www.MegaLab.it

Chissà quante volte un nostro contatto ci ha detto: "Guarda, ti mando una mia foto! ". L'abbiamo aperta e non è successo nulla. Ma poi Messenger non funzionava più come prima... Ebbene sì, ci aveva mandato un malware!

I malware di questo genere più diffusi sono i seguenti:

• Foto_Celular.scr
• Foto_Celular.zip
• Foto_Posse.zip
• Bush.exe
• Desnuda.exe
• F0538_jpg.zip
• Fotos.zip - Fotos roberto.exe
• img4851.zip
• IMG-0024.zip
• IMG0024.zip
• MessengerSkinner
• MSN Content Plus
• MSN Messenger Guiños
• MyGallery5156.zip
• p0017_jpg.zip
• Photos-webcam2007.zip
• PictureAlbum2007.zip
• portaldeayuda - portaldeayudita
• S_00305_jpg.zip
• W139_jpg.zip
• Winks Instalador
• Z058_jpg.zip

Questi sono solo alcuni dei malware in circolazione nelle reti di messaggistica istantanea di MSN Messenger. Purtroppo ne esistono altre centinaia e centinaia.

Analisi del Worm

La variante che ho avuto il piacere (si fa per dire) di provare si chiama img0794-www.photoshare.com.

Il nome del file inganna non poco, in quanto chiunque sarebbe portato a credere che www.photoshare.com sia un vero e proprio sito web, mentre in realtà l'ultima parte del nome del file (.com) ne costituisce l'estensione, che è appunto un file eseguibile, che tra l'altro, ha la precedenza sulle altre estensioni.

Solitamente il file non viene distribuito "sfuso", ma viene inviato contenuto in un archivio compresso in formato .zip.

Appena avviato il file infetto, esso crea il file jucheck.exe residente nella seguente directory:

C:\WINDOWS\System32\dllcache

La prima cosa che salta all'occhio è la quantità esagerata di attributi assegnati. Infatti, il file è Nascosto, di Sistema, Compresso e di Sola lettura. Il file, già da subito, è in esecuzione, perfettamente visibile all'interno del Task Manager:

Immediatamente, il worm fa in modo di essere avviato a ogni boot del sistema, aggiungendo il seguente valore:

Nel percorso:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Il worm copia anche l'archivio compresso, che ha dato origine all'infezione, all'interno della cartella C:\WINDOWS:

Inserisce infine il file jucheck.exe e il file che ha generato l'infezione nelle eccezioni del firewall di Windows, aggiungendo le seguenti chiavi

All'interno del seguente percorso nel Registro di Sistema:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

Fortunatamente, pressoché tutti gli antivirus identificano il file come nocivo:

Il file jucheck.exe analizzato su Virustotal.com.