W32.Changeup, il worm assistito da eMule

20 Agosto 2010 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal WebL’abuso delle piattaforme di file sharing a opera del codice malevolo è una consuetudine in voga da tempo. In genere un malware si limita a verificare se sulla macchina infettata sia installato un software di peer-to-peer, ma il worm W32.Changeup individuato (tra gli altri) da Symantec si spinge oltre e piuttosto che andare alla ricerca di un tool di P2P installa la sua copia “privata” di eMule da impiegare a scopo riproduttivo. Il malware si fa notare per la sua capacità di “assistere” il download e la propagazione di minacce informatiche aggiuntive.

Scoperto inizialmente quasi un anno fa, W32.Changeup è un worm polimorfico progettato per disseminare una copia di se stesso su tutti i drive disponibili e sfruttare la funzionalità AutoRun di Windows per garantirsi l’esecuzione automatica. Il worm è scritto in Visual Basic, e al contrario di altri malware realizzati con questo ambiente di programmazione - che tendono ad avere funzionalità limitate - è dotato di abilità polimorfiche grazie alle quali ogni singola infezione risulta diversa dall’altra al semplice controllo basato su firme virali.

Recentemente gli autori di W32.Changeup hanno implementato la ben nota vulnerabilità dello scorciatoie nella Shell di Windows come nuovo vettore di propagazione. Pur tuttavia Symantec - i cui software di sicurezza individuano la nuova variante come W32.Changeup.C - sostiene che lo scopo principale del worm è rimasto inalterato, ovvero connettersi a URL remoti per scaricare ulteriori e ben più pericolose minacce informatiche inclusi trojan, backdoor e scareware camuffati da software di sicurezza necessari a eliminare infezioni inesistenti.

W32.Changeup - cartella Incoming di eMule

L’ultima funzionalità evidenziata dall’analisi di Symantec è quella con cui il worm scarica ed esegue una copia del software di file sharing eMule: l’utente non riceve alcun feedback visivo diretto ma sullo sfondo W32.Changeup carica eMule e riempie la cartella dei download in entrata con decine di migliaia di archivi .zip i cui nomi fanno il verso a software legittimo, crack e qualsiasi download risulti popolare nelle ricerche degli utenti sul P2P. Tutti i numerosi archivi generati dal worm contengono il downloader principale dell’infezione camuffato da “setup.exe”, con la sola differenza di un paio di byte casuali aggiunti alla fine per meglio nascondere la natura malevola dell’archivio.

All’inizio W32.Changeup aveva capacità di diffusione limitate - scrive l’analista di Symantec Andrea Lelli - poi ha adottato una strategia comprendente la vulnerabilità delle Shortcut di Microsoft Windows in modo da propagarsi con successo su quanti più computer possibile. Ora che gli antivirus identificano i file .lnk malevoli, e le patch di sicurezza di Microsoft rimuovono la vulnerabilità, Changeup è stato costretto ad adottare una nuova strategia al fine di continuare a mantenere un alto livello di diffusione e il file sharing è un obiettivo frequente scelto dagli autori di worm“.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta