www.MegaLab.it

Certo non siamo ancora al livello dei rootkit hardware, ma le azioni messe in atto da TellSky.A, il worm per sistemi Windows (2003/XP/2000/NT/ME/98/95) recentemente scoperto dai labs di Panda, danno più di un motivo di preoccupazione per come nei fatti riescano a tagliare fuori una gran quantità di modi attraverso cui scoprire l'infezione e combatterla. Non ha funzionalità da rootkit, ma TellSky.A è comunque in grado di camuffarsi con grande abilità all'interno dei sistemi colpiti.

Individuato alcuni giorni or sono, appena avviato TellSky.A termina i processi che contengano al loro interno stringhe di testo quali: Avast, cmd, F-Secure, Kaspersky, msconfig, Symantec, task. Ognuno di questi nomi riconduce ad utilità ben note di sicurezza e configurazione avanzata del sistema, ed è la prima preoccupazione del worm quella di cancellarne le tracce dalla memoria per poter continuare indisturbato l'infezione.

Successivamente alla "pulizia" della memoria, TellSky.A si occupa di copiare i file msnmsgr.exe e msdos.pif rispettivamente nella cartella di sistema e nella cartella base di Windows: ognuno di essi costituisce una copia del worm secondo quanto riporta l'analisi dettagliata di Panda; worm che provvede poi a modificare opportunamente il registro per assicurarsi l'avvio ad ogni nuova sessione.

Ma sono le modifiche successive che rendono questo bacillo particolarmente pericoloso e difficile da combattere: il worm modifica le dovute chiavi di registro di Windows in modo da inibire l'utilizzo dell'Editor del Registro di Sistema, del Task Manager e della shell dei comandi cmd.exe. Vengono inoltre fatte sparire le funzionalità di Disconnessione dell'utente corrente di Windows, Opzioni Cartella da Explorer, la voce Esegui dal menu Start e il Ripristino di Configurazione di Sistema.

In aggiunta a tutto ciò, TellSky.A provvede a nascondere i file di sistema e le estensioni dei file, in modo da rendere ancora più ardua la sua identificazione. Un sistema così compromesso rappresenterebbe il sogno di ogni malware, finalmente libero di operare e diffondersi con il minimo rischio di venire disturbato nella sua opera di distruzione.

Strano a dirsi, dopo essersi assicurato il totale controllo della macchina TellSky.A annuncia la propria presenza visualizzando a schermo il pop-up raffigurato in una delle immagini allegate, e modificando il titolo della finestra di Internet Explorer con il testo @Annew Forever Love@. Il worm pensa infine a diffondere copie di se stesso in tutte le directory radice dei drive attualmente mappati, usando nomi quali i seguenti: annew.exe, avast.exe, books.exe, data.exe, girl.exe, mcafee.exe, microsoft.exe, sex.exe, symantec.exe, windows.exe.

Assieme ad una copia del worm, su ogni drive colpito viene depositato un file autorun.inf che, nelle intenzioni originali, dovrebbe garantire l'avvio automatico dell'infezione ad ogni accesso al volume infetto (si pensi al caso di un disco fisso esterno o di una chiavetta USB). Fortunatamente, dice Panda, durante la creazione di tale file viene commesso un errore, e il meccanismo di auto-esecuzione non funziona come dovrebbe.

Nonostante questo e una scarsa presenza in the wild, TellSky.A rappresenta comunque un esemplare di malware pericoloso, persino interessante per le profonde modificazioni apportate al sistema ma soprattutto un motivo in più per non abbassare mai la guardia, aggiornare costantemente il proprio software antivirale e tenere gli occhi bene aperti sui contenuti che passano quotidianamente per il nostro PC.