Punto informatico Network

20081022222255_1611985231_20081022222238_1475510705_XBUGS INCHWORM.png

TellSky.A, il worm invisibile

04/04/2007
- A cura di
Archivio - Potenzialmente molto pericoloso il nuovo bacillo scoperto dai tipi di Panda Software. Inibisce l'avvio e l'esecuzione di utilità e software di sicurezza ma per fortuna non riesce a propagarsi come l'autore aveva progettato...

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

worm (1) , tellsky.a (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 192 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Certo non siamo ancora al livello dei rootkit hardware, ma le azioni messe in atto da TellSky.A, il worm per sistemi Windows (2003/XP/2000/NT/ME/98/95) recentemente scoperto dai labs di Panda, danno più di un motivo di preoccupazione per come nei fatti riescano a tagliare fuori una gran quantità di modi attraverso cui scoprire l'infezione e combatterla. Non ha funzionalità da rootkit, ma TellSky.A è comunque in grado di camuffarsi con grande abilità all'interno dei sistemi colpiti.

01_-_TellSky.A_worm.gif

Individuato alcuni giorni or sono, appena avviato TellSky.A termina i processi che contengano al loro interno stringhe di testo quali: Avast, cmd, F-Secure, Kaspersky, msconfig, Symantec, task. Ognuno di questi nomi riconduce ad utilità ben note di sicurezza e configurazione avanzata del sistema, ed è la prima preoccupazione del worm quella di cancellarne le tracce dalla memoria per poter continuare indisturbato l'infezione.

Successivamente alla "pulizia" della memoria, TellSky.A si occupa di copiare i file msnmsgr.exe e msdos.pif rispettivamente nella cartella di sistema e nella cartella base di Windows: ognuno di essi costituisce una copia del worm secondo quanto riporta l'analisi dettagliata di Panda; worm che provvede poi a modificare opportunamente il registro per assicurarsi l'avvio ad ogni nuova sessione.

Ma sono le modifiche successive che rendono questo bacillo particolarmente pericoloso e difficile da combattere: il worm modifica le dovute chiavi di registro di Windows in modo da inibire l'utilizzo dell'Editor del Registro di Sistema, del Task Manager e della shell dei comandi cmd.exe. Vengono inoltre fatte sparire le funzionalità di Disconnessione dell'utente corrente di Windows, Opzioni Cartella da Explorer, la voce Esegui dal menu Start e il Ripristino di Configurazione di Sistema.

In aggiunta a tutto ciò, TellSky.A provvede a nascondere i file di sistema e le estensioni dei file, in modo da rendere ancora più ardua la sua identificazione. Un sistema così compromesso rappresenterebbe il sogno di ogni malware, finalmente libero di operare e diffondersi con il minimo rischio di venire disturbato nella sua opera di distruzione.

02_-_Worm_assault.jpg

Strano a dirsi, dopo essersi assicurato il totale controllo della macchina TellSky.A annuncia la propria presenza visualizzando a schermo il pop-up raffigurato in una delle immagini allegate, e modificando il titolo della finestra di Internet Explorer con il testo @Annew Forever Love@. Il worm pensa infine a diffondere copie di se stesso in tutte le directory radice dei drive attualmente mappati, usando nomi quali i seguenti: annew.exe, avast.exe, books.exe, data.exe, girl.exe, mcafee.exe, microsoft.exe, sex.exe, symantec.exe, windows.exe.

Assieme ad una copia del worm, su ogni drive colpito viene depositato un file autorun.inf che, nelle intenzioni originali, dovrebbe garantire l'avvio automatico dell'infezione ad ogni accesso al volume infetto (si pensi al caso di un disco fisso esterno o di una chiavetta USB). Fortunatamente, dice Panda, durante la creazione di tale file viene commesso un errore, e il meccanismo di auto-esecuzione non funziona come dovrebbe.

Nonostante questo e una scarsa presenza in the wild, TellSky.A rappresenta comunque un esemplare di malware pericoloso, persino interessante per le profonde modificazioni apportate al sistema ma soprattutto un motivo in più per non abbassare mai la guardia, aggiornare costantemente il proprio software antivirale e tenere gli occhi bene aperti sui contenuti che passano quotidianamente per il nostro PC.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.12 sec.
    •  | Utenti conn.: 90
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 0