www.MegaLab.it

Ritorna ad infestare la rete Looked, file virus tristemente famoso per essere stato, nell'anno appena concluso, protagonista di una proliferazione notevole e della distribuzione di Spyware ruba-informazioni. Lo denuncia Trend Micro, con la pubblicazione della scheda di PE_LOOKED.RI-O, nuova variante del virus appena scoperta e classificata sulla Virus Encyclopedia.

E mai come in questo caso la definizione di "virus" è più appropriata: Looked (e con esso la nuova variante appena scoperta) funziona esattamente come la genìa di malware che per anni, prima dell'avvento Internet moderna e la conseguente recrudescenza di worm e spyware, ha imperversato sui PC di tutto il mondo (si veda a riguardo l'introduzione di Programmi antivirus a confronto), cioè iniettando copie di se stesso nei file eseguibili presenti sui dischi collegati al sistema.

Il codice maligno, una volta arrivato sul sistema via download o e-mail e mandato in esecuzione, si assicura prima di tutto l'esecuzione ad ogni avvio, copiando una replica del proprio codice nella posizione %Windows%\uninstall\RUNDL132.EXE e creando la seguente chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

load = "%Windows%\uninstall\RUNDL132.EXE"

In aggiunta, il virus rilascia il componente %Windows%\RichDll.DLL, responsabile per le routine di propagazione via risorse condivise nel network di appartenenza. Una volta preso il possesso della macchina, LOOKED.RI-O cerca file eseguibili con estensione .exe su tutti i drive esistenti nell'intervallo di volumi C: - Z: , e prova appunto a propagarsi in rete usando i nomi utente administrator e guest con password vuota. In aggiunta, il virus prova a terminare i processi appartenenti al software Kingsoft Antivirus Service, e a connettersi a diversi indirizzi per scaricare nuovo malware.

Proprio questa sua capacità, sostiene Trend Micro in un articolo esaustivo dedicato all'infezione, lo ha reso particolarmente temibile nel 2006, soprattutto nelle zone dell'Asia del Pacifico. Looked è infatti imputato di essere stato il trampolino di lancio dell'invasione di diversi Spyware ruba-informazioni specificatamente pensati per operare nell'area, come ben esemplifica la routine di contrasto del suddetto antivirus prodotto in Cina.

Ma il "bestiario" di questa settimana comprende altre interessanti novità dal fronte malware: le due "new entry", segnalate entrambe da Symantec, sono rispettivamente un trojan distruttivo che prende di mira i file multimediali dell'utente e un rootkit capace di camuffarsi come mai fino ad ora era stato osservato tra i codici maligni in the wild.

Trojan.Killwma è un cavallo di troia piuttosto rozzo: non residente in memoria, una volta eseguito sulla macchina infetta crea un'operazione pianificata per venire lanciato ogni 5 minuti. Nello stesso istante dell'esecuzione scatta il payload, e il malware cerca all'interno di tutte le cartelle dei dischi locali i file in formato WMA, cancellandone l'header e rendendoli di fatto inutilizzabili.

Meno pericoloso per i dati è invece Hacktool.Unreal.A, identificato dai laboratori Symantec il primo febbraio. Stando alle informazioni pubblicate dalla società al momento di scrivere, l'agente infettivo non è altro che un proof of concept creato per nascondere la propria presenza alle attuali tecniche anti-rootkit impiegate dai software di sicurezza. Una volta in esecuzione, Unreal.A si installa come servizio all'interno dell'ADS (Alternate Data Stream) C:\:unreal.sys, impossibile da individuare da Esplora Risorse e, pare, anche con programmi specifici per rootkit.

Il rootkit crea inoltre le seguenti sottochiavi di registro associate al servizio:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Unreal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UNREAL]

Per quanto pare che l'agente virale si limiti alle sole azioni suddette, è certamente fonte di preoccupazione la sua capacità di farsi beffe degli strumenti più sofisticati attualmente in circolazione per combattere le minacce informatiche in proliferazione costante.