TrojanClicker.Small.KJ e ADSL in Italia - Un’infezione indicata come TrojanClicker.Small.KJ, o Win32:Small-CKX o TR/Click.Small.BH.5 si è divulgata recentemente. In realtà questa infezione non è nuova, ma si tratta di Rootkit.DialCall.
Vediamo quale sono le componenti dell’infezione:
- service32.exe o Winsys.exe, sotto la directory di Windows, è il file iniziale che infetta il pc. Utilizza tecniche rootkit user mode per nascondersi nel sistema;

- Una dll tra quelle in elenco, sotto la directory di Windows, installata da service32.exe:
ctfmon32.dll
iexplorer32.dll
iexplorre32.dll
lsas32.dll
mdm32.dll
omsnlog.dll
scrss32.dll
spoolvs32.dll
sys32exploer.dll
syshost.dll
syst32.dll
winsmgr32.dll

-un file, solitamente con prefisso it_0[numeri casuali].exe, nella directory dei file temporanei del pc, che è un dialer;

- possibilità di trovare nell’ADS (Alternate Data Stream) della directory di sistema di Windows un rootkit kernel-mode denominato Rustock.B. Rustock è uno dei migliori rootkit kernel-mode attualmente esistente, in questa variante si nasconde sotto il nome di lzx32.sys. Se il file system non è NTFS, invece che nascondersi nell’ADS sarà localizzato all’interno della directory stessa

Sotto queste feste nelle caselle di posta elettronica non mancano i biglietti d'auguri natalizi ma con allegati di vario tipo ATTENZIONE !! però ad aprire i messaggi infatti diverse varianti di un messaggio di posta elettronica, redatti in un corretto italiano ci invitano ad aprire il suo allegato con estensione .ASX (file che possono essere utilizzati per la gestione delle “playlist” di Windows Media Player) allegato che in realtà un file maligno attraverso il quale tenta di scaricare ed eseguire un file nocivo sul proprio computer.
Dal sorgente dell'e-mail è possibile risalire subito quale sia il file che verrà scaricato ed eseguito oltre all'indirizzo web di provenienza (alcuni domini .biz): si tratta di un eseguibile (al quale è stata associata l'icona che ricorda quella usata dal codec DivX) già riconosciuto da molti software antivirus come "Trojan.Spambot", "Trojan-Downloader.Win32.Agent.bch" o "Win32/TrojanDropper.Agent.NDL" (ATTENZIONE!! perché alcuni software non hanno ancora aggiornato le loro firme virali quindi non sono al momento in grado di rilevare la minaccia).
In elenco alcune versioni del corpo del testo dell'e-mail contenente l'allegato dannoso:
1) "Un video da morire dal ridere per andare in vacanza sereni,
tanti auguri e buone feste a tutti voi
a presto"
L'oggetto è "Babbo... natale??".
2) "Salve a tutti,
vi mando questo pensiero davvero divertente,
con tanti auguri per un sereno natale, buone feste e felice anno nuovo!
auguroni!"
L'oggetto è "Buone feste e buon anno con video".
3) "Gustatevi questo video-gag per natale!
tantissimi auguri!"
L'oggetto, in questo caso, è "Video di babbo natale".

E´ apparso recentemente un nuovo trojan identificato al momento come: Trojan.Skpe, W32/SkpeMalware.A, W32/Backdoor.WAC, Win32/Elife.A, Trojan.Win32.Pakes (definizione generica quando vengono individuati strani packer) che sidiffonde attraverso Skype, Il trojan, dal nome SP.EXE e dalle dimensioni di 116.224 bytes, si diffonde attraverso i contatti Skype e una volta eseguito crea i seguenti file:
C:\WINDOWS\System32\wmp.exe
C:\WINDOWS\System32\wmp

e le seguenti chiavi di registro:

HKEY_CURRENT_USER\Software\Microsoft\esEvcBko
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\Installed Components\{2D0CCE2D-2EEF-4432-0503-020002010803}

Crea un mutex _wmp_ per evitare più istanze di sé stesso in esecuzione e, una volta creato il file, si inietta nel processo explorer.exe. Comunica verso dei server esteri, verso dei domini .no-ip.com e .no-ip.biz. Al momento la Vitalwerks Internet Solutions,proprietaria del servizio no-ip, avrebbe chiuso quei domini. Il trojanfa uso delle librerie standard di Windows per criptare il trafficoverso internet. Per diffondersi attraverso i contatti Skype il trojan scarica da un determinato sito web - tra quelli sopra citati - alcune API di Skype, delle istruzioni fornite da Skype per lo sviluppo di applicazioni atte a interagire con il programma stesso. Il trojan ha funzioni di keylogging, registra i tasti premuti sulla tastiera nel file wmp creato sotto la directory disistema. Quindi il worm contiene una componente trojan, utilizzata perrubare password o dati sensibili sui pc infetti.

Si sta diffondendo rapidamente un trojan che si chiama SpamBot il trojan. Il trojan arriva via un'email da un inesistente studio legale. Nell'email un avvocato accusa il destinatario di avergli inviato email di spam pornografico e lo diffida a continuare, minacciando denuncie e consiglia un sito ove scaricare un antivirus per ripulire il sistema. Molti si sono collegati a questo sito, costituito da una serie di domini che fanno capo a server situati in Russia, scaricando e installando il presunto programma antivirus denominato removal_tool.exe. Questo programma include al suo interno un malware, uno spyware che installa nel sistema una libreria dinamica con il nome webdesk.dll nella cartella di sistema predefinita di Windows. La DLL viene installata come Browser Helper Object di Internet Explorer, modulo che verrà caricato da IE a ogni avvio.

Genuine Advantage, il programma lanciato recentemente da Microsoft per la certificazione dell'autenticità del sistema operativo installato adesso rappresenta anche una minaccia in questo caso da un malware, identificato da Sophos e codificato con il nome W32.Cuebot-k, che si diffonde al momento via Aol Messenger e si presenta "camuffato" da Wga.
In pratica, una volta installato sul pc dell'utente, il worm si attiva sotto forma di finestra "Windows Genuine Advantage Validation Notification" e si installa con questo registro: HKLM\SYSTEM\CurrentControlSet\Services\wgavn\. Consente ad altri l'accesso alle risorse di sistema.

E' già in circolazione, sebbene non ancora diffuso, un trojan Trojan.Mdropper.J che si insedia sul sistema non appena l'utente apre un documento Excel "infetto" quindi tenta di scaricare ed installare ulteriori malware dalla Rete. L'unica soluzione per il momento applicabile consiste nell'evitare l'apertura di file Excel sospetti. I principali produttori antivirus stanno aggiornando i rispettivi archivi delle firme virali in modo tale da rilevare e consentire l'eliminazione di tutti i malware che sfruttino la vulnerabilità di Excel. I sistemi interesati sono: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Virus prende di mira la posta elettronica di Yahoo - Secondo quanto riportato da Symantec nel suo bollettino un worm, Yamanner, sta prendendo di mira gli utenti del servizio di posta elettronica di Yahoo basato su web.nella sua analisi. Questo worm trarrebbe vantaggio da una vulnerabilità nella gestione del codice JavaScript presente nella piattaforma web per la gestione della posta elettronica di Yahoo. Il virus infetta il personal computer non appena l'utente tenta di aprire l'e-mail con il proprio browser.
Yamanner arriva nella casella di posta con l'oggetto New Graphic Site: una volta aperto il messaggio infetto, il virus va in esecuzione e si autospedisce alla rubrica dei contatti Yahoo. Yahoo ha subito fatto sapere di aver già preso le contromisure del caso: nessun intervento è quindi richiesto da parte degli utenti se non il regolare aggiornamento del software antivirus in uso. Dean Turner, senior manager del "Symantec Security Response" ha sottolineato come il virus sfrutti una vulnerabilità JavaScript cosicché non sia necessaria l'interazione da parte dell'utente per innescare l'esecuzione del codice nocivo. E' prematuro però ipotizzare lo sviluppo di varianti in grado di creare problemi agli utenti di servizi di posta elettronica web-based "concorrenti" quali, ad esempio, Google Gmail. "Yamanner" è stato catalogato come "a basso rischio" dalle società che si occupano di sicurezza su internet, come Trend Micro e McAfee. Secondo Symantec, l'azienda che produce il Norton Antivirus, invece, si tratta di un "rischio elevato", solo un gradino inferiore al massimo livello di allerta. I sistemi operativi soggetti alla possibile infettazione son: Windows 95, 98, Me, NT, 2000, Server 2003, XP. Si consiglia di fare attenzione alle e-mail, e di tenere aggiornato l'antivirus.

Come è stato detto nella News di Virus Alert del 23/01/06 che il giorno 3 di ogni mese il worm Kamasutra noto anche come Nyxem, MyWife o Blackworm è programmato per sovrascrivere file di Office (Word, Excel, PowerPoint) e PDF. Il worm viene distribuito come allegato di posta elettronica con testi di vario tipo, alcuni di quasti fanno riferimento al Kamasutra. Il virus si attiva, non appena si apre il file allegato e cerca di disattivare i più diffusi programmi di sicurezza. I file Office e PDF da sovrascrivere vengono ricercati sul disco fisso e su tutte le memore connesse al PC infetto (dischi di rete, drive esterni e chiavette USB). I maggiori produttori di antivirus hanno già aggiornato il database virale, tenendo conto della nuova minaccia, per cui si consiglia di aggiornare il proprio antivirus.
Quindi è buon senso di tutti fare molta attenzione agli allegati che arrivano via e-mail evitando di aprire allegati sospetti, ed in particolare provenienti da sconosciuti con contenuti non convincenti. IMPORTANTE!! gli utenti con il PC infetto devono procedere oggi alla rimozione del virus.

Aumenta la diffusione attraverso la posta elettronica di un pericoloso virus (Nyxem.D) conosciuto anche con gli alias Tearec.A, 32/MyWife.d@MM, W32/Mywife.D.worm, W32.Blackmal.D@mm, WORM_BLUEWORM.D. I messaggi di posta elettronica hanno caratteristiche variabili nell’oggetto, nel testo del messaggio e nel nome dell’allegato, che vengono scelti da una lunga lista di opzioni. Il virus allude a contenuti erotici per riuscire a diffondersi con successo. Si consiglia prima di aprile le email controllarle con un antivirus valido e aggiornato. La caratteristica di questo worm è che viene eseguito il file allegato, il worm si invia per e-mail usando il proprio motore SMTP e crea vari file sul computer con copie di se stesso. Allo stesso tempo, Nyxem.D/Tearec.A cerca di cancellare alcuni file legati ai tool di sicurezza eventualmente installati così come le applicazioni di sicurezza in ambienti di rete in modo da diffondersi anche all'interno della LAN. Il virus, una volta infettato un sistema, si attiverà il terzo giorno del mese (attenzione quindi al prossimo Venerdì 3 Febbraio...) distruggendo completamente tutti i file con estensioni DOC, XLS, PPT, MDB, MDE, PDF, ZIP, RAR, PSD, DMP, PPS. Anche Nyxem.E tenta di disabilitare tutti i software di sicurezza presenti sul sistema e si collega ad un sito web remoto per incrementare un contatore che registra il numero di infezioni effettuate con successo dal virus in tutto il mondo.

Con un comunicato rilasciato da F-Secure si informa che circola in rete un virus Virkel.F ma con caratteristiche anche di trojan che si diffonde per mezzo di link per il download di una release 8 beta di MSN Messenger, il file si presenta come un intaller: BETA8WEBINSTALL.EXE, ma da più parti (MS compresa) viene specificato che ancora non è ufficialmente disponibile alcuna release di MSN Messenger 8. Il file veicola un trojan che consente di controllare il computer da remoto ed invia il link per il download dell'installer a tutti i contatti presenti in rubrica.

La IMlogic Threat Center società che sviluppa sistemi di sicurezza per PC con un comunicato informa della scoperta di un nuovo virus di Natale 2005. Il worm si chiama IM.GiftCom.All e si propaga tramite i sistemi di messagistica istantanea: AIM, ICQ, MSN, Windows Messenger, Yahoo!, ICQ, MSN, Windows Messenger, Yahoo! Secondo l'agenzia IMlogic la clasificazione di rischio è «medio». La propagazione del worm, come abbiamo già detto avviene tramite instant messenger, ma l'infezione viene attivata solo grazie al click dell'utente che cede alla tentazione e clicca su un sito che fa apparentemente riferimento a Santa Claus. IM.GiftCom.All prevede anche un piano di riserva per gli utenti dubbiosi: nel momento in cui un utente risponde al messaggio ricevuto chiedendo informazioni, il worm risponde con un «lol no its not its a virus». La IMlogic propone ovviamente le proprie soluzioni di protezione opportunamente ideate per gli strumenti di instant messagging.

Diffussione di Dasher (nelle tre varianti A, B e C) un worm che sfrutta una vulnerabilità di Windows, che è stata risolta con la patch rilasciata da Microsoft nel mese di ottobre KB902400. Il worm è il primo a sfruttare la vulnerabilità sull’MSTDC (Microsoft Windows Distributed Transaction Coordinator) citata nel bollettino MS05-051 di Microsoft. La distribuzione del worm avviene solamente tramite backdoor (non con posta elettronica), il che ne limita la diffusione. Dasher infettato il PC, apre un backdoor TCP per contattare un server centrale. Quest’ultimo utilizza la porta aperta per far scaricare al computer infetto codice maligno da un server remoto FTP. In ogni caso, le società di sicurezza Symantec consigliano fortemente agli utenti di aggiornare il proprio PC con le ultime patch rilasciate da Microsoft. Patch di aggiornamento KB902400 bollettino MS05-051 di Microsoft 12 ottobre 2005 Windows XP - Windows 2000 - Windows Server 2003

Sono state segnalate dai maggiori produttori di antivirus nuove varianti del worm Sober apparso per la prima volta nell’ottobre 2003. F-Secure ha identificato quattro nuove varianti di Sober. Kaspersky parla di tre varianti. comunque il codice maligno arriva come allegato a un messaggio di posta elettronica. Il messaggio viene distribuito con il campo oggetto vuoto oppure con scritte in inglese o tedesco (ad esempio: Registration Confirmation oppure Haben Sie diese EMail verschickt). Nel corpo del messaggio può essere riportata la seguente frase che invita l’utente ad aprire il file allegato: Thanks for your registration. Your data are saved in the zipped Word.doc file!.
I nomi degli allegati identificati fino adesso sono i seguenti: Exceltab-packed_list.exe; Liste.zip; Reg-List-Dat_Packer2.exe; reg_text.zip; Word-Text.zip; Word-Text_packedList.exe; Word-Text_packedList.zip.
Il worm si attiva solo se l’utente apre l’allegato. L’avvio del file visualizza un falso messaggio di errore (WinZip Self-Extractor. WinZip_Data_Module is missing ~Error). Dopodiché, il worm fa una copia di se stesso nella cartella di sistema di Windows e aggiorna il Registry per l’avvio automatico a ogni boot di Windows. Il worm utilizza un proprio motore interno SMTP per inviare e-mail di spamming, con l’obiettivo di intasare i mail server e compromettere le performance di rete. Maggiori informazioni sul worm sono disponibili, fra gli altri, sui siti di F-Secure, Symantec, Trend Micro.