VIRLOCK, un malware per due generazioni

24 Marzo 2015 · Archiviato in Notizie, Sicurezza 

Notizie - Una carrellata di notizie fresche e di qualità, dentro e fuori dal Web Trend Micro ha recentemente individuato una nuova famiglia di malware, classificata come PE_VIRLOCK e progettata come unione di due diverse categorie di codice malevolo. La prima categoria si richiama a un passato in cui ancora si parlava semplicemente di “virus” per computer e non di cyber-crimine, mentre la seconda rappresenta uno dei business a base di malware più gettonati degli ultimi anni. VIRLOCK è un ransomware che è in grado di diffondersi attraverso tecniche da file virus, e la cosa peggiore è che la sua evoluzione non è ancora completa.

Una volta arrivato sul PC, magari assieme ad altri malware, VIRLOCK modifica il Registro di Windows per evitare di essere individuato e assicurarsi l’esecuzione, disabilita explorer.exe e impedisce l’esecuzione del Task Manager prima di mostrare su schermo un messaggio che comunica l’avvenuto sequestro dei file dell’utente; il virus visualizza il messaggio più appropriato per il paese in cui si trova il PC, ha spiegato Trend Micro, mentre fra le estensioni prese di mira dalla routine di codifica ci sono file audio e video, documenti, immagini, archivi e certificati di sicurezza.

Oltre a cifrare i file e richiedere il pagamento di un riscatto in Bitcoin, VIRLOCK è in grado di infettare i file eseguibili alterandoli in maniera profonda prima di unire il codice del programma al corpo del virus: ogni singolo programma infetto da VIRLOCK è diverso dall’altro grazie a un alto livello di polimorfismo con chiamate API casuali, la qual cosa rende molto più difficile sia l’identificazione dei file infetti che il recupero del codice originario.

Ransomware

VIRLOCK è un malware dotato di routine complesse e dall’alto potenziale di diffusione grazie alla sua anima di file virus, sostiene la security enterprise giapponese, e potrebbe diventare una minaccia ancora più pericolosa perché all’interno del corpo del virus sono state individuate tracce di moduli incompleti o codice “illogico”; una possibile prova del fatto che gli autori di VIRLOCK sono al lavoro per il suo ulteriore sviluppo in qualcosa di ancora più sofisticato e omnicomprensivo.

Prendendo in considerazione solo il presente di VIRLOCK, l’accoppiata tra file virus e ransomware è particolarmente azzeccata in un ottica di cyber-crimine: la capacità di auto-replicarsi aumenta le possibilità di cifrare nuovi file e di trovare qualcuno disposto a pagare per averli indietro, dice Trend Micro, mentre il business di CryptoLocker e minacce similari vale oramai milioni di dollari e il 40% degli utenti ha già ceduto al ricatto dei criminali. Anche il ransomware è in continua evoluzione, e la recentemente individuata minaccia di TeslaCrypt estende la propria azione malevola ai file appartenenti a videogiochi e piattaforme ludiche per PC.

Read this post in English

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta