Un Worm fresco fresco.....occhio !
IM.GiftCom.All: Worm natalizio
Si tratta di un vermicello capace di strisciare attraverso i maggiori network di instant messaging mascherandosi da dono natalizio digitale.
Roma - Puntuali come ogni fine anno, i worm di Natale hanno preso a circolare su Internet mascherandosi da lettere di Babbo Natale, addobbi e ninnoli digitali, o piccoli doni da "scartare" on-line. Tra questi si è distinto in questi giorni IM.GiftCom.All, un worm che promette all'utente un regalino natalizio.
Il vermicello si diffonde attraverso le reti di instant messaging di AOL, Microsoft e Yahoo! sotto forma di un messaggio che invita l'utente a cliccare su di un URL "con sorpresa": la sorpresa però non consiste in un file "di Santa Claus", come promesso dal messaggio, ma in un rootkit (gift.com) capace di disattivare molti antivirus e raccogliere informazioni personali sull'utente. A rendere più insidiosa la minaccia c'è il fatto che il messaggio giunge in molti casi da uno dei contatti presenti nella rubrica dell'utente.
Per fortuna l'indirizzo Web contenente il codice dannoso, che risiedeva sui server di AOL, non risulta più attivo. Gli esperti sostengono però che non è il caso di abbassare la guardia visto che, nelle prossime ore, potrebbero diffondersi varianti del worm contenenti altre URL.
IMlogic, che per prima ha pubblicato una descrizione del worm, suggerisce agli utenti di AIM, ICQ, MSN/Windows Messenger e Yahoo! Messenger di non cliccare su link sconosciuti contenuti in messaggi istantanei.
Il software antivirus di Symantec contiene una vulnerabilità che può essere sfruttata da hackers malintenzionati per guadagnare il controllo completo di un sistema vulnerabile.
Secondo quanto riportano varie aziende specializzate, il bug, che affligge gran parte della gamma di prodotti di sicurezza di Symantec per piattaforma Windows e Macintosh, è da ritenersi altamente rischioso. Secunia, azienda specializzata in security alerts, classifica il problema come "highly critical".
La vulnerabilità è causata da un "boundary error" nella libreria Dec2Rar.dll che si verifica precisamente durante il pocessing di certi campi "length fields" presenti negli headers sub-block degli archivi RAR. L'errore può essere sfruttato per causare un heap-based buffer overflow e potenzialmente eseguire codice arbitrario durante lo scan di un archivio RAR malignamente modificato.
Secondo Alex Wheeler, il security consultant che ha scoperto la falla, i prodotti Symantec sono vulnerabili a svariati heap overflows che consentono agli eventuali attackers di guadagnare il completo controllo dei sistemi. Le vulnerabilità possono essere sfruttate nelle configurazioni predefinite del software, da remoto e senza richiedere l'interazione dell'utente, attraverso protocolli comuni come SMTP.
La falla è stata individuata nella versione 3.2.14.3 del file Dec2Rar.dll e affligge potenzialmente tutti i prodotti Symantec che ne fanno uso. La lunga lista di prodotti affetti include i recenti Symantec Norton AntiVirus 2005, Symantec AntiVirus Corporate Edition 10.x, Symantec Norton AntiVirus for Macintosh 10.x, Symantec Norton Internet Security 2005.
Symantec non ha ancora rilasciato una patch per correggere il problema. Nel frattempo, Wheeler consiglia agli utenti Symantec di disabilitare lo scanning dei files RAR.
(baffo, la clessidra)
http://www.legnostorto.it/legnostorto/foru...w.aspx?id=96465
