www.MegaLab.it

W32.Validin, worm scoperto non molti giorni or sono da Symantec, è uno di quei malware con una missione ben precisa: nella fattispecie, oltre ad infettare quanti più dischi e drive rimovibili è possibile, eliminare i file .gho, estensione ben nota a chi è solito salvare istantanee di disco fisso e partizioni con Norton Ghost.

Prima di essere un nemico giurato dei backup omnicomprensivi, Validin è un bacillo abbastanza tradizionale: infetta, "uccide" gli antivirus in memoria e, come bonus piuttosto spiacevole, si occupa di scaricare ulteriori malware dalla rete e depositarli amorevolmente sul disco fisso dell'ignaro utente.

Una volta in esecuzione, il worm copia se stesso nelle cartelle di Windows e dei driver di sistema, rilasciando infine, com'è possibile notare dallo schema seguente, una dll nella cartella System:

%Windir%\Invalid.exe %System%\drivers\Invalid.exe %System%\Invalid.dll

Il passo successivo prevede l'infezione di tutti i drive rimovibili collegati alla macchina: viene a tal proposito copiato il file RECYCLER.exe - ovvero il worm stesso - nella cartella radice dei dischi, assieme ad un file autorun.inf appositamente progettato per mandare in esecuzione il verme al primo collegamento della periferica su un nuovo PC.

A questo punto Validin modifica alcune chiavi del registro di Windows, assicurandosi di andare in esecuzione ad ogni avvio di Windows. Come ciliegina sulla torta il worm provvede a terminare i processi di note utilità di sicurezza e antivirus, fermare i servizi appartenenti a nomi come Norton, ZoneAlarm, Kaspersky e altri e a scaricare file potenzialmente malevoli da quattro diverse pagine web.

Oltre ad infettare i dischi rimovibili, Validin inietta del codice anche all'interno dei file nei formati .html, .vbs, .php, .asp e altri che trova su tutte le lettere di unità presenti sul sistema. Tale codice serve a garantire l'esecuzione da remoto del worm, oltre a dotarlo di funzionalità da backdoor grazie alla possibilità di integrare listati Javascript nei formati .asp, .aspx e .php.

Terminato il lavoro di infezione, Validin passa alla ricerca dei suddetti file .gho sui dischi che, se individuati, vengono prontamente eliminati. Un rischio non certo piacevole da correre, considerando come Norton Ghost sia uno standard de facto per il backup aziendale come per quello personale. Mitigato per fortuna dalla scarsa circolazione del worm, ad oggi non particolarmente diffuso. Ciononostante, è come sempre consigliato tenere costantemente aggiornata la propria dotazione di software di sicurezza e antivirus.