Il Worm che sfrutta la falla di Windows è arrivato
È probabilmente di origine asiatica il nuovo worm che sfrutta la vulnerabilità di Windows che ha costretto Microsoft a rilasciare un aggiornamento "extra" alcune settimane addietro.
Riconosciuto dalla maggior parte dei software antivirali, è identificato con il nome di KernelBot e il suo comportamento è molto simile a quello del malware "Gimmiv.a", analizzato in questo articolo.
Il worm si presenta sotto il nome di 6767.exe o di KernelDbg.exe, e cerca nel computer determinati processi appartenenti al software 360safe, per terminarli.
Il file hosts di Windows viene quindi modificato, impedendo l'accesso a siti di sicurezza, tra cui quello dell'antivirus russo Kaspersky.
Dopo di che, inietta una backdoor nell'eseguibile di sistema svchost.exe, e rimane in attesa di istruzioni da remoto: inviando opportuni comandi al sistema icompromesso, il cracker potrà decidere di portare attacchi di tipo Denial of Service distribuito (DDoS), installare altri malware o accedere ai dati dell'utente.
Alla fase attuale, il verme scarica e avvia su ogni computer aggredito una componente malevola addizionale, che si occupa appunto di compromettere tutti gli altri sistemi presenti sulla rete locale che fossero sprovvisti di firewall o non avessero ancora adottato la patch Microsoft.
Chi ancora non lo avesse fatto, è quindi caldamente invitato ad aggiornare il proprio sistema per mettersi al sicuro dal problema.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati