www.MegaLab.it

Che nella lotta senza quartiere tra società di sicurezza e virus, trojan, worm e agenti patogeni assortiti comunemente noti con il termine ombrello di "malware" ci sia spazio per classificazioni bizzarre o singolari è una cosa ben nota.

Le tre schifezze che andrò a presentare qui di seguito, individuate dai ricercatori di Panda software nei giorni scorsi, si segnalano appunto per le loro peculiarità: c'è il cavallo di troia che vuol vendere all'utente un telefonino di nuova generazione che ha fatto di recente impazzire le cronache tecnologiche e mass mediatiche, quello che urla nelle casse mentre cancella allegramente tutto il cancellabile e il verme che prende di mira uno dei file più importanti degli OS della famiglia Windows.

L'ammazza-dati che irride le proprie vittime

BotVoice.A, anche noto come Win32Hira.A, è a ben guardare un trojan non particolarmente evoluto: non usa tecniche di camuffamento avanzate, non si assicura l'esecuzione ad ogni avvio del sistema e non si diffonde automaticamente ma necessita che l'utente lo trasporti con se o lo scarichi dalla rete per infettare nuove macchine su cui giri un qualunque sistema Windows (dal'95 in su).

Ma la sua grossolanità non è purtroppo un motivo di sollievo per chi se lo fosse malauguratamente "beccato": una volta eseguito, BotVoice.A comincia a cantilenare la seguente frase usando il sintetizzatore text-to-speech Microsoft: You have been infected I repeat you have been infected and your system files have been deleted. Sorry. Have a nice day and bye bye.

Mentre l'utente rimane allibito per la spiacevole colonna sonora che fuoriesce a ciclo continuo dalle casse (un sample della quale è disponibile in formato MP3 a questo indirizzo), il trojan cancella in maniera silenziosa ma inesorabile tutti i dati presenti sul volume C: , fermandosi soltanto quando si imbatte in file incancellabili.

Non bastasse questo, BotVoice.A elimina tutti i collegamenti presenti sul desktop e nella cartella Documenti, blocca l'esecuzione e l'apertura di file con estensione .bat, .exe, .html, .mp3, .pif e altre e infine disabilita il Task Manager e l'Editor del Registro di Configurazione di Windows. Trojan rozzo ma disastro assicurato.

Quell'iPhone è un virus!

Meno distruttivo si rivela essere Aifone.A, malware che sfrutta il recente lancio del melafonino di Steve Jobs per trarre in inganno i navigatori e catturare informazioni sensibili. Il trojan, che come il ben più ciarliero BotVoice non è in grado di diffondersi di propria iniziativa, deposita una copia di se stesso nella cartella di sistema con il nome "RWERA21S1.DLL", e successivamente si registra come BHO (Browser Helper Object) in modo da venire eseguito ad ogni apertura di Internet Explorer.

Preso possesso di IE Aifone.A rimane silente, almeno finché l'utente non vada malauguratamente a visitare la pagina web presente all'indirizzo www.apple.com/iPhone, dedicata al suddetto iPhone di Cupertino. A questo punto il trojan prende il controllo della navigazione, dirottando il browser ad un sito web fasullo appositamente progettato che millanta la possibilità di acquistare il dispositivo.

La pagina è stata al contrario creata dallo stesso trojan, che si incaricherà di registrare tutti i dati personali inseriti a totale insaputa del netizen.

Privilegi per tutti, lo dice il nuovo kernel

L'ultimo caso che ho scelto per questo mini-bestiario è Addon.A, il worm in grado di attaccare il cuore dei sistemi Windows. Il verme è progettato per iniettare se stesso all'interno di Internet Explorer, e per sostituire il file di sistema ntoskrnl.exe con una versione vulnerabile appositamente recuperata dalla rete.

Sfruttando la falla contenuta nel file compromesso, un malintenzionato potrebbe risalire la scala dei privilegi utente di un PC o di una rete, fino a raggiungere il gruppo Amministratori e ottenere pieno controllo sui sistema infetti.

La peculiarità risiede nel fatto che ntoskrnl.exe contiene l'immagine del kernel per gli OS della famiglia NT, nucleo di controllo responsabile di operazioni fondamentali come la virtualizzazione dell'hardware, la gestione dei processi, della memoria e dello scheduler per l'esecuzione delle applicazioni in multitasking e via di questo passo.

Oltre ad iniettare il proprio codice all'interno del cuore pulsante del sistema operativo, Addon.A crea i file FOTO_CELULAR.SCR e FOTO_CELULAR.ZIP nella cartella radice del drive C: e MSNWORM.EXE e ODDYSEE.EXE nella directory di sistema di Windows. Diffonde inoltre copie di se stesso sotto forma di file dall'estensione .zip.