Punto informatico Network

Canali
20080921155043_124123083_20080921155024_1117647788_jailed_mule.jpg

Worm.Archivarius, strani archivi nei download di eMule

28/03/2008
- A cura di
Sicurezza - Se, all'improvviso, vi siete ritrovati con migliaia di archivi nella cartella "Incoming" di eMule, è tutta opera di Worm.Archivarius...

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

download (1) , emule (1) , archivi (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 308 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

In queste ultime settimane, la diffusione del Worm.Archivarius - è il nome che Kaspersky gli attribuisce - è salita alle stelle, colpendo decine di persone che utilizzano eMule per scaricare file. I suoi sintomi sono un lieve rallentamento del computer in avvio e la presenza di migliaia di archivi compressi nella cartella Incoming del "mulo".

Il file che genera l'infezione ha sempre il nome di Installer-Crack-Keygen.exe, è rappresentato da un cacciavite e una chiave inglese incrociati, ed è presente in archivi che promettono crack, keygen e cose simili:

Archivarius_1.JPG

Il worm è molto subdolo.

Chi conosce a sufficienza eMule, sa che è obbligatorio condividere i file scaricati e contenuti nella relativa cartella di download.

Dato che il malware crea migliaia di archivi nella cartella Incoming, essi vengono condivisi automaticamente, e vengono sparsi in rete senza che l'utente ne sappia nulla.

Analisi

Una volta avviato, il trojan crea i file NTSpool.exe e WinSecure.exe nella cartella C:\WINDOWS\System32:

Archivarius_4.JPG

WinSecure.exe non è altro che la copia del file Installer-Crack-Keygen. Lo confermano la stessa data di creazione e la medesima dimensione.

Imposta quindi i due file creati in avvio, aggiungendo due valori nella seguente chiave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Archivarius_5.JPG

Al primo riavvio del computer, il file WinSecure.exe viene eseguito giusto per qualche istante, e infesta la cartella Incoming di eMule con quanti più archivi possibili, contenenti il file Installer-Crack-Keygen.exe; questi hanno tutti la medesima dimensione, ma gli vengono assegnati nomi diversi.

Archivarius_6.JPG

Il trojan continua a creare i file, finché trova spazio nell'unità di sistema. Al secondo riavvio, io mi sono ritrovato con ben 74 kB liberi su un totale di 5 GB; il trojan aveva già occupato poco meno di due GB e mezzo con 2222 file:

Archivarius_7.JPG

Scansione dei file

Archivarius_11.JPG

Il file Installer-Crack-Keygen.exe analizzato su VirusTotal.com

Archivarius_10.JPG

Il file NTSpool.exe analizzato su VirusTotal.com

Pagine
  1. Worm.Archivarius, strani archivi nei download di eMule
  2. Rimozione
  3. Ultime operazioni e Conclusioni

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.31 sec.
    •  | Utenti conn.: 114
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.15