|
||||||||||
|
03/06/2004 - Korgo: in pochi giorni tante varianti |
||||||||||
|
DALLA A ALLA G ------------------ Scoperto all'inizio della settimana Korgo sta facendo parlare di sè perchè‚ in pochi giorni, sono già almeno sette le varianti conosciute di questo worm in circolazione, nominate dalla A alla G. La F è senza dubbio quella che fino a questo momento è riuscita a diffondersi di più al punto da aver fatto alzare la guardia alle aziende che si occupano di antivirus. Korgo.F, come le altre varianti di questo worm, sfrutta la nota vulnerabilità Local Security Authority Subsystem Service (LSASS) di Windows. Lo stesso sistema LSASS già oggetto di attacchi da parte di noti e peggiori virus, come Sasser per citarne uno. A differenza della gran parte dei worm, Korgo non arriva via email, ma si intrufola nel computer senza che l'utente debba far altro che essere connesso a Internet. Microsoft ha comunque da tempo rilasciato una patch per aggiustare questa vulnerabilità, come descritto nel bollettino di sicurezza Microsoft: www.microsoft.com/technet/security/bulletin/MS04-011.mspx Korgo colpisce solo i sistemi operativi Windows 2000 e Windows XP. Tuttavia alcuni laboratori di ricerca antivirus ritengono a rischio anche le altre versioni di Windows. COSA FA -------- Korgo è sempre alla ricerca di computer da infettare effettuando una scansione casuale di indirizzi IP, ovvero l'indirizzo numerico a cui ogni computer collegato a Internet è associato. Quando trova un sistema vulnerabile invia una copia di se stesso ad infettarlo. Korgo apre diverse porte del computer dando così accesso alla rete a se stesso e ad eventuali malintenzionati che potrebbero quindi penetrare nel computer infetto per compiere le più disparate operazioni. Non solo, Korgo agisce anche sul registro di sistema cancellando una serie di voci e modificandone altre al fine di rendere instabile il computer e difficile la sua individuazione e la sua rimozione. L'effetto di Korgo sulla rete è l'occupazione di banda che il virus effettua nel tentativo di infettare altri sistemi, con il risultato di un degrado delle prestazioni di upload e download. COME PROTEGGERSI ---------------- Se ancora non si ha installata la patch Microsoft contro la vulnerabilità del sistema LSASS è bene procedere immediatamente attraverso Windows Update. Aggiornare quanto prima le definizioni dei software antivirus. Questa operazione consente l'intercettazione per tempo dei file infetti e quindi di evitare l'infezione. Il SSR ha messo a disposizione un tool per rimuovere Korgo: securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.removal.tool.html ULTERIORI INFORMAZIONI Maggiori informazioni su Korgo.F sono disponibili in inglese ai seguenti indirizzi: securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.html it.mcafee.com/virusInfo/default.asp?id=description&virus_k=125994 |
||||||||||
|
||||||||||
