Il worm MYTOB si sta diffondendo rapidamente anche in Ungheria

Trend Micro mantiene un avviso di livello medio per le ultime varianti del worm MYTOB: le ultime 2 versioni sono state rilevate in molti paesi, inclusa l'Ungheria.

Negli ultimi 2 mesi, dalla sua uscita il 2005 febbraio 26, TrendLabs, il centro di ricerca e supporto globale di Trend Micro sulla protezione antivirus, ha identificato più di 100 varianti del worm MYTOB. Secondo le statistiche odierne di Vírushiradó, 7 varianti di MYTOB sono apparse e hanno causato danni in Ungheria negli ultimi 39 giorni, causando un totale di 588.037 infezioni nel sistema di posta gratuito. Questo rappresenta quasi il 7% degli attacchi negli ultimi 30 giorni, con un file infetto totale contenente 2 milioni di email.

La modalità di trasmissione di MYTOB
Come le versioni precedenti, questo worm residente in memoria si diffonde inviando copie di se stesso come file allegato ai messaggi di posta elettronica ai destinatari tramite il proprio motore SMTP (Simple Mail Transfer Protocol). Una volta avviato, il worm scarica un programma spyware che inserisce annunci pubblicitari sui computer delle vittime. Il worm è anche in grado di aprire backdoor e dispone di una chiavetta Internet Relay Chat (IRC) integrata che gli consente di connettersi a un server IRC specificato.

Tattiche utilizzate per la diffusione
La tattica classica, che sfrutta la credibilità degli utenti, presenta MYTOB come un messaggio importante per una determinata casella di posta elettronica, come se il messaggio fosse inviato da un amministratore. Il worm può arrivare in un numero di lettere con temi e testo del corpo diversi. Chiede all'utente di rispondere all'e-mail se desidera evitare di disabilitare o chiudere la propria casella di posta.

Una raccomandazione di un esperto di Trend Micro in materia di difesa
“Questa non è la prima volta che vediamo tali tattiche basate sulla credibilità degli utenti da parte dei creatori di codice dannoso e nomi di celebrità sono stati presenti in app dannose in precedenza. Tuttavia, il numero crescente di spyware e pubblicità utilizzati insieme alle funzionalità di backdoor è già più preoccupante poiché queste applicazioni consentono a un utente malintenzionato di ingannare la propria vittima. Trend Micro consiglia agli amministratori di disabilitare l'uso di estensioni di file non essenziali, come file .exe, .pif e .scr, e agli utenti finali di non aprire e-mail e allegati sospetti e di assicurarsi che la protezione antivirus di esempio i file sono sempre aggiornati." Ha affermato David Kopp, capo dell'EMEA presso TrendLabs.

I clienti Trend Micro sono protetti da questa minaccia utilizzando il file di esempio più recente n. 2.653.00. I clienti di Outbreak Prevention Services possono proteggersi dalla diffusione di questa minaccia scaricando le policy di prevenzione delle infezioni OPP 177 (o successive). I clienti che utilizzano Damage Cleanup Services possono facilitare il ripristino automatico dei sistemi interessati scaricando il file modello 622.

Per gli altri utenti, consigliamo il servizio antivirus online gratuito di Trend Micro, Housecall, disponibile all'indirizzo http://housecall.trendmicro.com/.

WORM_MYTOB.BI e WORM_MYTOB.AR
Dopo aver avviato il worm, inserisce un file nelle cartelle di sistema di Windows, spesso intitolato a una famosa attrice belga, Lien Van de Kelder. Il componente spyware, identificato come TSPY_AGENT.H, consente a un utente malintenzionato di tenere traccia dei clic del mouse sul sito Web dello spyware mediatickets.net per tenere traccia dei tassi di infezione e delle preferenze dell'utente.