Virus Alert del 24 Giugno 2004: W32/Sdbot-JB,

Buon giorno e ben trovati al consueto aggiornamento a proposito dei virus segnalati ieri.
Come al solito 2 nuove varianti di 2 vecchie famiglie.

Anche ieri, come ormai da un po', sono state segnalate dalla newsletter di Sophos due nuove varianti in due vecchie e ben conosciute famiglie virali:

1. W32/Sdbot-JB
   Aliases: W32.Randex.gen, WORM_SDBOT.CT
   Tipo: Worm
   Come al solito, cerca di diffondersi tramite condivisioni di rete dotate di password deboli.
   Ha anche funzionalita' di Trojan/Backdoor, in quanto permette ad un attacker remoto di accedere al computer infetto da remoto.
   Per essere sicuro di avviarsi all'avvio del computer, inserisce se stesso (WINUPDATE.EXE) nelle seguenti chiavi di registro:
   HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
2. W32/Korgo-R
   Tipo: Worm
   Questo Worm (tutta la famiglia a dire il vero) sfrutta la ben nota vulnerabilita' in LSASS, corretta con la patch MS04-011.
   Quando viene eseguito si copia usando un nome file random nella directory di sistema ed aggiunge questa chiave di registro per avviarsi quando un utente effettua il logon:
   HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindows Update = .exe
   Durante l'infezione il worm usa anche questa chiave temporanea:
   WirelessClient = 1ID =
   Esegue la scansione su indirizzi IP per verificarne la vulnerabilita' ed apre un server web nelle porte TCP comprese tra 2000 e 8191.
   Ha anche un componente backdoor che permette l'upload di file e il controllo sulla macchina infetta.