8.3.05

Due nuovi worm per Msn Messenger

L'IM(Instant Messaging) sembra essere divenuto il terreno più fertile per i creatori di virus, molti di voi pensaranno che il primo ad utilizzare Msn Messenger per la sua diffusione sia stato il worm Bropia nel mese di Gennaio, ma già nel Luglio 2003 il worm Menger tentava di diffondersi attraverso il più comune programma di Instant Messenging, si trattava però di un virus rudimentale il quale inviava solo un file di nome "Hello.exe" con l'unico scopo di diffondersi, senza provocare nessun danno al computer nel quale risiedeva



Nell'Ottobre 2004 vide la luce Funner.A, il quale si presento con caratteristiche un po' più avanzate come la modifica al file hosts e il tentativo attraverso questo di un attacco DDoS nei confronti del sito www.78p.com.

Il mese scorso invece ha fatto la sua comparsa una nuova variante diBropia, Bropia.F, il quale molti ricorderanno per la simpatica foto del pollo con il bikini.


Due nuovi worm di questa generazione sono stati recentemente rilevati. Il primo Kelvir.B non ha particolari caratteristiche, è molto simile al Bropia e si comporta più o meno come tutti i suoi predecessori. Un esempio di come ci si presenta lo si può trovare a questo indirizzo.

Il secondo Sumom.A utilizza come mezzo di diffusione oltre a Msn Messenger il software P2P (Peer To Peer) eMule, presentandosi attraverso i seguenti nomi:

Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe

Sovrascrive il file hosts impedendo l'accesso ai siti web delle maggiori Software House produttrici di Anti-Virus reindirizzando verso Google (64.233.167.104 è l'ip di Google). Ecco parte della modifica al file hosts:

64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com
64.233.167.104 www.my-etrust.com
64.233.167.104 www.trendmicro.com
64.233.167.104 www.grisoft.com
64.233.167.104 securityresponse.symantec.com
64.233.167.104 liveupdate.symantecliveupdate.com

Oltre ad effettuare svariate operazioni, curiosamente in determinati giorni del mese mostra un messaggio:

"Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking Saving the world from Bropia, the world n33ds saving from you!"

LARISSA è lo pseudonimo del creatore del worm Assiral, scommesse tra virus writers?