Bugbear, la necessità di rinforzare le difese

Bugbear, in pochi giorni, ha raggiunto pericolosità 4 (su 5); si diffonde ad alta velocità, spegne firewall e antivirus, intercetta l’input da tastiera e apre una backdoor in Windows che mette a rischio il sistema e le condivisioni di rete

4 ottobre 2002 Il worm Bugbear, classificato come W32.Bugbear@mm o con nomi simili dai
produttori di antivirus, sta guadagnado rapidamente posizioni nella hit parade
dei virus (e loro varianti worm e trojan). Se in settembre Klez.H-mm si è
classificato primo, infettando oltre il tre per mille di tutti i messaggi di
email, Bugbear sarà certo la star di ottobre. Si sta diffondendo a tale velocità
che il gruppo di pronto intervento di Symantec ne ha elevato il livello di
pericolosità da 2 a 3 il 30 settembre e da 3 a 4 il 2 ottobre.


Se consultate la sezione quarantena del Norton Antivirus vi troverete decine
di file infettati da Klez e contenuti in allegati che l’antivirus ha sequestrato
per evitare danni al sistema. Bugbear non solo si diffonde più rapidamente, ma è
più pericoloso, perché compromette la sicurezza dei sistemi contemporaneamente
su quattro fronti.
Per prima cosa, ogni 30 secondi cerca e disattiva
qualunque programma antivirus, firewall e simili in una lista di oltre cento che
riconosce. Per farlo distingue la versione di Windows installata e si comporta
di conseguenza (Bugbear non colpise Mac, Unix e Linux).
Come seconda
attività, tramite SMTP, spedisce se stesso a tutti gli indirizzi postali che
trova in sette possibili formati di archivi di email.
La terza azione è
l’apertura di una backdoor; viene installata una routine che resta in ascolto
sulla porta 36794, in attesa di comandi dall’autore di Bugbear o dei suoi emuli.
In questo modo il sistema è alla merce di qualunque hacker che voglia eseguire o
terminare programmi, prelevare file, intercettare l’input da tastiera per
appropriarsi di password e carte di credito o qualsiasi altra attività.
Il
quarto thread eseguito da Bugbear è replicarsi in rete presso tutte le risorse
accessibili.


La prima raccomandazione è quella di tenere aggiornati
automaticamente sia Windows sia le definizioni dei virus. Per Windows basta
configurare l’accesso a Windows Update in modo da ricevere la notifica da
Microsoft quando sono disponibili nuove patch da scaricare. Per le definizioni
dei virus si tratta di attivare l’aggiornamento automatico da parte
dell’antivirus e di non lasciare scadere l’abbonamento.
Per famiglie e
aziende vale il principio di non aprire allegati di posta che non erano attesi.
Se arrivano da persone note, è meglio consultarle prima di aprire l’allegato,
perché i worm creano messaggi fasulli (con verme allegato) che possono sembrare autentici.
Altre raccomandazioni di carattere tecnico e organizzativo sono reperibili sui siti dei produttori di
antivirus.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome