Punto informatico Network

Canali
20080829224241

Il rootkit per MSN Messenger

17/03/2008
- A cura di
Sicurezza - L'ultimo virus che si propaga utilizzando Messenger non è più solo un semplice worm, ma è diventato un pericoloso rootkit...

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

msn messenger (1) , msn (1) , messenger (1) , rootkit (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 290 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Un'ottima via di diffusione per i malware è l'utilizzo dei canali di messaggistica istantanea, e MSN Messenger è proprio uno dei programmi più bersagliato malware, ppoiché garantisce ad essi una facile e rapida diffusione a tutti i computer del mondo.

Abbiamo già parlato di questo virus molte volte, a fronte di richieste sul MegaForum, o in svariati articoli.

L'ultimo virus che ho ricevuto, però, era molto diverso... Certo, le tecniche per diffonderlo sono sempre le stesse, ma non si tratta più di un semplice worm, bensì di un rootkit.

Esso si propaga utilizzando questa forma in una conversazione:

Se clicchiamo sul link, saremo riportati a un sito che ci offre in download un file nominato nostronick-photo12.com, dove .com non è il tipo di dominio del sito, ma l'estensione del file, un eseguibile appunto.

Appena aperto, il file genera nella sua posizione il file image.jpg e ci mostra un foto di quelli che dovremmo essere noi:

MSN_virus_12.JPG

A questo punto, però, è troppo tardi, perché il rootkit è già in esecuzione. Se proviamo a bloccare il suo processo, esso appare qualche istante dopo con un PID diverso:

MSN_virus_11.JPG

Il suo file risiede in C: \Documents and Settngs\%NomeUtente%\Impostazioni locali\Temp e si chiama winlogon.exe.

Non facciamoci trarre in inganno dal nome legittimo; in molti casi abbiamo riscontrato anche il file services.exe, ma controlliamone comunque la posizione.

MSN_virus_5.JPG

Crea anche il file real.txt nella root di sistema (C: \Windows).

Modifica il valore Userinit, residente in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows NT\CurrentVersion\Winlogon, aggiungendo il collegamento al file rootkit:

MSN_virus_8.JPG

Al successivo riavvio del computer, aggiunge il valore Streams Drivers in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run, che punta al file infetto, così da essere eseguito ad ogni avvio del computer:

MSN_virus_10.JPG

Si registra infine nelle applicazioni autorizzate dal firewall di Windows, per non incorrere in problemi:

MSN_virus_9.JPG

Pagina successiva
Rimozione automatica
Pagine
  1. Il rootkit per MSN Messenger
  2. Rimozione automatica
  3. Rimozione manuale

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.59 sec.
    •  | Utenti conn.: 92
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.39