lella84
00domenica 6 maggio 2007 21:19
Gli esperti di sicurezza hanno avvertito dell'esistenza di un nuovo worm che si diffonde sfruttando i drive rimovibili come le chiavette USB, in controtendenza con i metodi più recentemente adottati dai virus writer per la distribuzione dei loro codici.
Secondo quanto riporta l'azienda antivirus Sophos, W32/SillyFD-AA si lancia automaticamente quando una periferica rimovibile infetta viene collegata al computer, sfruttando un file autorun.inf nascosto, creato specificatamente per questo scopo. Il worm è in grado di rilevare drive rimovibili nel sistema (floppy disk, memorie USB, etc.) ed infettarli in modo da garantire l'esecuzione di una copia del codice nocivo al successivo collegamento dei dispositivi a PC Windows. SillyFD-AA si autocopia nei drive rimovibili in un file nascosto "handydriver.exe", ed invarie cartelle nel sistema ospite. Inoltre modifica il titolo delle finestre di Internet Explorer aggiungendo la frase "Hacked by 1BYTE" e modifica varie chiavi di registro per disattivare la visualizzazione dei file nascosti in Explorer e bloccare Regedit.
Graham Cluley, senior technology consultant di Sophos, commenta: "Con le chiavi USB che diventano più economiche, sempre più spesso vengono distribuite durante i tradeshow o direttamente nella pubblicità via posta. Gli addetti al marketing sono pronti ad usarle come 'usa e getta' con lo scopo di assicurarsi le vendite…
Gli utenti dei computer, ad ogni modo, dovrebbero prestare molta attenzione nel collegare dispositivi non conosciuti nei loro PC, dato che potrebbero essere infettate da codici nocivi. Con l crescita significativa nel malware motivato da scopi finanziari, potrebbe essere un backdoor scontata per i criminali per penetrare in un'azienda e colpire una specifica attività con il proprio codice nocivo".
Secondo Sophos, man mano che un numero maggiore di aziende adotta strumenti di difesa per proteggersi da virus e malware "email-aware", i cybercriminali stanno cercando altre strade di attacco meno protette per infettare utenti innocenti, come appunto le ormai popolarissime chiavette USB. Cluley aggiunge: "In questo esempio, la modifica del titolo delle finestre del browser Internet Explorer dovrebbe essere un chiaro segnale per la maggior parte delle persone che qualcosa non stia andando per il verso giusto … Inoltre indica che questa particolare variante del worm non è stata scritta con intenzioni completamente clandestine. Un criminale più motivato ed arguto non avrebbe fatto sapere in maniera così ovvia che il PC è stato violato, ma avrebbe rubato in maniera silente dal PC senza lasciare questo tipo di indizi".
Gli esperti di Sophos consigliano agli utenti di disabilitare la funzioni di autorun di Windows in modo tale che i dispositivi rimovibili come chiavette USB e CDROM non vengano lanciati automaticamente quando collegati al PC. Qualsiasi dispositivo di storage collegato ad un computer dovrebbe essere inoltre analizzato in cerca di virus e altri malware prima di essere utilizzato. Floppy disk, CD ROM, chiavi USB, dischi rigidi esterni ed altri simili dispositivi sono tutti in grado di portare con se codici nocivi ed eventualmente infettare i computer di utenti incolpevoli. Sophos incoraggia le aziende a lasciare che i propri software antivirus si aggiornino automaticamente, ed a difendersi con soluzioni robuste contro virus, spyware, cybercriminali e spam.
xvalentino
00lunedì 7 maggio 2007 11:11
d'ora in poi farò la scansione anche alle chiavette...
![[SM=g27811]](https://im0.freeforumzone.it/up/0/11/10151015.gif)