www.MegaLab.it

È probabilmente di origine asiatica il nuovo worm che sfrutta la vulnerabilità di Windows che ha costretto Microsoft a rilasciare un aggiornamento "extra" alcune settimane addietro.

Riconosciuto dalla maggior parte dei software antivirali, è identificato con il nome di KernelBot e il suo comportamento è molto simile a quello del malware "Gimmiv.a", analizzato in questo articolo.

Il worm si presenta sotto il nome di 6767.exe o di KernelDbg.exe, e cerca nel computer determinati processi appartenenti al software 360safe, per terminarli.

Il file hosts di Windows viene quindi modificato, impedendo l'accesso a siti di sicurezza, tra cui quello dell'antivirus russo Kaspersky.

Dopo di che, inietta una backdoor nell'eseguibile di sistema svchost.exe, e rimane in attesa di istruzioni da remoto: inviando opportuni comandi al sistema icompromesso, il cracker potrà decidere di portare attacchi di tipo Denial of Service distribuito (DDoS), installare altri malware o accedere ai dati dell'utente.

Alla fase attuale, il verme scarica e avvia su ogni computer aggredito una componente malevola addizionale, che si occupa appunto di compromettere tutti gli altri sistemi presenti sulla rete locale che fossero sprovvisti di firewall o non avessero ancora adottato la patch Microsoft.

Chi ancora non lo avesse fatto, è quindi caldamente invitato ad aggiornare il proprio sistema per mettersi al sicuro dal problema.