Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 904420

Win32/Mywife.E@mm

Data di pubblicazione: lunedì 30 gennaio 2006 | Aggiornamento: mercoledì 1 febbraio 2006

Microsoft desidera informare i clienti dell'esistenza di una variante del malware mass-mailer Mywife denominata Win32/Mywife.E@mm. Questo malware fa leva su tecniche di social engineering per indurre gli utenti ad aprire un file allegato contenuto in un messaggio e-mail. Se il destinatario apre il file allegato, il malware si diffonde automaticamente a tutti i contatti presenti nella rubrica del sistema. Il malware potrebbe inoltre diffondersi in condivisioni di rete scrivibili nei sistemi con password degli amministratori vuote.

Per i clienti che utilizzano Windows XP Service Pack 1, Windows XP Service Pack 2, Windows Server 2003 o Windows Server 2003 Service Pack 1, il rischio di infezione da parte del malware potrebbe essere ridotto; se la password dell'account è vuota, tale account non è valido come credenziale di rete. In un ambiente nel quale sia possibile garantire la sicurezza fisica, non è necessario utilizzare l'account nella rete; inoltre, se sul sistema è installato Windows XP o Windows Server 2003, è meglio utilizzare una password vuota rispetto a una debole. Per impostazione predefinita, le password vuote possono essere utilizzate solo localmente in Windows XP e Windows Server 2003.

Per i clienti che utilizzano il software antivirus più recente e aggiornato, il livello di rischio di infezione da parte del malware Win32/Mywife.E@mm potrebbe essere ridotto. È tuttavia necessario chiedere conferma al produttore dell'antivirus utilizzato. I produttori di antivirus hanno assegnato nomi diversi a questo malware, tuttavia l'ID assegnato dal gruppo CME (Common Malware Enumeration) è CME-24.

Nei sistemi infettati da Win32/Mywife@E.mm, il malware si attiva il terzo giorno di ogni mese e danneggia in modo permanente diversi file con formati di documento comuni. Si prevede che il malware danneggi per la prima volta il contenuto di file con formati di documento specifici il giorno 3 febbraio 2006. Inoltre il malware modifica o elimina anche file e chiavi del Registro di sistema associate a determinate applicazioni relative alla sicurezza dei computer. Ciò impedisce l'esecuzione di tali applicazioni all'avvio di Windows. Per ulteriori informazioni, vedere la Microsoft Virus Encyclopedia.

Come accade per tutte le varianti conosciute del malware Mywife, questa variante non sfrutta una vulnerabilità a livello di sicurezza, ma richiede l'apertura di un allegato infetto da parte dell'utente. Questo malware tenta inoltre di eseguire la scansione della rete alla ricerca di sistemi a cui collegarsi che possano essere infettati. Questa operazione viene eseguita nel contesto dell'utente. Se il malware non riesce a collegarsi ad alcun sistema, ritenta l'accesso utilizzando il nome utente "Amministratore" e una password vuota.

I clienti che hanno motivo di credere di essere stati infettati da Mywife o non sono sicuri di aver contratto questo malware devono contattare il produttore dell'antivirus. In alternativa, dal sito Web Windows Live Safety Center Beta è possibile scegliere "Protection Scan" per verificare che i sistemi non siano infetti. Inoltre, Windows OneCare Live Beta, disponibile per i sistemi in lingua inglese, rende disponibili le funzioni di rilevamento e protezione dal malware Mywife e dalle sue varianti conosciute.

Per ulteriori informazioni su questo malware, per verificare se il sistema è stato infettato e per istruzioni sulle operazioni da effettuare per ripristinare il sistema, consultare la Microsoft Virus Encyclopedia. Per i riferimenti alla Microsoft Virus Encyclopedia, consultare la sezione Cenni preliminari. Microsoft consiglia ai clienti di essere molto cauti nell'aprire file allegati sconosciuti e di seguire le indicazioni disponibili in Proteggi il tuo PC per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Web Proteggi il tuo PC.

Informazioni generali

Scopo dell'advisory: informare i clienti dell'esistenza del malware Win32/Mywife.E@mm che attacca i sistemi su cui è in esecuzione Microsoft Windows.

Stato dell'advisory: pubblicazione dell'advisory

Consiglio: consultare gli interventi consigliati ed eseguire la scansione e la pulizia dei sistemi che potrebbero essere infetti.

RiferimentiIdentificazione
Microsoft Virus Encyclopedia Win32/Mywife.E@mm
Windows OneCare http://www.windowsonecare.com/
Windows Live SafetyCenter Beta http://safety.live.com/
Riferimento CME CME-24

In questo advisory vengono presi in esame i seguenti prodotti software.

Software correlato
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 per sistemi basati su Itanium
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 con SP1 per sistemi basati su Itanium
Microsoft Windows Server 2003 x64 Edition
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE) e Microsoft Windows Millennium Edition (ME)

Qual è lo scopo di questo advisory?
Informare i clienti dell'esistenza del malware Mywife che interessa i computer basati su Windows e descrivere la procedura da seguire per prevenire e correggere le possibili infezioni.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
No. Sebbene non si tratti di una vulnerabilità a livello di sicurezza, questo advisory è stato pubblicato per fornire ulteriori informazioni agli utenti infettati dal malware Mywife.

Quali sono i danni potenziali?

Il terzo giorno di ogni mese, a cominciare da venerdì 3 febbraio, questa variante del malware reimposta il contenuto dei file con specifiche estensioni. Ricerca sul disco rigido i file con le seguenti estensioni e ne sostituisce il contenuto con "DATA Error [47 0F 94 93 F4 K5]":

  • .doc
  • .xls
  • .mdb
  • .mde
  • .ppt
  • .pps
  • .zip
  • .rar
  • .pdf
  • .psd
  • .dmp

Per ulteriori informazioni, vedere la Microsoft Virus Encyclopedia.

Alcune fonti indicano che l'infezione ha colpito milioni di computer. In che modo Microsoft affronta questa infezione?

La nostra analisi ha stabilito che il contatore Web è stato manipolato artificialmente. I dati a cui fa riferimento il contatore Web non rappresentano un'indicazione affidabile della portata dell'infezione, né del totale dei computer infettati. Al contrario, utilizziamo i partner del settore e i nostri dati interni per stimare l'impatto del malware sui clienti. In base a queste informazioni, l'attacco ha dimensioni molto più ridotte e non arriva ad interessare milioni di utenti.

Il software antivirus protegge da questo malware?
I seguenti membri di Virus Information Alliance hanno segnalato che il proprio software antivirus fornisce protezione contro lo sfruttamento del malware Mywife.

Aladdin
Computer Associates
F-Secure
Kaspersky
McAfee
Norman
Panda
Symantec
Trend Micro
ESET
Sophos

  • Utilizzare un software antivirus aggiornato

    La maggior parte dei software antivirus sono in grado di rilevare ed evitare le infezioni di software dannosi conosciuti. Per proteggere il computer dalle infezioni, utilizzare sempre un software antivirus che si aggiorni automaticamente con i file delle firme più recenti. Se il software antivirus non è già installato nel computer in uso, è possibile ottenerlo da numerosi produttori. Per ulteriori informazioni visitare il seguente sito Web: http://www.microsoft.com/athome/security/downloads/default.mspx

  • Usare cautela nell'aprire allegati sconosciuti

    Usare cautela prima di aprire allegati sconosciuti inviati con messaggi di posta elettronica, anche nel caso in cui si conosca il mittente. Se non è possibile confermare con il mittente la validità del messaggio e la sicurezza dell'allegato, eliminare immediatamente il messaggio. Quindi, effettuare un controllo del sistema tramite il software antivirus più aggiornato per rilevare l'eventuale presenza di virus nel computer.

  • Utilizzare password complesse

    L'utilizzo di password complesse per tutti gli account utente con privilegi, incluso l'account Amministratore, consente di bloccare il tentativo del malware di diffondersi nelle condivisioni di rete.

    Nota In un ambiente nel quale sia possibile garantire la sicurezza fisica, non è necessario utilizzare l'account nella rete; inoltre, se sul sistema è installato Windows XP o Windows Server 2003, è meglio utilizzare una password vuota rispetto a una debole. Per impostazione predefinita, le password vuote possono essere utilizzate solo localmente in Windows XP Service Pack 1, Windows XP Service Pack 2, Windows Server 2003 e Windows Server 2003 Service Pack 1. Se la password dell'account è vuota, tale account non è valido come credenziale di rete. Per ulteriori informazioni, vedere la documentazione del prodotto

  • Protezione dei PC

    Microsoft incoraggia a seguire le indicazioni disponibili in Proteggi il tuo PC per attivare un firewall, ottenere gli aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Web Proteggi il tuo PC.

  • Per ulteriori informazioni sulla protezione in Internet, visitare la home page del sito Microsoft Security.

Altre informazioni

Risorse:

Dichiarazione di non responsabilità:

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Conseguentemente, Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

  • 30 gennaio 2006: pubblicazione dell'advisory
  • 1 febbraio 2006: ulteriori informazioni sulla riduzione di funzionalità delle password vuote in Windows XP Service Pack 1, Windows XP Service Pack 2, Windows Server 2003 e Windows Server 2003 Service Pack 1. Collegamento aggiunto a Sophos, membro di Virus Information Alliance.

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft