Il cosiddetto codice malware "Storm Worm" (o Storm Trojan) continua a diffondersi via spam in tutto il mondo, con svariante ondate di attacchi e nuove varianti riportate negli ultimi giorni.

 Kyrill: Attenti allo Storm-Worm 

La prima ondata di attacco spam su vasta scala aveva sfruttato, con grande tempismo, come vettore di social-engineering le notizie sul ciclone Kyrill, che ha colpito il Nord Europa in maniera drammatica. Il messaggio di posta elettronica è arrivato nelle caselle dei utenti malcapitati con una serie di oggetti come "230 dead as storm batters Europe". Il messaggio includeva in allegato un file eseguibile camuffato da documento informativo con dettagli sul tempo o da filmato sulla calamità, che include il codice nocivo: Full Clip.exe, Full Story.exe, Full Video.exe, Read More.exe o Video.exe.

Nelle successive ondate di attacco si è rilevata una modifica dei titoli dei messaggi, tra cui tentativi di camuffamento da notizie su missili cinesi o russi contro gli USA, sulla morte di Fidel Castro, di Hugo Chavez o di Putin, o anche sulla scoperta di Saddam Hussein ancora vivo, o su un attentato terroristico nucleare. F-Secure ha pubblicato una lunga lista dei nuovi oggetti e-mail pericolosi. L'attacco più recente sembra invece essere a tema amoroso, con frasi che sembrano copiate dall'archivio di "Romantic Cards" del sito 2000greetings.com.

Nell'ambito di ciascuna ondata di spam è variato diverse volte anche il nome dei file allegati, che comunque in genere sono file di estensione EXE. Contestualmente è stato aggiornato anche il codice stesso del malware che ora fa uso di tecniche rootkit kernel-mode per nascondere i suoi file, le sue chiavi di registro e le connessioni di rete attive. Secondo quanto riporta Symantec che sta seguendo gli attacchi sul blog ufficiale Security Response, sembra che i malware writer abbiano accelerato lo sviluppo del codice nocivo per rilasciare in-the-wild le nuove varianti il più velocemente possibile, tanto che alcune delle funzionalità della componente rootkit non sono state inizialmente implementate in maniera corretta. Anche la porta UDP di comunicazione bot è stata modificata dalla 4000 alla 7871. Il malware sembra essere anche in grado di patchare il file tcpip.sys di sistema per nascondere le porte usate dai comandi come netstat.

Secondo Symantec lo scopo di questa attività spam infettiva è principalmente quello di creare una botnet in grado di inviare una enorme quantità di spam. Questa botnet sfrutta anche la tecnologia P2P in modo da non avere un unico server centralizzato, e proteggere la propria rete. Symantec ha anche riportano interessanti dati estrapolati dall'analisi fatta dalle sue soluzioni antispam. Dai dati degli ultimi 30 giorni emerge che il "Storm Worm" aka "Peacomm" (Symantec) ha già ampiamente sorpassato il worm "happy new year" (W32.Mixor.Q@mm) per quanto riguarda la percentuale di e-mail spam inviate. I due codici nocivi sembrano inoltre essere legati, cioè le ultime varianti di Mixor.Q (mass-mailer che si occupa di generare i messaggi spam autonomamente) sembrano eseguire il dropping di Peacomm.

Come nota a margine è interessante notare che entrambi i campioni di "Storm Trojan", non-rootkit e rootkit, non riescono ad installarsi su Windows Vista con la funzione UAC abilitata. Sebbene non si conosca il numero preciso di computer colpiti dal worm, secondo F-Secure, si tratterebbe di svariate centinaia di migliaia di computer potenzialmente affetti.

Ulteriori risorse: F-Secure Blog, Symantec Security Response Blog, Mcafee Avert Labs Blog
Dettagli malware: CME-711 [Common Malware Enumeration], TROJ_SMALL.EDW [Trend Micro], Small.DAM [F-Secure], Downloader-BAI [McAfee], Troj/Dorf-Fam [Sophos], Peacomm [Symantec]