Il nuovo worm, che si sta diffondendo in questi giorni e che porta proprio il nome della giovanissima cantante, sfrutta una vulnerabilità dei sistemi di posta basati su Explorer per terminare alcuni programmi antivirus e recuperare password in memoria
10 gennaio 2003 Questa volta la minaccia arriva
tramite la cantante Avril Lavigne. Infatti ha proprio il nome
della giovanissima popstar il virus che si sta diffondendo in questi momenti. Si
tratta del worm Avril (o Livra) che attacca i computer
Windows, ha la capacità di terminare alcuni programmi antivirus
e recupera password in memoria e le invia a uno specifico indirizzo e-mail.
Questo virus si diffonde via posta elettronica, dischi di rete condivisi,
messaggerie istantanee (come mIRC o ICQ) e il sistema per la
condivisione dei file peer-to-peer KaZaA. Quando arriva tramite
mail, è caratterizzato da uno dei seguenti soggetti
Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purge’s Statement
Fw: Avril Lavigne – CHART ATTACK!
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS
Transcriptions
Re: IREX admits you to take in FSAU 2003
Fwd: Re: Have U
requested Avril Lavigne bio?
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors
masters – don’t miss it!
Fwd: RFC-0245 Specification requested…
Fwd:
RFC-0841 Specification requested…
Fw: F. M. Dostoyevsky “Crime and
Punishment”
Re: Junior Achievement
Re: Ha perduto qualque cosa signora?
Il corpo del testo può essere vuoto o contenere uno dei seguente
messaggi
AVRIL LAVIGNE – THE BEST
Avril Lavigne’s popularity
increases:
SO: First, Vote on TRL for I’m With U!
Next, Update your pics
database!
Chart attack active list.
Orginal Message:
oppure
Network Associates weekly report:
Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and
5.0 that is eliminated by a previously-released patch.
Customers
who have applied that patch are already protected against the vulnerability and
do not need to take additional action.
Microsoft strongly urges
all customers using IIS 4.0 and 5.0 who have not already done so to apply the
patch immediately.
Patch is also provided to subscribed list of Microsoft
Tech Support:
Oppure
AVRIL LAVIGNE – THE CHART
ATTACK!
Vote fo4r Complicated!
Vote fo4r Sk8er Boi!
Vote fo4r I’m
with you!
Chart attack active list:
L’allegato può essere
invece uno dei seguenti.
Resume.exe
ADialer.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
TrickerTape.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe
BioData.exe
ALavigne.exe
Facciamo notare che non è
necessario aprire gli allegati per dare il via alla loro esecuzione: si avviano
automaticamente causa una vulnerabilità dei client di posta basati su Internet
Explorer conosciuta come “Automatic Execution of Embedded MIME
type”. Inoltre, durante la sua esecuzione il virus può provocare la
chiusura del browser Microsoft e nascondere la barre delle icone e le icone
presenti sul desktop.
Tutti i produttori di antivirus si sono affrettati a dare notizia delle nuova
infezione ma sinora hanno mantenuto piuttosto basso il livello di rischio.
Tuttavia, per cautelarsi contro ogni spiacevole evenienza, consigliamo di
aggiornare le definizioni dei propri antivirus.
