Punto informatico Network

20081022222255_1611985231_20081022222238_1475510705_XBUGS INCHWORM.png

Trojan.Peacomm e la botnet di malware distribuito

29/01/2007
- A cura di
Archivio - Non sempre il peer-to-peer viene usato per scaricare MP3 e DivX. Al posto delle hit del momento questo pericoloso agente virale potrebbe recapitare sul disco fisso sorprese ben poco gradite...

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

malware (1) , trojan.peacomm (1) , botnet (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 160 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

A riprova della tendenza da tempo in atto di tentare nuovi approcci tecnologici all'infezione e agli attacchi dei sistemi informatici, il trojan horse da poco scoperto dai laboratori di analisi Symantec getta l'ennesima luce obliqua sulla sempre crescente capacità di cooperazione esistente tra i virus writer.

Trojan.Peacomm è il nuovo rischio alla sicurezza dei sistemi connessi in rete classificato per la prima volta il 19 gennaio scorso: una sostenuta attività del malware e il crescente numero di macchine infette (più di 1.000 al momento di scrivere), hanno fatto alzare a moderato (ovvero 3 su una scala di 5) il livello della minaccia.

Il trojan viene veicolato da mail spam, con soggetti quali A killer at 11, he's free at 21 and kill again!, Angela Merkel, British Muslims Genocide e via di questo passo. Il malware è allegato come file eseguibile dal nome allettante (FullVideo.exe, Video.exe, FullClip.exe), e una volta eseguito rilascia la componente principale dell'infezione, un driver di sistema di nome wincom32.sys. Il servizio si curerà ad ogni avvio di iniettare alcuni thread nascosti all'interno del processo-contenitore services.exe.

Il camuffamento, ad ogni modo, finisce qui, e non avendo il trojan peculiarità da rootkit è possibile individuare facilmente il file wincom32.sys nella cartella %System%. Una volta preso il controllo della macchina, Peacomm entrerà in azione: il trojan tenterà di stabilire una connessione di tipo peer-to-peer sul network, utilizzando, di base, la porta 4000 del protocollo UDP, adoperato anche da software di scambio famosi come l'onnipresente eMule.

01_-_Trojan_horse.jpg

Cominciando la ricerca dei peer attivi da una piccola lista di indirizzi IP interna, il trojan otterrà una nuova lista di indirizzi a cui tentare di connettersi, assieme ad una "blacklist" di peer da non utilizzare: nei fatti, Peacomm è in grado di creare una rete privata criptata basata sul protocollo di P2P di Overnet, network utilizzato dal defunto eDonkey2000 e da altri noti client di file sharing.

Una volta stabilita la connessione con i peer disponibili, Trojan.Peacomm fa quello per cui è stato progettato, ovvero scaricare sulla macchina infetta nuovo malware. Attualmente, la lista di "prelibatezze" gentilmente procurate dal trojan comprende:

game0.exe: il downloader + rootkit classificato da Symantec come Trojan.Abwiz.F;

game1.exe, game2.exe, game3.exe, game4.exe: il worm-spammer e ruba-indirizzi e-mail W32.Mixor.Q@mm.

Come mette in luce il post sul weblog della società di sicurezza, questa peculiare botnet realizzata da Trojan.Peacomm offre notevoli vantaggi dal punto di vista di un realizzatore di malware: non essendoci server centrali di controllo e monitoraggio della rete di PC zombificati (comunemente detti server di Comando&Controllo), è molto più difficile "spegnere" del tutto la rete. L'approccio P2P contribuisce poi ad alleggerire i server dai download del malware e a rendere può veloce ed efficiente la loro diffusione.

Un paradiso per i criminali informatici, un incubo per l'utente: anche se Trojan.Peacomm, ora come ora, non dovrebbe rappresentare la minaccia tipica di certe "bestie sacre" di infezioni quali il sempreverde Netsky, si raccomanda come al solito di tenere alta la guardia, aggiornate le definizioni antivirali e di utilizzare un buon firewall di tipo dinamico (come l'ottimo ZoneAlarm free), per camuffare la presenza della propria macchina in rete e tenere sotto controllo le connessioni in entrata e in uscita.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 2.2 sec.
    •  | Utenti conn.: 54
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 1.79