www.MegaLab.it

L'infezione

Diamo il via all'infezione lanciando uno dei file visti, io ho usato patch.exe e crac.exe, ma il risultato è lo stesso.

Viene attaccato uno dei file in esecuzione automatica e il virus ne prende il posto in modo da potersi avviare ad ogni accensione del computer. Lo si può riconoscere dalle dimensioni del file e dall'icona che sono sempre le stesse del file che avvia l'infezione.

Contemporaneamente si apre questa strana finestra del NTSB investigators flight recorder, spacciandosi per un software in grado di leggere le scatole nere degli aerei.

Il virus è già in azione nel vostro computer, anche se l'attività rootkit e quella di download dei malware deve ancora iniziare.

Anche se chiudete la schermata precedente, il worm rimane attivo nel Task Manager. Altra caratteristica per riconoscerlo è la descrizione Neosoft.

Il virus si occupa anche di riavviare il computer, e se non è presente un software Hips che vi avvisi, il riavvio avviene in maniera del tutto automatica.

Dopo il riavvio, il file che ha dato il via all'infezione ne crea un altro, di nome winupgro.exe, all'interno della cartella del vostro account, il file winupgro.exe genera a sua volta il primo driver rootkit srosa2.sys.

A questo punto il rootkit è attivo e tutti i software di sicurezza sono disattivati o danneggiati.

Dopo un altro riavvio del computer si vedono cambiare tutti i file della sicurezza in modo che vengano disabilitati.

L'attacco si vede anche negli avvisi di Comodo Firewall, che aveva preso il posto di Online armor, che segnala il tentativo di controllare Spywareterminator da parte di winupgro.exe e poi la sua disattivazione.

Stessa sorte anche per Avira Antivirus freeware.

Riguardo ad Avira ne avevo disattivato il controllo in tempo reale altrimenti avrebbe riconosciuto e bloccato subito il virus.

A questo punto il virus è pienamente attivo, il file è presente nel Task Manager e impiega parecchia CPU.

Se il collegamento ad Internet è aperto, cominciano i download di altri file infetti da numerosi siti Internet regolari, ma che nascondono dei malware al loro interno. Questi sono solo alcuni dei siti a cui si collega il worm.

Dopo parecchi minuti i download finiscono, il collegamento ad Internet e la CPU tornano normali e l'infezione è completa.