Punto informatico Network

Canali
20081101075843_1107978128_20081101075831_1169123072_gega.png

KernelBot, un altro worm che sfrutta la falla di Windows

13/11/2008
- A cura di
Sicurezza - Dopo il Gimmiv.a, arriva KernelBot: un nuovo worm che sfrutta la falla chiusa dall'aggiornamento extra del mese scorso. Molti file creati, e una falsa versione di eMule per diffondere i file infetti. Analisi e rimozione.

Download

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

windows (1) , falla (1) , worm (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 354 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Avevamo già accennato a un nuovo worm di origine asiatica che, come il già analizzato Gimmiv.a, sfrutta la falla di Windows per diffondersi.

Si presenta come un eseguibile con il nome 6767.exe o KernelDbg.exe e, al momento in cui scrivo, pochi antivirus mancano all'appello.

Allo stesso modo del Gimmiv.a, cerca nel sistema determinati processi appartenenti a software di sicurezza, in particolare di 360safe, di cui modifica le chiavi di registro anche se il software non è installato in modo da disattivarne preventivamente la protezione, eliminandolo anche all'avvio automatico.

A questo punto, crea in C:\Windows\System32 un file di nome compbatc a cui verranno assegnate diverse estensioni: exe, zip, ocx, ini, dll e sys.

KernelBot 1.PNG

Marcandoli quasi tutti come file di sistema e nascosti.

KernelBot 2.PNG

Per garantirsi l'avvio al boot di Windows, crea tre servizi. Uno è composto da 8 cifre casuali:

KernelBot 6.PNG

Gli altri due sono compbatc e compbatcDrv, che vanno ad avviare rispettivamente compbatc.exe e compbatc.sys:

KernelBot 8.PNG

Poi, rimuove le chiavi relative alla modalità provvisoria, in modo da impedirne l'accesso.

Il malware si inietta in svchost.exe e si collega a questo indirizzo scaricando la lista dei comandi da eseguire, che daranno la possibilità a un aggressore di eseguire determinate operazioni sul computer infetto.

KernelBot 10.PNG

Il worm scarica poi il file NetGuy{n}.exe, dove {n} è un numero da 1 a 9, che sarà il file addetto a sfruttare la falla del sistema per diffondersi nei computer della LAN.

KernelBot 4.PNG

Modifica il file hosts impedendo l'accesso a siti di sicurezza, tra cui ai server per aggiornare Kaspersky antivirus.

KernelBot 9.PNG

Infine, scarica, installa ed esegue una versione di eMule configurata ad hoc per condividere copie del malware sotto falso nome.

KernelBot 11.PNG

Sono sempre i soliti nomi allettanti che fanno scattare le trappole.

KernelBot 12.PNG

All'interno di ogni archivio c'è un file eseguibile che scatena l'infezione.

KernelBot 13.PNG

Pagine
  1. Analisi
  2. Rimozione

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.37 sec.
    •  | Utenti conn.: 114
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.24