E' stato rilevato nelle scorse ore e si è rilevato un worm con elevate capacita' di diffusione. MyDoom.A, è in grado di compromettere la sicurezza dei sistemi che attacca e di generare un attacco dDoS via Internet contro il sito www.sco.com.

Gli osservatori antivirus hanno schedato MyDoom.A tra i worm piu' pericolosi. Il nuovo codice è anche noto come Novarg.A o MiMail.R, ed attacca tutti i sistemi Windows.

MyDoom utilizza i computer attaccati per distribuirsi ulteriormente in rete, via email o mediante i network del peer-to-peer.

MyDoom scansiona i file del computer colpito alla ricerca di indirizzi di posta elettronica ai quali spedire una email con un allegato che lo contiene. Una volta aperto l'allegato, il worm si introduce nel computer della sua vittima.

Oltre alla diffusione via email (con un allegato di 22.258 byte), MyDoom installa una copia di se stesso anche nella directory condivisa nel caso l'utente colpito utilizzi sistemi peer-to-peer come Kazaa. In quel caso il file infetto assume il nome di un software molto conosciuto, come Winamp o ICQ, in modo da poter essere scaricato dagli altri utenti del peer-to-peer.

La e-mail contenente il worm in allegato:

Attenzione:
L'allegato può avere due suffissi. In questo caso il primo suffisso sarà uno dei seguenti:
.htm
.txt
.doc

Il worm terminerà sempre con uno dei seguenti suffissi:
.pif
.scr
.exe
.cmd
.bat
.zip
(L'allegato zip contiene una copia del worm che condivide lo stesso nome file del file .zip. Per esempio, readme.zip conterrà readme.pif)

Quando il worm contiene l'estensione .exe o .scr, il file utilizza l'icona che rappresenta normalmente un file di testo come questa:

Altrimenti utilizzerà l'icona corrispondente al tipo di file.

Cosa accade se il worm viene attivato:

Una volta attivato, il worm apre le porte TCP dalla 3127 alla 3198, mettendo a rischio l'integrita' del computer attaccato consentendo ad un cracker o all'autore del worm di introdursi nel sistema infetto.
Quindi copia il file shimgapi.dll nella directory System di Windows ed inserisce anche il file Taskmon.exe: se tale file è gia' presente all'interno di System il worm lo sostituisce.

Si ricorda che Taskmon.exe è un file legittimo dei sistemi operativi Windows 95/98/Me ma si trova nella cartella %Windir% e non nella cartella %System%. (Per caratteristica predefinita questa si trova in C:\Windows o C:\Winnt). Non eliminare il file che si trova nella cartella %Windir%.

Shimgapi.dll e' che una sorta di proxy server che apre le porte TCP e permette all'autore del worm di penetrare da remoto alla macchina colpita o di farle scaricare ed eseguire file presi da Internet.

La backdoor permette di inserirsi dall'esterno ai computer che sono connessi in rete con il computer infetto e di eseguire sulla macchina colpita altri file scaricati da Internet.

MyDoom e' progettato per utilizzare i computer infettati in macchine di attacco di rete: dal 1 fino al 12 febbraio, infatti, MyDoom tentera' di far partire una aggressione di tipo distributed denial-of-service (dDoS ) contro il sito www.sco.com. All'attacco parteciperanno tutti i computer infetti che spediranno ai server che gestiscono quel sito un alto numero di richieste nel tentativo di comprometterne il funzionamento con il blocco totale e quinsi ostacolarne ostacolarne l'accesso.

Il 12 febbraio MyDoom cessera' qualsiasi attivita'.

I maggiori produttori di antivirus hanno già aggiornato i loro programmi e quindi per proteggersi dal worm è sufficiente scaricare gli aggiornamenti.

Ricordiamo di prestare sempre la massima cautela nell'aprire file allegati alle e-mail della cui origine non si sia certi e di esercitare la massima prudenza anche in presenza di allegati provenienti da conoscenti, ma che non erano attesi e di aggiornare costantemente il programma antivirus