www.MegaLab.it

In queste ultime settimane, la diffusione del Worm.Archivarius - è il nome che Kaspersky gli attribuisce - è salita alle stelle, colpendo decine di persone che utilizzano eMule per scaricare file. I suoi sintomi sono un lieve rallentamento del computer in avvio e la presenza di migliaia di archivi compressi nella cartella Incoming del "mulo".

Il file che genera l'infezione ha sempre il nome di Installer-Crack-Keygen.exe, è rappresentato da un cacciavite e una chiave inglese incrociati, ed è presente in archivi che promettono crack, keygen e cose simili:

Il worm è molto subdolo.

Chi conosce a sufficienza eMule, sa che è obbligatorio condividere i file scaricati e contenuti nella relativa cartella di download.

Dato che il malware crea migliaia di archivi nella cartella Incoming, essi vengono condivisi automaticamente, e vengono sparsi in rete senza che l'utente ne sappia nulla.

Analisi

Una volta avviato, il trojan crea i file NTSpool.exe e WinSecure.exe nella cartella C:\WINDOWS\System32:

WinSecure.exe non è altro che la copia del file Installer-Crack-Keygen. Lo confermano la stessa data di creazione e la medesima dimensione.

Imposta quindi i due file creati in avvio, aggiungendo due valori nella seguente chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Al primo riavvio del computer, il file WinSecure.exe viene eseguito giusto per qualche istante, e infesta la cartella Incoming di eMule con quanti più archivi possibili, contenenti il file Installer-Crack-Keygen.exe; questi hanno tutti la medesima dimensione, ma gli vengono assegnati nomi diversi.

Il trojan continua a creare i file, finché trova spazio nell'unità di sistema. Al secondo riavvio, io mi sono ritrovato con ben 74 kB liberi su un totale di 5 GB; il trojan aveva già occupato poco meno di due GB e mezzo con 2222 file:

Scansione dei file

Il file Installer-Crack-Keygen.exe analizzato su VirusTotal.com

Il file NTSpool.exe analizzato su VirusTotal.com