MyDoom, attenti alle ricadute: arriva la variante Doomjuice

di |

Mondo



Non abbiamo fatto in tempo a pensare di aver scampato il pericolo MyDoom ed ecco che scatta un nuovo allarme virus.

Questa volta si chiama Doomjuice – ma molti lo chiamano gi&#224 MyDoom.C – si sta propagando da ieri negli Stati Uniti e in misura lievemente minore anche in Europa e sta infettando nuovamente i computer gi&#224 presi di mira dalle due precedenti versioni di Mydoom.

Contrariamente a MyDoom, il nuovo virus non si propaga via eMail n&#233 attraverso le reti peer-to-peer. Esso infatti scandisce indirizzi Internet a casaccio e infetta gli apparecchi gi&#224 contaminati (e non ¿ripuliti¿) dal suo predecessore, che aveva lasciato aperta la porta TCP 3127, proprio per permettere ad altri hacker di prendere il controllo dei Pc.

In base a quanto dichiarato da Panda Software, dal momento in cui Doomjuice (conosciuto anche come Doomhat) si installa su un computer gi&#224 infettato, la macchina esegue localmente il codice di MyDoom re-infettandola, di fatto, a distanza. Una volta attivato, infatti, Doomjuice copia se stesso nel file “intrenat.exe” nella cartella Windows, e produce il file “sync-src-1.00.tbz” in diverse applicazioni del Pc.

Questo nuovo metodo di contagio rivela una tendenza del tutto nuova degli hacker che si ¿passano la mano¿ e rendono la propagazione molto pi&#249 violenta e difficile da arginare.

La pericolosit&#224 del virus &#232 stata classificata di grado 2, quindi moderata.

Anche Doomjuice &#232 stato creato per lanciare un attacco a saturazione contro il sito di Microsoft (www.microsoft.com ), ma sembra soprattutto destinata a permettere agli autori di MyDoom, attualmente molto ricercati, di coprire le proprie tracce: prima della propagazione di Doomjuice, infatti solo gli autori erano a conoscenza del codice sorgente del virus, che avrebbe costituito prova della loro colpevolezza.

Ora, questo di riconoscimento non &#232 pi&#249 valido, dal momento che migliaia di utenti dispongono magari senza saperlo di questo codice sul proprio Pc, infettato e ricaduto nel virus.

Questa prova conferma anche la notoria complicit&#224 della comunit&#224 hacker che non ha affatto ceduto alla tentazione del denaro offerto da SCO e Microsoft ¿ due taglie da 250 mila dollari l¿una ¿ per acciuffare gli autori.

Maggiori informazioni su W32/Doomjuice-A, worm costituito da un file a 32 bit, sono disponibili all”indirizzo: www.sophos.com/virusinfo/analyses/w32doomjuicea.html.

Alessandra Talarico

Per ulteriori approfondimenti, leggi:

Il virus MyDoom scuote la rete. SCO mette una taglia sull”ideatore

MyDoom affonda SCO e punta a Microsoft

MyDoom: scoperta una nuova versione. L¿FBI indaga e Microsoft mette un¿altra taglia sull¿autore

Leggi le altre notizie sull’home page di Key4biz