[English readers: you can find English links in this post for your convenience]

Il Microsoft Malware Protection Center ha postato i dettagli di un nuovo Worm, a cui è stato dato il nome di Visal.B, che appare in significativa distribuzione (anche se prevalentemente su situazioni aziendali isolate):

Microsoft Malware Protection Center > Emerging Malware Issue: Visal.B

Questo worm non sfrutta alcuna vulnerabilità (per la versione/variante nota al momento in cui scrivo): il suo principale vettore di infezione è l’utente che incautamente clicca su un link in una email (con diversi soggetti e testi) che sembra puntare ad un file PDF o un video WMV, ma in realtà  lancia un file eseguibile SCR. Una volta in esecuzione, il worm si predispone alla propagazione e lo fa sia infettando i dischi locali e le share di rete, sia tramite mail che esso stesso spedisce utilizzando la lista dei contatti presente sul sistema (e nel caso di email aziendale questo implica la possibilità di un ampio numero di destinatari).

I prodotti antimalware Microsoft hanno già le signature in grado di rilevare questa minaccia, così come sta avvenendo via via per gli altri vendor antivirus: quindi la prima raccomandazione è quella di controllare il livello di aggiornamento degli strumenti malware a vostra disposizione.

Per le aziende, si possono mettere in atto delle azioni specifiche per rispondere a questa minaccia:

  1. creare delle regole sui sistemi di posta (es. documentazione per Exchange) e sui dispositivi perimetrali per bloccare questo tipo di email e l’accesso a link .SCR (che non dovrebbero avere alcuna valida giustificazione d’uso in ambito aziendale)
  2. Usare strumenti per rimuovere le mail già arrivate sui sistemi di posta (Exmerge per Exchange, per esempio)
  3. Aggiornare le firme antivirus e ripulire tutti i client infetti (che fino a quando non vengono ripuliti continueranno a bombardare la rete con il mass mailing).

Aggiornamento dell’11/09/2010: nuovo post del MMPC in cui si segnala che il worm prova a propagarsi usando anche i contatti di Yahoo Messenger e che i link da cui viene scaricato il malware sono stati deattivati (quindi le email in circolazione non sono più in grado di infettare, ma è bene aver chiaro che i PC che sono stati infettati fino ad ora continueranno a generare spam finché non verranno bonificati):

Microsoft Malware Protection Center > Update on the "Here you have" worm (Visal.B)

Nuovo post del team Forefront sulle modalità di protezione:

Microsoft Forefront Server Protection Blog > Information about the virus Worm:Win32/VB.WF

Feliciano

Other related posts/resources: