Punto informatico Network

20081022222255_1611985231_20081022222238_1475510705_XBUGS INCHWORM.png

I malware della settimana: LOOKED.RI, Killwma e Hacktool.Unreal.A

07/02/2007
- A cura di
Archivio - Trend Micro riporta la scoperta di una nuova variante di Looked, virus tradizionale con contorno di Spyware passato alle cronache del 2006 come una delle peggiori infezioni del genere. Intanto Symantec pubblica informazioni su un killer di file multimediali e una possibile, letale evoluzione delle attuali tecniche stealth dei Windows rootkit.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

malware (1) , looked.ri (1) , killwma (1) , hacktool.unreal.a (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 232 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Ritorna ad infestare la rete Looked, file virus tristemente famoso per essere stato, nell'anno appena concluso, protagonista di una proliferazione notevole e della distribuzione di Spyware ruba-informazioni. Lo denuncia Trend Micro, con la pubblicazione della scheda di PE_LOOKED.RI-O, nuova variante del virus appena scoperta e classificata sulla Virus Encyclopedia.

E mai come in questo caso la definizione di "virus" è più appropriata: Looked (e con esso la nuova variante appena scoperta) funziona esattamente come la genìa di malware che per anni, prima dell'avvento Internet moderna e la conseguente recrudescenza di worm e spyware, ha imperversato sui PC di tutto il mondo (si veda a riguardo l'introduzione di Programmi antivirus a confronto), cioè iniettando copie di se stesso nei file eseguibili presenti sui dischi collegati al sistema.

Il codice maligno, una volta arrivato sul sistema via download o e-mail e mandato in esecuzione, si assicura prima di tutto l'esecuzione ad ogni avvio, copiando una replica del proprio codice nella posizione %Windows%\uninstall\RUNDL132.EXE e creando la seguente chiave di registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

load = "%Windows%\uninstall\RUNDL132.EXE"

In aggiunta, il virus rilascia il componente %Windows%\RichDll.DLL, responsabile per le routine di propagazione via risorse condivise nel network di appartenenza. Una volta preso il possesso della macchina, LOOKED.RI-O cerca file eseguibili con estensione .exe su tutti i drive esistenti nell'intervallo di volumi C: - Z: , e prova appunto a propagarsi in rete usando i nomi utente administrator e guest con password vuota. In aggiunta, il virus prova a terminare i processi appartenenti al software Kingsoft Antivirus Service, e a connettersi a diversi indirizzi per scaricare nuovo malware.

01_-_Omfg_Bugs!.gifProprio questa sua capacità, sostiene Trend Micro in un articolo esaustivo dedicato all'infezione, lo ha reso particolarmente temibile nel 2006, soprattutto nelle zone dell'Asia del Pacifico. Looked è infatti imputato di essere stato il trampolino di lancio dell'invasione di diversi Spyware ruba-informazioni specificatamente pensati per operare nell'area, come ben esemplifica la routine di contrasto del suddetto antivirus prodotto in Cina.

Ma il "bestiario" di questa settimana comprende altre interessanti novità dal fronte malware: le due "new entry", segnalate entrambe da Symantec, sono rispettivamente un trojan distruttivo che prende di mira i file multimediali dell'utente e un rootkit capace di camuffarsi come mai fino ad ora era stato osservato tra i codici maligni in the wild.

Trojan.Killwma è un cavallo di troia piuttosto rozzo: non residente in memoria, una volta eseguito sulla macchina infetta crea un'operazione pianificata per venire lanciato ogni 5 minuti. Nello stesso istante dell'esecuzione scatta il payload, e il malware cerca all'interno di tutte le cartelle dei dischi locali i file in formato WMA, cancellandone l'header e rendendoli di fatto inutilizzabili.

Meno pericoloso per i dati è invece Hacktool.Unreal.A, identificato dai laboratori Symantec il primo febbraio. Stando alle informazioni pubblicate dalla società al momento di scrivere, l'agente infettivo non è altro che un proof of concept creato per nascondere la propria presenza alle attuali tecniche anti-rootkit impiegate dai software di sicurezza. Una volta in esecuzione, Unreal.A si installa come servizio all'interno dell'ADS (Alternate Data Stream) C:\:unreal.sys, impossibile da individuare da Esplora Risorse e, pare, anche con programmi specifici per rootkit.

Il rootkit crea inoltre le seguenti sottochiavi di registro associate al servizio:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Unreal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UNREAL]

Per quanto pare che l'agente virale si limiti alle sole azioni suddette, è certamente fonte di preoccupazione la sua capacità di farsi beffe degli strumenti più sofisticati attualmente in circolazione per combattere le minacce informatiche in proliferazione costante.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.25 sec.
    •  | Utenti conn.: 140
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 0.11