Dalla newsletter di www.PortaZero.info,il portale indipendente sulla sicurezza informatica.
Edizione extra: rilevato worm che colpisce le postazioni Windows
-------------------
I centri di ricerca antivirus hanno dato l'allarme circa la diffusione di un nuovo worm che colpisce i sistemi client Windows. Il verme si inserisce nei sistemi che hanno accesso ad Internet e che usano le condivisioni delle risorse con una password scadente o nulla (la condizione più diffusa).
Si tratta probabilmente del primo tentativo di eseguire un'infezione di massa in postazioni Windows. Solitamente questo genere di attacchi è diretto ai sistemi server.
Il nuovo worm esegue una scansione su Internet alla ricerca di computer che hanno la porta 445 aperta. Si tratta di una porta attivata in automatico da Windows per gestire le condivisioni delle risorse all'interno di una rete locale. Attenzione però che molti computer non in rete hanno la condivisione attiva per errore o per cattiva configurazione.
Una volta che la macchina è stata individuata, il verme tenta di accedere usando una lista di 50 password. Si tratta di parole banali ma che molto spesso vengono impiegate negli ambienti di lavoro:
"" (password nulla, certamente la più comune!)
" xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xx"
"admin"
"Admin"
"password"
"Password"
"1"
"12"
"123"
"1234"
"12345"
"123456"
"1234567"
"12345678"
"123456789"
"654321"
"54321"
"111"
"000000"
"00000000"
"11111111"
"88888888"
"pass"
"passwd"
"database"
"abcd"
"abc123"
"oracle"
"sybase"
"123qwe"
"server"
"computer"
"Internet"
"super"
"123asd"
"ihavenopass"
"godblessyou"
"enable"
"xp"
"2002"
"2003"
"2600"
"0"
"110"
"111111"
"121212"
"123123"
"1234qwer"
"123abc"
"007"
"alpha"
"patrick"
"pat"
"administrator"
"root"
"sex"
"god"
"foobar"
"a"
"aaa"
"abc"
"test"
"test123"
"temp"
"temp123"
"win"
"pc"
"asdf"
"secret"
"qwer"
"yxcv"
"zxcv"
"home"
"xxx"
"owner"
"login"
"Login"
"pwd"
"pass"
"love"
"mypc"
"mypc123"
"admin123"
"pw123"
"mypass"
"mypass123"
"pw"
Una volta entrato nel sistema, il verme si installa nel computer in modo da essere eseguito ad ogni accensione della macchina. Contestualmente viene installato un server VNC che permette il controllo completo del computer locale dall'esterno.
A questo punto sarà inserita anche una backdoor IRC per le comunicazioni con il creatore e verrà attivata la procedura di ricerca di altri computer da infettare.
A volte si ha anche che le condivisioni locali sono disattivate. Questo comportamento può essere usato come sintomo della presenza del worm.
Il rischio per la sicurezza e la privacy è molto elevato. E' fondamentale utilizzare un firewall di protezione e interdire la porta 445. Questa dovrebbe essere una regola base ma molto spesso questa porta è completamente ignorata, lasciando il sistema aperto.
Silvio Umberto Zanzi
-------------------
PortaZero vi terrà informati circa gli sviluppi del problema.
La news originale sul problema è accessibile tramite questo link:
http://www.portazero.info/article.php?sid=2088
Rispondi quotando
;=)
