Storm Worm di Fine Anno, Ora Rootkit

Posted on dicembre 28, 2007. Filed under: News |

Sul blog ufficiale dell’azienda PrevX, Marco Giuliani, malware analyst, ha pubblicato nuovi dettagli sulle ultime varianti di “Storm Worm” che stanno in queste ore attaccando le caselle di posta in tutto il mondo, tramite messaggi di spam, nel tentativo di infettare un numero più alto possibile di sistemi. Come detto in due news precedenti, gli autori di malware sperano di sfruttare l’opportunità offerta dalle festività di fine anno.

Secondo Giuliani, sebbene l’impatto dell’attacco sia in lenta attenuazione, l’oubreak sta proseguendo in queste ore con il rilascio di ulteriori varianti del malware. PrevX ha monitorato più di 400 varianti del codice nocivo negli ultimi 4 giorni. Nell’ultime ore è stata isolata una nuova versione di Storm Worm che utilizza un runtime packer differente. Altri due domini sono stati registrati e messi online per diffondere il malware che ora presenta i seguenti nomi: happy-2008.exe e happynewyear.exe.

Le ultime versioni del malware utilizzano inoltre una componente rootkit per nascondere l’infezione al sistema operativo. Dopo essere stato eseguito, il codice nocivo crea un nuovo servizio e un driver nella cartella di sistema di Windows, chiamato clean[4 caratteri random]-[ 4 caratteri random].sys o bldy[4 caratteri random]-[ 4 caratteri random].sys. Il driver si occupa dell’hook di tre API native di Windows: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile. Lo scopo del rootkit è quello di nascondere le sue chiavi di registro ed i suoi file. Come risultato tutti i file che contengono la stringa “clean” o “bldy” vengono nascosti nel sistema. Successivamente circa 135KB di codice vengono iniettati dal driver al processo services.exe.

Il worm si occupa di collezionare i messaggi di posta presenti nei file con queste estensioni: .adb, .asp, .cfg, .cgi, .dat, .dbx, .dhtm, .eml, .htm, .jsp, .lst, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml. La routine di spam evita di inviare e-mail ad indirizzi di posta che contengono numerose stringhe, in modo da non esporsi all’identificazione: @avp, @messagelab, @microsoft, abuse, admin, anyone@, bsd, bugs@, cafee, certific, contract@, feste, free-av, f-secur, gold-certs@, google, help@, icrosoft, info@, kasp, etc.

Il messaggio di posta generato e inviato può contenere nell’oggetto o nel corpo una di queste stringhe: Happy New Year To You!, Wishes for the new year, Opportunities for the new year, New Year Postcard, New Year Ecard, New Year wishes for you, Happy New Year To You!, Message for new year, Blasting new year, As you embrace another new year, It’s the new Year, As the new year…, Happy 2008 To You!, Joyous new year, Lots of greetings on new year, A fresh new year. Queste stringhe possono anche essere mischiate e il corpo del messaggio può includere l’indirizzo del ricevente. Il messaggio di posta include sempre un link agli ultimi due domini registrati dai cybercriminali: happycards2008.com o newyearcards2008.com.

Infine una porta casuale UDP viene aperta sul PC infetto in modo da farlo collegare ad una imponente botnet di PC zombie. Questa porta è menzionata nel file clean.config, creato dal malware nella cartella di sistema e reso invisibile dal rootkit. Giuliani commenta: “Se l’attacco è attualmente conosciuto – parlando tecnicamente – e le aziende di sicurezza stanno aggiornando i loro software, una nuova domanda emerge: perché questi domini fake sono ancora attivi? Se i server che ospitano i siti vengono costantemente modificati in modo che sia impossibile metterli offline, questi server possono essere raggiunti da 4 domini ben conosciuti. Perché, dopo 4 giorni, nessuno è riuscito con successo a chiudere questi domini? Solo la cooperazione tra aziende di sicurezza, ISP e forze dell’ordine può rappresentare l’arma letale contro questi team che scrivono malware e che sono potenzialmente in grado di compromettere server internazionali cruciali con le loro botnet“.

UPDATE: sembra che il nome dell’eseguibile malware diffuso tramite i domini nocivi stia venendo modificato molto spesso, attualmente il file infettivo si chiama fck2009.exe.

Fonte. 

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: