Giudicato dagli esperti di Impatto alto il virus che attacca sopratuttto i sistemi dotati di Microsoft Internet Information Server. Oltre 11 milioni nel mondo i computer infettati.
Aumentano in comunità le segnalazioni relative ad attacchi su IIS, generati da un numero molto ampio di indirizzi IP . Le macchine predette stanno utilizzando un’ ampia serie di attacchi che cercano di exploitare la già nota vulnerabilità “.ida”.
La provenienza degli attacchi è attualmente identificata nella posta elettronica e network in generale.
Per quanto riguarda la prima possibilità, si invita a fare attenzione alle email con attachment denominato README.EXE, mentre, se proveniente dalla rete, è possibile trovare sui propri box IIS una serie di entry di log simili a quelli di codeRed2 ma molto più ravvicinati nel tempo.
Allo stato attuale non si hanno ulteriori notizie. Come workaround si consiglia, in attesa del rilascio di soluzioni a livello IDS/Antivirus Gateway, di tenere sotto controllo l’attività di TFTP (porta UDP69), utilizzato dal worm per scaricare da una macchina verosimilmente già compromessa, una dll denominata ADMIN. Detta operazione deve essere effettuata con attenzione soprattutto sulle macchine Win2000, che implementa una protezione sull’eseguibile tftp.exe.
A livello di cronaca, da segnalare che le prime stime parlano di oltre 11 milioni di macchine infettate nel mondo e che, in clima di fobia antimusulmana, ai terroristi arabi sarebbe stata fatta salire anche la responsabilità della diffusione del virus.
