Mydoom

Mydoom, noto anche come W32.MyDoom@mm, Novarg, MiMail.R o Shimgapi, è un worm che colpisce Microsoft Windows. È stato rilevato per la prima volta il 26 gennaio 2004 ed è diventato il worm con la più rapida diffusione via e-mail di sempre, superando i precedenti record stabiliti dal worm Sobig e ILOVEYOU, e fino ad ora imbattuto.^[1]

Panoramica

Mydoom sembra essere stato commissionato da uno spammer di posta elettronica in modo da inviare posta indesiderata attraverso i computer infetti.^[2] Il worm contiene il seguente messaggio di testo: "Andy, sto solo facendo il mio lavoro, niente di personale, mi dispiace". Questo messaggio ha indotto molti a credere che il creatore del worm sia stato pagato per diffonderlo. Nella fase iniziale, diverse aziende di sicurezza hanno espresso la loro convinzione che il worm abbia avuto origine da un programmatore in Russia, nonostante la sua identità sia ancora sconosciuta.^[3]

Le iniziali tesi speculative presto hanno ritenuto che l'unico scopo del worm fosse quello di perpetrare un attacco di tipo DoS contro l'SCO Group. Le congetture della stampa, stimolata dalla affermazioni di SCO Group stesso, affermarono che il worm fosse stato creato da un sostenitore di software liberi o Linux come rappresaglia per le controverse azioni legali mosse dal Gruppo SCO contro il software creato da Torvalds. Questa teoria è stata tuttavia respinta immediatamente dagli agenti della sicurezza, i quali attribuiscono l'origine del worm a bande organizzate di cybercriminali. L'analisi iniziale di Mydoom ha suggerito che si trattasse di una variante del worm Mimail - da cui il nome alternativo MiMail.R - alimentando le teorie secondo cui dietro ai due worm ci fossero gli stessi artefici. Anche questa ipotesi venne però ridimensionata in seguito a successive indagini.

Mydoom è stato rinominato da Craig Schmugar, un dipendente della società di sicurezza informatica McAfee e uno dei primi scopritori del worm. Schmugar ha scelto il nome dopo aver notato il testo "mydom" all'interno di una riga di codice del programma. Notò inoltre che "Era evidente fin da subito che sarebbe potuto diventare molto grande. Ho pensato che avere "doom" nel nome sarebbe stato opportuno".^[4]

Panoramica tecnica

Mydoom si trasmette principalmente attraverso e-mail, che appare come un errore di trasmissione, contenente messaggi tra cui "Error", "Mail Delivery System", "Test" o "Mail transaction failed" in diverse lingue, tra cui inglese e francese. La posta elettronica contiene un allegato che, se eseguito, invia automaticamente il worm a tutti gli indirizzi e-mail trovati nei file locali del computer, ad esempio la rubrica dei contatti. Inoltre copia se stesso nella "cartella condivisa" del programma peer-to-peer di file-sharing KaZaA, nel tentativo di diffondersi in questo modo.

Mydoom evita di coinvolgere gli indirizzi di posta elettronica di alcune università, come Rutgers, il MIT, Stanford e Berkeley, così come quelli di alcune società come Microsoft e Symantec. Alcuni primi rapporti sostenevano che il worm evitasse tutti gli indirizzi .edu.

La versione originale, Mydoom.A, è descritta come esecutrice di due payload:

• Viene installata una backdoor sulla porta 3127/tcp per consentire il controllo remoto del PC infetto (mettendo il proprio file SHIMGAPI.DLL nella directory system32 ed eseguendolo come un processo figlio di Windows Explorer); questa è essenzialmente la stessa backdoor usata da Mimail.
• Viene sferrato un attacco DoS contro il sito web di SCO Group. Molti analisti misero in dubbio la reale funzionalità di questo payload e, da esami successivi, fu scoperto che veniva eseguito "correttamente" solo nel 25% dei computer infetti.

Una seconda versione, Mydoom.B, oltre ad eseguire i payload originali, coinvolge anche il sito web di Microsoft, bloccandone l'accesso, ed impedendo l'utilizzo di popolari siti di antivirus online modificando i file host, bloccando gli aggiornamenti software dei medesimi o "disarmando" gli strumenti di rimozione dei virus. Il minor numero di copie di questa versione in circolazione ha impedito che i server Microsoft subissero danni eccessivi.^[5][6]

Timeline

• 26 gennaio 2004: Il virus Mydoom viene identificato intorno alle 8:00 EST (13:00 UTC), poco prima dell'inizio della giornata lavorativa in Nord America, con i primi messaggi provenienti dalla Russia. Per un paio d'ore a metà giornata, la rapida diffusione del worm rallenta le prestazioni complessive di internet di circa il 10% e il tempo di caricamento medio per una pagina web aumenta di circa il 50%. Le società di sicurezza informatica segnalano che Mydoom è autore di un messaggio mail su dieci. Sebbene l'attacco DoS di Mydoom sia stato programmato per iniziare il 1º febbraio 2004, il sito di SCO Group va offline per un breve periodo nelle ore successive al rilascio del worm. Non è chiaro se Mydoom ne sia responsabile. SCO Group ha sostenuto di essere stato il bersaglio di molti attacchi DoS nel 2003, che però erano estranei ai virus informatici.

• 27 gennaio 2004: SCO Group offre una ricompensa di 250.000 dollari per informazioni che portino all'arresto del creatore del worm. Negli Stati Uniti, l'FBI e il Servizio segreto iniziano le indagini sul bug.

• 28 gennaio 2004: Una seconda versione del worm viene scoperta due giorni dopo l'attacco iniziale. I primi messaggi inviati da Mydoom.B sono identificati intorno alle 14:00 UTC e sembrano ancora provenire dalla Russia. La nuova versione include l'attacco originale contro SCO Group e un attacco identico rivolto a Microsoft.com, con inizio programmato il 3 febbraio 2004; per entrambi gli attacchi, tuttavia, nasce il sospetto riguardo alla loro reale efficienza e al funzionamento del loro codice. Mydoom.B blocca anche l'accesso ai siti web di oltre 60 società di sicurezza informatica, così come i pop-up pubblicitari forniti da DoubleClick e di altre società di marketing online. Al momento, le società di sicurezza informatica segnalano che Mydoom è responsabile di circa un messaggio di posta elettronica su cinque.

• 29 gennaio 2004: Vengono trovati dei bug nel codice di Mydoom.B che ne rallentano la propagazione originariamente prevista. Microsoft offre 250.000 dollari di ricompensa per informazioni che portino all'arresto del creatore del worm.

• 1º febbraio 2004: Viene stimato che circa un milione di computer infetti in tutto il mondo abbiano iniziato un massiccio attacco DoS, il più grande mai sferrato fino ad oggi. Non appena il 1º febbraio arriva in Asia orientale e in Australia, SCO rimuove www.sco.com dal DNS intorno alle 17:00 UTC del 31 gennaio.

• 3 febbraio 2004: L'attacco DoS nei confronti di Microsoft ha inizio, mentre la stessa società si tutela offrendo un sito web che non sarà influenzato dal worm, information.microsoft.com.^[7] Tuttavia, l'impatto dell'attacco risulta minimo ed il sito ufficiale rimane funzionante. Ciò è attribuito alla relativamente scarsa distribuzione della variante Mydoom.B, alla tolleranza elevata dei server e alle precauzioni prese dalla società. Alcuni esperti sottolineano che il peso del worm (in termini di byte) è inferiore a quello degli aggiornamenti software e altri servizi web comunemente offerti da Microsoft.

• 9 febbraio 2004: Doomjuice, un bug parassita, comincia a diffondersi. Questo worm sfrutta la backdoor creata da Mydoom per diffondersi, nonostante non possa attaccare i computer non precedentemente infettati e per questo ritenuto meno pericoloso. Il suo payload, simile a uno di Mydoom.B, è un attacco DoS contro Microsoft.^[8]

• 12 febbraio 2004: Viene programmato Mydoom.A per fermare la diffusione. Tuttavia, la backdoor rimane aperta anche dopo tale data.

• 1º marzo 2004: Viene programmato Mydoom.B per fermare la diffusione. Tuttavia, come per Mydoom.A, la backdoor rimane aperta anche dopo tale data.

• 26 luglio 2004: Una variante di Mydoom attacca Google, AltaVista e Lycos, bloccando completamente le funzioni del popolare motore di ricerca Google per la maggior parte della giornata, e creando notevoli rallentamenti nei motori di AltaVista e Lycos per ore.

• 10 settembre 2004: Appaiono le versioni U, V, W e X di Mydoom, scatenando le preoccupazioni circa la preparazione di un nuovo e più potente attacco.

• 18 febbraio 2005: Appare la versione AO di Mydoom.

• luglio 2009: MyDoom ricompare negli attacchi informatici che interessano la Corea del Sud e gli Stati Uniti.^[9]

Note

1. ^ (EN) CNN.com - Security firm: MyDoom worm fastest yet - Jan. 28, 2004, su edition.cnn.com, 28 gennaio 2004. URL consultato il 16 agosto 2016.
2. ^ (EN) The Seattle Times: Business & Technology: E-mail viruses blamed as spam rises sharply, su seattletimes.nwsource.com, 18 febbraio 2004. URL consultato il 16 agosto 2016.
3. ^ (EN) Virulent MyDoom Computer Virus Created in Russia, THE ST. PETERSBURG TIMES, su highbeam.com, 30 gennaio 2004. URL consultato il 14 settembre 2016 (archiviato dall'url originale l'8 ottobre 2016).
4. ^ (EN) MORE DOOM?, su europe.newsweek.com. URL consultato il 14 settembre 2016.
5. ^ (EN) Mydoom virus starts to fizzle out, su news.bbc.co.uk, 4 febbraio 2004. URL consultato il 14 settembre 2016.
6. ^ (EN) How to Thwart Renewed 'MyDoom' E-Mail Bug, su abcnews.go.com, 30 gennaio 2004. URL consultato il 14 settembre 2016.
7. ^ (EN) What You Should Know About the Mydoom Worm Variants: Mydoom.A and Mydoom.B, su information.microsoft.com, 27 gennaio 2004. URL consultato il 15 settembre 2016 (archiviato dall'url originale il 4 febbraio 2004).
8. ^ (EN) W32.HLLW.Doomjuice, su symantec.com. URL consultato il 15 settembre 2016.
9. ^ (EN) Lazy Hacker and Little Worm Set Off Cyberwar Frenzy, su wired.com, 8 luglio 2009. URL consultato il 15 settembre 2016.

Voci correlate

• Worm

  Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica