Escalation nuovo worm denominato w32.nimda.amm

Impatto alto.

Aumentano in comunità le segnalazioni relative ad attacchi su IIS, generati da un numero molto ampio di indirizzi IP . Le macchine predette stanno utilizzando un’ ampia serie di attacchi che cercano di exploitare la già nota vulnerabilità “.ida”.
La provenienza degli attacchi è attualmente identificata nella posta elettronica e network in generale.
Per quanto riguarda la prima possibilità, si invita a fare attenzione alle email con attachment denominato README.EXE, mentre, se proveniente dalla rete, è possibile trovare sui propri box IIS una serie di entry di log simili a quelli di codeRed2 ma molto più ravvicinati nel tempo.
Allo stato attuale non si hanno ulteriori notizie. Come workaround si consiglia, in attesa del rilascio di soluzioni a livello IDS/Antivirus Gateway, di tenere sotto controllo l’attività di TFTP (porta UDP69), utilizzato dal worm per scaricare da una macchina verosimilmente già compromessa, una dll denominata ADMIN. Detta operazione deve essere effettuata con attenzione soprattutto sulle macchine Win2000, che implementa una protezione sull’eseguibile tftp.exe.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome