www.MegaLab.it

Un malware di facile e continua diffusione è proprio il Perlovga. Molti ne avranno sentito parlare come "Il virus delle penne USB", perché in effetti il suo principale metodo di diffusione sfrutta proprio i supporti di archiviazione digitale, specialmente memory pen.

Questo malware è classificato nella categoria worm, poiché il suo principale fine è quello di replicarsi e copiare se stesso su ogni memoria di archiviazione (anche non rimovibile, quindi dischi fissi) che viene collegata al computer infetto. Successivamente, collegando l'unità infetta a un'altra macchina, anch'essa verrà infettata allo stesso modo e diventerà "portatrice" del worm.

In realtà, il worm Perlovga è nato tempo fa con il solo scopo di propagarsi. Nel tempo, molti Virus-Writer hanno pensato bene di adottare questa tecnica per diffondere i loro malware. A volte, addirittura, attraverso questo metodo vengono installati malware di un certo calibro e la nuova variante del Virus/Worm Bagle ne è un chiaro esempio.

Di fatto il malware non utilizza strane tecniche per avviarsi e infettare i dispositivi collegati. Tutt'altro. Il worm sfrutta la funzione di autoplay di Windows. Se Windows trova in un'unità di archiviazione un file denominato autorun.inf che contiene istruzioni valide, il sistema procede all'avvio del file eseguibile specificato nel suddetto file e prosegue eseguendo le istruzioni contenute nel file.

La prima cosa che noterete se infettati da questa tipologia di worm, è la presenza di un file autorun.inf nella root dell'unità; a volte, per rendere più difficile la rilevazione, questo file è nascosto e in alcuni casi settato anche come di sistema. Il file che controlla l'autoplay è accompagnato dal file infetto, che verrà avviato all'apertura della penna (ctfmon.exe, temp2.exe, antihost.exe, copy.exe, nideiect.com ecc.).

Di seguito, ecco un'immagine che rappresenta i due file analizzati finora su una penna USB. Come possiamo vedere, entrambi i file infetti rappresentati sono leggermente trasparenti, il che significa che hanno l'attributo "Nascosto".

Analizziamo la costituzione del file autorun.inf che dà la possibilità all'infezione di avviarsi.

[AutoRun] open=nideiect.com ;shellopen=Open(&O) shellopenCommand=nideiect.com shellopenDefault=1 ;shellexplore=Manager(&X) shellexploreCommand=nideiect.com

Per prima cosa, viene aperta la sezione autorun; ciò significa che, di seguito alla suddetta riga, vi saranno le informazioni relative all'autorun.

Il comando open si occupa di aprire il file e precisamente, in questo caso, il file infetto nideiect.com.

Nelle righe sottostanti a quelle viste, viene specificato che, anche scegliendo la voce Apri dal menu contestuale dell'unità o la voce Esplora, in entrambi i casi sarà richiamato il file eseguibile infetto.