Patnote.a/Pioneer-A - I virus per computer non sono morti

6 Febbraio 2014 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal WebIn un’epoca in cui il codice malevolo si è trasformato in cyber-crimine e il ransomware chiede un salato riscatto per sbloccare l’accesso ai file dell’utente, una particolare categoria di malware dalle origini antiche riesce ancora a sopravvivere - anche se è costretta a piegarsi alle necessità del crimine di cui sopra. La categoria di cui si parla è quella dei virus o file virus, un tipo di patogeni digitali che ha fatto furore all’epoca dell’MS-DOS e si è poi avviata verso un lento declino con la comparsa di Windows e la nascita delle epidemie planetarie scatenate dai worm telematici.

Oggi i classici virus per computer sopravvivono in funzione di interessi criminali o come veicolo di diffusione di un malware più complesso e pericoloso, e Trend Micro ha recentemente individuato una minaccia che rientra perfettamente nella descrizione appena enunciata: PE_PATNOTE.A, questo il nome con cui la security enterprise giapponese ha classificato la minaccia, è un virus che infetta i file eseguibili su sistemi operativi Windows di classe NT (da Windows 2000 in poi) nel più tradizionale dei modi, vale a dire aggiungendo il proprio codice alla fine di quello dell’eseguibile originale.

PE_PATNOTE.A (anche noto come W32/Pioneer-A o Virus.Win32.Pioneer.dd) si carica in memoria e procede a scansionare i dischi accessibili dal sistema (siano essi fissi, rimuovibili o di rete) alla ricerca di nuovi file eseguibili da infettare. Il virus impiega tecniche anti-analisi per rendere più difficile il lavoro delle società di antivirus, ma la sua caratteristica distintiva stà nel suo payload: Patnote.a è progettato per fare il drop di TSPY_ZBOT.PNR, spiega Trend Micro, una variante del ben noto crimeware Zeus.

PE_PATNOTE.A

File eseguibile infetto da Patnote.a (codice binario nel box rosso)

Zeus/Zbot è un cavallo di troia (per sistemi Windows) usato per rubare informazioni bancarie, un malware con funzionalità da keylogger e botnet che nei suoi tempi migliori ha infettato qualcosa come 3,6 milioni di PC nei soli Stati Uniti. La gang di Zeus dovrebbe essere fuori gioco dopo l’arresto del suo creatore (Hamza Bendelladj anche noto come “Bx1″ in rete), ma la minaccia posta da questo complesso malware è più viva che mai grazie alla disponibilità in rete del suo codice sorgente.

Non è la prima volta che un file virus si incarica di diffondere l’infezione di Zbot/Zeus, sostiene Trend Micro, anche se Patnote.a usa un approccio personale visto che il codice binario di Zeus è integrato direttamente all’interno del codice aggiunto alla fine dei file infetti e viene copiato sul sistema, nella cartella dei file temporanei (solitamente C:\Users\”Nome Utente”\AppData\Local\Temp), come notepat.exe. L’unica ragione d’esistenza di Patnote.a sembra essere favorire la diffusione del crimeware Zeus, segno del fatto che il file virus usa tecniche classiche ma è stato realizzato a partire da interessi molto più pratici e moderni.

Read this post in English

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta