Stampa Articolo

Aperiodico gratuito di informatica

 

KernelBot, un altro worm che sfrutta la falla di Windows

a cura di Stefano "ste_95" Ottolenghi

13/11/2008 - articolo

Sicurezza - Dopo il Gimmiv.a, arriva KernelBot: un nuovo worm che sfrutta la falla chiusa dall'aggiornamento extra del mese scorso. Molti file creati, e una falsa versione di eMule per diffondere i file infetti. Analisi e rimozione.

Avevamo già accennato a un nuovo worm di origine asiatica che, come il già analizzato Gimmiv.a, sfrutta la falla di Windows per diffondersi.

Si presenta come un eseguibile con il nome 6767.exe o KernelDbg.exe e, al momento in cui scrivo, pochi antivirus mancano all'appello.

Allo stesso modo del Gimmiv.a, cerca nel sistema determinati processi appartenenti a software di sicurezza, in particolare di 360safe, di cui modifica le chiavi di registro anche se il software non è installato in modo da disattivarne preventivamente la protezione, eliminandolo anche all'avvio automatico.

A questo punto, crea in C:\Windows\System32 un file di nome compbatc a cui verranno assegnate diverse estensioni: exe, zip, ocx, ini, dll e sys.

Marcandoli quasi tutti come file di sistema e nascosti.

Per garantirsi l'avvio al boot di Windows, crea tre servizi. Uno è composto da 8 cifre casuali:

Gli altri due sono compbatc e compbatcDrv, che vanno ad avviare rispettivamente compbatc.exe e compbatc.sys:

Poi, rimuove le chiavi relative alla modalità provvisoria, in modo da impedirne l'accesso.

Il malware si inietta in svchost.exe e si collega a questo indirizzo scaricando la lista dei comandi da eseguire, che daranno la possibilità a un aggressore di eseguire determinate operazioni sul computer infetto.

Il worm scarica poi il file NetGuy{n}.exe, dove {n} è un numero da 1 a 9, che sarà il file addetto a sfruttare la falla del sistema per diffondersi nei computer della LAN.

Modifica il file hosts impedendo l'accesso a siti di sicurezza, tra cui ai server per aggiornare Kaspersky antivirus.

Infine, scarica, installa ed esegue una versione di eMule configurata ad hoc per condividere copie del malware sotto falso nome.

Sono sempre i soliti nomi allettanti che fanno scattare le trappole.

All'interno di ogni archivio c'è un file eseguibile che scatena l'infezione.

Rimozione

Procuriamoci The Avenger scaricandolo da questo indirizzo. Doppio clic sul file, e nel box bianco contrassegnato con Input Script Here, inseriamo quanto segue.

Files to delete: C:\Windows\System32\compbatc.sys C:\Windows\System32\compbatc.exe C:\Windows\System32\compbatc.dll C:\Windows\System32\compbatc.ini C:\Windows\System32\compbatc.ocx C:\Windows\System32\compbatc.zip Folders to delete: C:\Programmi\eMu1e Registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\compbatc HKLM\SYSTEM\CurrentControlSet\Services\compbatcDrv

Proseguiamo con il pulsante Execute, confermando alle varie richieste del tool.

Al riavvio del sistema, il malware dovrebbe essere sparito, insieme alla falsa versione di eMule. Fate però attenzione che, se ha intaccato anche altri computer in LAN, rischiate di riprendervelo in un attimo.

Infine, ripristiniamo la modalità provvisoria con il file di registro allegato a questo articolo.

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati