite patch, la semplice visita di un sito Web compromesso può infatti essere sufficiente per scatenare un'infezione.


E’ possibile utilizzare il tool creato appositamente dal Symantec Security Response e disponibile al link href="http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.mankx.removal.tool.htmloppure rimuovere manualmente il worm attraverso l’aggiornamento delle definizioni dei virus.
Share: