MegaLab.it
Stampa Articolo
Aperiodico gratuito di informatica
 
Elimina, cancella, delete

W32.Validin, quando il verme cancella i backup di Norton Ghost

a cura di The King of GnG
01/05/2007 - news
Archivio - La produttrice di Norton Antivirus ha scovato un bacillo particolarmente insidioso, che infetta le pagine web e rade al suolo i file immagine della premiata utilità di salvataggio dati.

W32.Validin, worm scoperto non molti giorni or sono da Symantec, è uno di quei malware con una missione ben precisa: nella fattispecie, oltre ad infettare quanti più dischi e drive rimovibili è possibile, eliminare i file .gho, estensione ben nota a chi è solito salvare istantanee di disco fisso e partizioni con Norton Ghost.

01_-_Norton_Ghost_under_attack.jpg

Prima di essere un nemico giurato dei backup omnicomprensivi, Validin è un bacillo abbastanza tradizionale: infetta, "uccide" gli antivirus in memoria e, come bonus piuttosto spiacevole, si occupa di scaricare ulteriori malware dalla rete e depositarli amorevolmente sul disco fisso dell'ignaro utente.

Una volta in esecuzione, il worm copia se stesso nelle cartelle di Windows e dei driver di sistema, rilasciando infine, com'è possibile notare dallo schema seguente, una dll nella cartella System:

Il passo successivo prevede l'infezione di tutti i drive rimovibili collegati alla macchina: viene a tal proposito copiato il file RECYCLER.exe - ovvero il worm stesso - nella cartella radice dei dischi, assieme ad un file autorun.inf appositamente progettato per mandare in esecuzione il verme al primo collegamento della periferica su un nuovo PC.

A questo punto Validin modifica alcune chiavi del registro di Windows, assicurandosi di andare in esecuzione ad ogni avvio di Windows. Come ciliegina sulla torta il worm provvede a terminare i processi di note utilità di sicurezza e antivirus, fermare i servizi appartenenti a nomi come Norton, ZoneAlarm, Kaspersky e altri e a scaricare file potenzialmente malevoli da quattro diverse pagine web.

Oltre ad infettare i dischi rimovibili, Validin inietta del codice anche all'interno dei file nei formati .html, .vbs, .php, .asp e altri che trova su tutte le lettere di unità presenti sul sistema. Tale codice serve a garantire l'esecuzione da remoto del worm, oltre a dotarlo di funzionalità da backdoor grazie alla possibilità di integrare listati Javascript nei formati .asp, .aspx e .php.

Terminato il lavoro di infezione, Validin passa alla ricerca dei suddetti file .gho sui dischi che, se individuati, vengono prontamente eliminati. Un rischio non certo piacevole da correre, considerando come Norton Ghost sia uno standard de facto per il backup aziendale come per quello personale. Mitigato per fortuna dalla scarsa circolazione del worm, ad oggi non particolarmente diffuso. Ciononostante, è come sempre consigliato tenere costantemente aggiornata la propria dotazione di software di sicurezza e antivirus.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati