Letta 1639 volte 27 dicembre 2007 alle 20.04 di netquik Fonte: prevx.com
Storm Worm di Fine Anno, Ora Rootkit
LINK:
Sul blog ufficiale dell'azienda PrevX, Marco Giuliani, malware analyst, ha pubblicato nuovi dettagli sulle ultime varianti di "Storm Worm" che stanno in queste ore attaccando le caselle di posta in tutto il mondo, tramite messaggi di spam, nel tentativo di infettare un numero più alto possibile di sistemi. Come detto in due news precedenti, gli autori di malware sperano di sfruttare l'opportunità offerta dalle festività di fine anno.

Secondo Giuliani, sebbene l'impatto dell'attacco sia in lenta attenuazione, l'oubreak sta proseguendo in queste ore con il rilascio di ulteriori varianti del malware. PrevX ha monitorato più di 400 varianti del codice nocivo negli ultimi 4 giorni. Nell'ultime ore è stata isolata una nuova versione di Storm Worm che utilizza un runtime packer differente. Altri due domini sono stati registrati e messi online per diffondere il malware che ora presenta i seguenti nomi: happy-2008.exe e happynewyear.exe.

xlink Storm Worm Augura Buon 2008  -  Storm Worm: Attenti a "Mrs. Clause"  -  Altre 

Le ultime versioni del malware utilizzano inoltre una componente rootkit per nascondere l'infezione al sistema operativo. Dopo essere stato eseguito, il codice nocivo crea un nuovo servizio e un driver nella cartella di sistema di Windows, chiamato clean[4 caratteri random]-[ 4 caratteri random].sys o bldy[4 caratteri random]-[ 4 caratteri random].sys. Il driver si occupa dell'hook di tre API native di Windows: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile. Lo scopo del rootkit è quello di nascondere le sue chiavi di registro ed i suoi file. Come risultato tutti i file che contengono la stringa "clean" o "bldy" vengono nascosti nel sistema. Successivamente circa 135KB di codice vengono iniettati dal driver al processo services.exe.

Il worm si occupa di collezionare i messaggi di posta presenti nei file con queste estensioni: .adb, .asp, .cfg, .cgi, .dat, .dbx, .dhtm, .eml, .htm, .jsp, .lst, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml. La routine di spam evita di inviare e-mail ad indirizzi di posta che contengono numerose stringhe, in modo da non esporsi all'identificazione: @avp, @messagelab, @microsoft, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, etc.

Il messaggio di posta generato e inviato può contenere nell'oggetto o nel corpo una di queste stringhe: Happy New Year To You!, Wishes for the new year, Opportunities for the new year, New Year Postcard, New Year Ecard, New Year wishes for you, Happy New Year To You!, Message for new year, Blasting new year, As you embrace another new year, It's the new Year, As the new year..., Happy 2008 To You!, Joyous new year, Lots of greetings on new year, A fresh new year. Queste stringhe possono anche essere mischiate e il corpo del messaggio può includere l'indirizzo del ricevente. Il messaggio di posta include sempre un link agli ultimi due domini registrati dai cybercriminali: happycards2008.com o newyearcards2008.com.

Infine una porta casuale UDP viene aperta sul PC infetto in modo da farlo collegare ad una imponente botnet di PC zombie. Questa porta è menzionata nel file clean.config, creato dal malware nella cartella di sistema e reso invisibile dal rootkit. Giuliani commenta: "Se l'attacco è attualmente conosciuto – parlando tecnicamente – e le aziende di sicurezza stanno aggiornando i loro software, una nuova domanda emerge: perché questi domini fake sono ancora attivi? Se i server che ospitano i siti vengono costantemente modificati in modo che sia impossibile metterli offline, questi server possono essere raggiunti da 4 domini ben conosciuti. Perché, dopo 4 giorni, nessuno è riuscito con successo a chiudere questi domini? Solo la cooperazione tra aziende di sicurezza, ISP e forze dell'ordine può rappresentare l'arma letale contro questi team che scrivono malware e che sono potenzialmente in grado di compromettere server internazionali cruciali con le loro botnet".

UPDATE: sembra che il nome dell'eseguibile malware diffuso tramite i domini nocivi stia venendo modificato molto spesso, attualmente il file infettivo si chiama fck2009.exe.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
DUST FROM THE PAST
Il worm "Storm", conosciuto anche come Storm Trojan, "Dorf" o "Peacomm", che il mese scorso ha colpito su vasta scala diffondendosi via spam in tutto il mondo, con svariante ondate di attacchi e varia…16 febbraio 2007
Secondo quanto riporta CNET News.com, una nuova variante di attacchi del codice Trojan conosciuto come Storm Worm sta colpendo gli utenti della rete che intervengono su blog e bulletin board. Il worm …28 febbraio 2007
Ieri abbiamo segnalato una nuova variante di attacco che deriva dal codice Trojan conosciuto come "Storm Worm", e che sta colpendo gli utenti della rete sfruttando come vettore il web stesso. In quest… 1 marzo 2007
ULTIME NEWS - STORM
Sul blog ufficiale dell'azienda PrevX, Marco Giuliani, malware analyst, ha pubblicato nuovi dettagli sulle ultime varianti di "Storm Worm" che stanno in queste ore attaccando le caselle di posta in tu…27 dicembre 2007
Storm worm prosegue senza nel suo "attacco alle festività" con il rilascio in-the-wild di nuove varianti di codice nocivo diffuse sfruttando messaggi di posta spam. Le ultime incarnazioni di messagg…26 dicembre 2007
Gli esperti di sicurezza hanno segnalato la diffusione di nuove varianti del famigerato malware "Storm worm" (aka "Dorf") espressamente studiate per sfruttare il periodo delle festività natalizie. L'o…25 dicembre 2007
 ONLINE
OSPITI 8
UTENTI 0
VISITE OGGI
59
 VISITE TOTALI
5.657.734
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X