![]() Ultime news
![]() Ultimi articoli
![]() Le ultime dal Forum |
![]() I malware della settimana: LOOKED.RI, Killwma e Hacktool.Unreal.A07/02/2007 - A cura di
![]() Correlati
![]() TagPassa qui con il mouse e visualizza le istruzioni per utilizzare i tag!
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa.
![]() Ritorna ad infestare la rete Looked, file virus tristemente famoso per essere stato, nell'anno appena concluso, protagonista di una proliferazione notevole e della distribuzione di Spyware ruba-informazioni. Lo denuncia Trend Micro, con la pubblicazione della scheda di PE_LOOKED.RI-O, nuova variante del virus appena scoperta e classificata sulla Virus Encyclopedia. E mai come in questo caso la definizione di "virus" è più appropriata: Looked (e con esso la nuova variante appena scoperta) funziona esattamente come la genìa di malware che per anni, prima dell'avvento Internet moderna e la conseguente recrudescenza di worm e spyware, ha imperversato sui PC di tutto il mondo (si veda a riguardo l'introduzione di Programmi antivirus a confronto), cioè iniettando copie di se stesso nei file eseguibili presenti sui dischi collegati al sistema. Il codice maligno, una volta arrivato sul sistema via download o e-mail e mandato in esecuzione, si assicura prima di tutto l'esecuzione ad ogni avvio, copiando una replica del proprio codice nella posizione %Windows%\uninstall\RUNDL132.EXE e creando la seguente chiave di registro: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] load = "%Windows%\uninstall\RUNDL132.EXE" In aggiunta, il virus rilascia il componente %Windows%\RichDll.DLL, responsabile per le routine di propagazione via risorse condivise nel network di appartenenza. Una volta preso il possesso della macchina, LOOKED.RI-O cerca file eseguibili con estensione .exe su tutti i drive esistenti nell'intervallo di volumi C: - Z: , e prova appunto a propagarsi in rete usando i nomi utente administrator e guest con password vuota. In aggiunta, il virus prova a terminare i processi appartenenti al software Kingsoft Antivirus Service, e a connettersi a diversi indirizzi per scaricare nuovo malware.
Ma il "bestiario" di questa settimana comprende altre interessanti novità dal fronte malware: le due "new entry", segnalate entrambe da Symantec, sono rispettivamente un trojan distruttivo che prende di mira i file multimediali dell'utente e un rootkit capace di camuffarsi come mai fino ad ora era stato osservato tra i codici maligni in the wild. Trojan.Killwma è un cavallo di troia piuttosto rozzo: non residente in memoria, una volta eseguito sulla macchina infetta crea un'operazione pianificata per venire lanciato ogni 5 minuti. Nello stesso istante dell'esecuzione scatta il payload, e il malware cerca all'interno di tutte le cartelle dei dischi locali i file in formato WMA, cancellandone l'header e rendendoli di fatto inutilizzabili. Meno pericoloso per i dati è invece Hacktool.Unreal.A, identificato dai laboratori Symantec il primo febbraio. Stando alle informazioni pubblicate dalla società al momento di scrivere, l'agente infettivo non è altro che un proof of concept creato per nascondere la propria presenza alle attuali tecniche anti-rootkit impiegate dai software di sicurezza. Una volta in esecuzione, Unreal.A si installa come servizio all'interno dell'ADS (Alternate Data Stream) C:\:unreal.sys, impossibile da individuare da Esplora Risorse e, pare, anche con programmi specifici per rootkit. Il rootkit crea inoltre le seguenti sottochiavi di registro associate al servizio: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Unreal] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UNREAL] Per quanto pare che l'agente virale si limiti alle sole azioni suddette, è certamente fonte di preoccupazione la sua capacità di farsi beffe degli strumenti più sofisticati attualmente in circolazione per combattere le minacce informatiche in proliferazione costante. Segnala ad un amico |
© Copyright 2025 BlazeMedia srl - P. IVA 14742231005