Punto informatico Network

Canali
20080829205754

Worm Perlovga, l'autorun indesiderato

30/07/2008
- A cura di
Sicurezza - Se le nostre unità sono state infestate da un file di nome autorun.inf, probabilmente c'è lo zampino del Worm Perlovga.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

worm (1) , usb (1) , malware (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 360 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Un malware di facile e continua diffusione è proprio il Perlovga. Molti ne avranno sentito parlare come "Il virus delle penne USB", perché in effetti il suo principale metodo di diffusione sfrutta proprio i supporti di archiviazione digitale, specialmente memory pen.

Questo malware è classificato nella categoria worm, poiché il suo principale fine è quello di replicarsi e copiare se stesso su ogni memoria di archiviazione (anche non rimovibile, quindi dischi fissi) che viene collegata al computer infetto. Successivamente, collegando l'unità infetta a un'altra macchina, anch'essa verrà infettata allo stesso modo e diventerà "portatrice" del worm.

In realtà, il worm Perlovga è nato tempo fa con il solo scopo di propagarsi. Nel tempo, molti Virus-Writer hanno pensato bene di adottare questa tecnica per diffondere i loro malware. A volte, addirittura, attraverso questo metodo vengono installati malware di un certo calibro e la nuova variante del Virus/Worm Bagle ne è un chiaro esempio.

Di fatto il malware non utilizza strane tecniche per avviarsi e infettare i dispositivi collegati. Tutt'altro. Il worm sfrutta la funzione di autoplay di Windows. Se Windows trova in un'unità di archiviazione un file denominato autorun.inf che contiene istruzioni valide, il sistema procede all'avvio del file eseguibile specificato nel suddetto file e prosegue eseguendo le istruzioni contenute nel file.

La prima cosa che noterete se infettati da questa tipologia di worm, è la presenza di un file autorun.inf nella root dell'unità; a volte, per rendere più difficile la rilevazione, questo file è nascosto e in alcuni casi settato anche come di sistema. Il file che controlla l'autoplay è accompagnato dal file infetto, che verrà avviato all'apertura della penna (ctfmon.exe, temp2.exe, antihost.exe, copy.exe, nideiect.com ecc.).

Di seguito, ecco un'immagine che rappresenta i due file analizzati finora su una penna USB. Come possiamo vedere, entrambi i file infetti rappresentati sono leggermente trasparenti, il che significa che hanno l'attributo "Nascosto".

Perlovga_1.JPG

Analizziamo la costituzione del file autorun.inf che dà la possibilità all'infezione di avviarsi.

Per prima cosa, viene aperta la sezione autorun; ciò significa che, di seguito alla suddetta riga, vi saranno le informazioni relative all'autorun.

Il comando open si occupa di aprire il file e precisamente, in questo caso, il file infetto nideiect.com.

Nelle righe sottostanti a quelle viste, viene specificato che, anche scegliendo la voce Apri dal menu contestuale dell'unità o la voce Esplora, in entrambi i casi sarà richiamato il file eseguibile infetto.

Pagine
  1. Worm Perlovga, l'autorun indesiderato
  2. Rimozione

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.23 sec.
    •  | Utenti conn.: 112
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.11