www.MegaLab.it

A riprova della tendenza da tempo in atto di tentare nuovi approcci tecnologici all'infezione e agli attacchi dei sistemi informatici, il trojan horse da poco scoperto dai laboratori di analisi Symantec getta l'ennesima luce obliqua sulla sempre crescente capacità di cooperazione esistente tra i virus writer.

Trojan.Peacomm è il nuovo rischio alla sicurezza dei sistemi connessi in rete classificato per la prima volta il 19 gennaio scorso: una sostenuta attività del malware e il crescente numero di macchine infette (più di 1.000 al momento di scrivere), hanno fatto alzare a moderato (ovvero 3 su una scala di 5) il livello della minaccia.

Il trojan viene veicolato da mail spam, con soggetti quali A killer at 11, he's free at 21 and kill again!, Angela Merkel, British Muslims Genocide e via di questo passo. Il malware è allegato come file eseguibile dal nome allettante (FullVideo.exe, Video.exe, FullClip.exe), e una volta eseguito rilascia la componente principale dell'infezione, un driver di sistema di nome wincom32.sys. Il servizio si curerà ad ogni avvio di iniettare alcuni thread nascosti all'interno del processo-contenitore services.exe.

Il camuffamento, ad ogni modo, finisce qui, e non avendo il trojan peculiarità da rootkit è possibile individuare facilmente il file wincom32.sys nella cartella %System%. Una volta preso il controllo della macchina, Peacomm entrerà in azione: il trojan tenterà di stabilire una connessione di tipo peer-to-peer sul network, utilizzando, di base, la porta 4000 del protocollo UDP, adoperato anche da software di scambio famosi come l'onnipresente eMule.

Cominciando la ricerca dei peer attivi da una piccola lista di indirizzi IP interna, il trojan otterrà una nuova lista di indirizzi a cui tentare di connettersi, assieme ad una "blacklist" di peer da non utilizzare: nei fatti, Peacomm è in grado di creare una rete privata criptata basata sul protocollo di P2P di Overnet, network utilizzato dal defunto eDonkey2000 e da altri noti client di file sharing.

Una volta stabilita la connessione con i peer disponibili, Trojan.Peacomm fa quello per cui è stato progettato, ovvero scaricare sulla macchina infetta nuovo malware. Attualmente, la lista di "prelibatezze" gentilmente procurate dal trojan comprende:

game0.exe: il downloader + rootkit classificato da Symantec come Trojan.Abwiz.F;

game1.exe, game2.exe, game3.exe, game4.exe: il worm-spammer e ruba-indirizzi e-mail W32.Mixor.Q@mm.

Come mette in luce il post sul weblog della società di sicurezza, questa peculiare botnet realizzata da Trojan.Peacomm offre notevoli vantaggi dal punto di vista di un realizzatore di malware: non essendoci server centrali di controllo e monitoraggio della rete di PC zombificati (comunemente detti server di Comando&Controllo), è molto più difficile "spegnere" del tutto la rete. L'approccio P2P contribuisce poi ad alleggerire i server dai download del malware e a rendere può veloce ed efficiente la loro diffusione.

Un paradiso per i criminali informatici, un incubo per l'utente: anche se Trojan.Peacomm, ora come ora, non dovrebbe rappresentare la minaccia tipica di certe "bestie sacre" di infezioni quali il sempreverde Netsky, si raccomanda come al solito di tenere alta la guardia, aggiornate le definizioni antivirali e di utilizzare un buon firewall di tipo dinamico (come l'ottimo ZoneAlarm free), per camuffare la presenza della propria macchina in rete e tenere sotto controllo le connessioni in entrata e in uscita.