www.MegaLab.it

Kaspersy Labs, da oltre un decennio una delle società antivirali più apprezzate e premiate, ha da qualche giorno diramato un bollettino per la scoperta di un nuovo malware potenzialmente molto virulento. Il bacillo è una nuova variante del ben noto Warezov, che già impensierì gli esperti nella tarda estate dell'anno appena concluso.

Con Warezov.AT, il campione di infezioni di cui abbiamo già parlato a suo tempo, la nuova versione scoperta da Kaspersky, classificata come Email-Worm.Win32.Warezov.jv su Viruslist.com, ha in comune la capacità di propagazione, che a quanto pare non è da prendere sottogamba considerando che l'alert della società appioppa al virus un rischio indicato come moderato.

Tecnicamente, Warezov.jv è un classico mass-mailing worm per sistemi Windows, che cerca di auto-replicarsi sfruttando i contatti presenti nella rubrica di Outlook Express e nei file che trova sull'hd del sistema infetto. Diversamente dal solito, il worm non auto-invia copie di se stesso come allegato delle mail, ma preferisce schierare un trojan che, una volta eseguito, si occupa di scaricare l'ultima variante del malware da diversi siti.

Una volta eseguito sulla macchina colpita, Warezov.jv installa se stesso come la libreria e1.dll all'interno della cartella di sistema, copiando il proprio eseguibile tpup.exe nella cartella di Windows e garantendosi l'avvio ad ogni sessione aggiungendo le rispettive chiavi nel registro di configurazione. Un sistema infetto avrà dunque i seguenti segni caratteristici:

%WinDir%\tpup.exe %System%\e1.dll

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

tpup = %WinDir%\tpup.exe s

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

AppInit_DLLs = {una libreria di sistema a caso} e1.dll

Una volta in esecuzione come dll iniettata in un processo legittimo del sistema, il worm prova a disabilitare i processi e i servizi di vari software di sicurezza come antivirus e firewall, inviare messaggi per e-mail che invitano ad eseguire il suddetto trojan downloader e a scaricare una lista di link salvandoli come file sull'hard disk. Provvederà infine a prelevare file da questi link, a salvarli nella directory dei temporanei di Windows e a mandarli in esecuzione.

Rimandando, per maggiori informazioni, all'advisory originale precedentemente citato, ricordiamo come Warezov.jv possa essere riconosciuto con nomi diversi da antivirus diversi, e raccomandiamo come al solito di tenere sempre alte le barriere difensive, i firewall al massimo e le definizioni antivirali aggiornate con cadenza possibilmente quotidiana.