Alla fine arriva MyDoom

Tempo di lettura6 Minuti, 59 Secondi

Mydoom , noto anche come W32.MyDoom@mm , Novarg , Mimail.R e Shimgapi , è un worm che colpisce Microsoft Windows . È stato avvistato per la prima volta il 26 gennaio 2004. È diventato il worm di posta elettronica a più rapida diffusione di sempre (a partire da gennaio 2004 ), superando i precedenti record stabiliti dal worm Sobig e ILOVEYOU , un record che al 2019 non ha ancora essere superato. 

Sembra che Mydoom sia stato commissionato dagli spammer di posta elettronica in modo da inviare posta indesiderata attraverso computer infetti. Il worm contiene il messaggio di testo “andy; sto solo facendo il mio lavoro, niente di personale, scusami”, portando molti a credere che il creatore del worm sia stato pagato. All’inizio, diverse ditte di sicurezza hanno espresso la loro convinzione che il worm sia nato da un programmatore in Russia. L’autore effettivo del worm è sconosciuto.

La copertura speculativa precoce sosteneva che l’unico scopo del worm era di perpetrare un attacco denial-of-service distribuito contro SCO Group . Il 25 percento degli host infetti da Mydoom.A ha preso di mira www.sco.com con un flusso di traffico. La congettura della stampa commerciale, sostenuta dalle affermazioni del Gruppo SCO, sosteneva che ciò significava che il worm era stato creato da un Linux o da un sostenitore open source come ritorsione per le controverse azioni legali del Gruppo SCO e dichiarazioni pubbliche contro Linux. Questa teoria è stata immediatamente respinta dai ricercatori della sicurezza. Da allora, è stato anche respinto dagli agenti delle forze dell’ordine che indagano sul virus, che lo attribuiscono a bande criminali organizzate online.

L’analisi iniziale di Mydoom ha suggerito che si trattava di una variante del worm Mimail, da cui il nome alternativo Mimail.R, che ipotizzava che le stesse persone fossero responsabili di entrambi i worm. Le analisi successive furono meno conclusive riguardo al legame tra i due worm.

Mydoom è stato nominato da Craig Schmugar, un dipendente della società di sicurezza informatica McAfee e uno dei primi scopritori del worm. Schmugar ha scelto il nome dopo aver notato il testo “miodom” all’interno di una riga del codice del programma. Ha osservato: “Era evidente all’inizio che questo sarebbe stato molto grande. Ho pensato che avere un giudizio negativo nel nome fosse appropriato.”

MyDoom è il virus informatico più devastante fino ad oggi, che ha causato danni per oltre 38 miliardi di dollari.

Mydoom viene principalmente trasmesso via e-mail , che appare come un errore di trasmissione, con righe dell’oggetto tra cui “Errore”, “Sistema di consegna della posta”, “Test” o “Transazione della posta non riuscita” in diverse lingue, tra cui inglese e francese. La posta contiene un allegato che, se eseguito , rinvia il worm agli indirizzi e-mail trovati nei file locali come la rubrica di un utente. Si copia anche nella “cartella condivisa” dell’applicazione di condivisione file peer-to-peer Kazaa nel tentativo di diffondersi in quel modo.

Mydoom evita di indirizzare gli indirizzi e-mail in alcune università, come Rutgers , MIT , Stanford e UC Berkeley , nonché in alcune società come Microsoft e Symantec . Alcuni primi rapporti affermano che il worm evita tutti gli indirizzi .edu , ma non è così.

La versione originale, Mydoom.A , è descritta come trasporta due payload :

  • Un backdoor sulla porta 3127 / tcp per consentire il controllo remoto del PC sovvertito (inserendo il proprio file SHIMGAPI.DLL nella directory system32 e avviandolo come processo figlio di Windows Explorer ); questa è essenzialmente la stessa backdoor utilizzata da Mimail .
  • Un attacco denial-of-service contro il sito Web della controversa società SCO Group , è programmato per iniziare il 1 ° febbraio 2004. Molti analisti di virus dubitano che questo payload funzioni davvero. Test successivi suggeriscono che funziona solo nel 25% dei sistemi infetti.

Una seconda versione, Mydoom.B , oltre a trasportare i payload originali, si rivolge anche al sito Web Microsoft e blocca l’accesso ai siti Microsoft e ai siti antivirus online popolari modificando il file hosts , bloccando così gli strumenti di rimozione dei virus o gli aggiornamenti del software antivirus. Il minor numero di copie di questa versione in circolazione significava che i server di Microsoft subivano pochi effetti negativi. 

Sequenza Temporale del virus…

  • 26 gennaio 2004: il virus Mydoom viene identificato per la prima volta intorno alle 8:00 EST (1300 UTC), poco prima dell’inizio della giornata lavorativa in Nord America. I primi messaggi provengono dalla Russia. Per un periodo di alcune ore a metà giornata, la rapida diffusione del worm rallenta le prestazioni complessive di Internet di circa il dieci percento e i tempi medi di caricamento della pagina Web di circa il cinquanta percento. Le società di sicurezza informatica segnalano che Mydoom è attualmente responsabile di circa uno su dieci messaggi di posta elettronica.
Sebbene l’attacco di negazione del servizio di Mydoom fosse programmato per iniziare il 1 ° febbraio 2004, il sito Web del Gruppo SCO si disconnette brevemente nelle ore successive alla prima pubblicazione del worm. Non è chiaro se Mydoom fosse responsabile di ciò. SCO Group ha affermato di essere stato l’obiettivo di numerosi attacchi denial of service distribuiti nel 2003 non correlati ai virus informatici.
  • 27 gennaio: SCO Group offre una ricompensa di US $ 250.000 per le informazioni che portano all’arresto del creatore del worm. Negli Stati Uniti, l’ FBI e il servizio segreto iniziano le indagini sul worm.
  • 28 gennaio: una seconda versione del worm viene scoperta due giorni dopo l’attacco iniziale. I primi messaggi inviati da Mydoom.B sono identificati intorno al 1400 UTC e sembrano anche provenire dalla Russia. La nuova versione include l’attacco Denial of Service originale contro SCO Group e un attacco identico contro Microsoft.com a partire dal 3 febbraio 2004; tuttavia, si sospetta che entrambi gli attacchi siano interrotti o codice di richiamo non funzionale destinato a nascondere la funzione backdoor di Mydoom. Mydoom.B blocca anche l’accesso ai siti Web di oltre 60 società di sicurezza informatica, nonché pubblicità pop-up fornite da DoubleClick e altre società di marketing online.
La diffusione dei picchi di MyDoom; le società di sicurezza informatica riferiscono che Mydoom è attualmente responsabile di circa uno su cinque messaggi di posta elettronica.
  • 29 gennaio: la diffusione di Mydoom inizia a diminuire man mano che i bug nel codice di Mydoom.B impediscono che si diffonda rapidamente come previsto. Microsoft offre 250.000 USD di ricompensa per le informazioni che hanno portato all’arresto del creatore di Mydoom.B.
  • 1 ° febbraio 2004: circa un milione di computer in tutto il mondo infettati da Mydoom iniziano il massiccio attacco denial of service distribuito del virus, il più grande attacco fino ad oggi. Con l’arrivo del 1 ° febbraio in Asia orientale e in Australia, SCO rimuove www.sco.com dal DNS intorno al 1700 UTC il 31 gennaio. (Non esiste ancora alcuna conferma indipendente di www.sco.com in realtà che subisce il DDOS pianificato.)
  • 3 febbraio: inizia l’attacco di denial of service distribuito di Mydoom.B a Microsoft, per il quale Microsoft si prepara offrendo un sito Web che non sarà interessato dal worm, information.microsoft.com. Tuttavia, l’impatto dell’attacco rimane minimo e www.microsoft.com rimane funzionale. Ciò è attribuito alla distribuzione relativamente bassa della variante Mydoom.B, all’elevata tolleranza di carico dei server Web di Microsoft e alle precauzioni adottate dalla società. Alcuni esperti sottolineano che l’onere è inferiore a quello degli aggiornamenti software Microsoft e di altri servizi basati sul Web.
  • 9 febbraio: Doomjuice, un verme “parassitario”, inizia a diffondersi. Questo worm utilizza la backdoor lasciata da Mydoom per diffondersi. Non attacca i computer non infetti. Il suo payload, simile a quello di Mydoom.B, è un attacco denial-of-service contro Microsoft.
  • 12 febbraio: Mydoom.A è programmato per interrompere la diffusione. Tuttavia, la backdoor rimane aperta dopo questa data.
  • 1 marzo: Mydoom.B è programmato per interrompere la diffusione; come con Mydoom.A, la backdoor rimane aperta.
  • 26 luglio: una variante di Mydoom attacca Google , AltaVista e Lycos , interrompendo completamente la funzione del popolare motore di ricerca di Google per gran parte della giornata lavorativa e creando rallentamenti evidenti nei motori AltaVista e Lycos per ore.
  • 10 settembre: vengono visualizzate le versioni U, V, W e X di MyDoom, suscitando preoccupazioni per la preparazione di una nuova e più potente MyDoom.
  • 18 febbraio 2005: viene visualizzata la versione di MyDoom AO.
  • Luglio 2009: MyDoom riaffiora negli attacchi informatici di luglio 2009 che colpiscono la Corea del Sud e gli Stati Uniti.

Fonte Wikipedia

0 0
Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleppy
Sleppy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %
Close
Social profiles
error: Protezione Attiva.
Vai alla barra degli strumenti