Nuovi strategemmi per i file virus

21 Agosto 2009 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal WebRappresentano una minoranza nel variegato panorama di codici malevoli attivi oggigiorno, eppure i file virus, malware dalle origini antidiluviane progettati per infettare il software legittimo parassitandone le ruotine eseguibili, continuano di quando in quando a guadagnarsi i favori della cronaca con novità degne di attenzione. L’ultimo paio di esempi di questa notevole capacità di resistenza riguarda un vecchio e tutt’ora popolare ambiente di sviluppo e il più noto tra i software di progettazione CAD (Computer Aided Design).

Fedele al principio secondo cui sopravvivenza significa differenziarsi dalla massa, il file virus (in altre sedi definito con l’equivalente di “file infector”) Induc prende di mira l’ambiente di sviluppo Delphi nelle versioni tra la 4 e la 7, un linguaggio di programmazione basato sul seminale Pascal vecchio di almeno 7 anni ma tutt’ora usato grazie al fatto di essere stato distribuito (almeno fino alla suddetta versione 7) in via gratuita.

Una volta eseguito, Induc controlla il registro di sistema per verificare se il linguaggio Delphi risulta installato sul disco fisso, nel qual caso provvede a infettare la libreria SysConst.dcu e a salvare il file originale come “SysConst.bak” nella sottocartella Lib della cartella di installazione di Delphi. La compilazione di un programma attraverso la nuova libreria farà si che l’eseguibile risulti infetto, mentre il file di backup servirà al virus per verificare che la macchina è già infetta.

Induc

Induc è quel tipo di virus che non contiene alcun payload distruttivo oltre alla mera routine di infezione e propagazione, motivo che secondo Symantec ha permesso al malware di passare inosservato per un periodo di tempo non meglio specificato e che soprattutto non riduce il potenziale di pericolosità della minaccia: nelle parole di John McDonald di Symantec “è preoccupante che un intero ambiente di sviluppo sia stato usato in questo modo per servire la diffusione di codice malevolo. Ho la sensazione che l’industria degli antivirus stia per essere testimone di un’alluvione di presunti ‘falsi positivi’ che all’atto pratico risultano essere file Delphi infetti“.

Symantec sostiene che il malware non è affatto nuovo, ma di certo la sua diffusione avrà ricevuto una buona spinta grazie alla recente inclusione (augurabilmente accidentale) negli allegati di popolari magazine di informatica come riportato da Avira. Induc aggiunge un altro meccanismo per spargere malware in giro, si sottolinea sul blog di F-Secure, ma Kaspersky mette in guardia sulla possibilità che (come già successo altre volte in passato) il codice primitivo del file virus venga ripreso, ottimizzato e migliorato per essere usato in campagne di infezione dagli effetti ben peggiori.

Di danni invece ne ha già provocati ACM_UNEXPLODE.C, macro virus ideato per infettare i file dei progetti AutoCAD individuato (tra gli altri) dal network di Trend Micro. In questo caso il modus operandi ricorda molto da vicino quello impiegato dai malware writer per abusare di applicazioni molto diffuse come Microsoft Word, e oltre a modificare il registro di Windows e a creare un nuovo utente “SERVICER” con privilegi di amministratore il virus potrebbe corrompere i file AutoCAD infetti con tutti i rischi che la cosa comporta per gli ambienti corporate.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta