Ormai oggi i programmi dannosi progettati per inviare messaggi
di spam non sono più una sopresa per i ricercatori di Dr.Web. Tuttavia,
ultimamente, un nuovo mass-mailing trojan, dotato di particolari
caratteristiche è stato aggiunto al loro database: il Trojan.Proxy.27552.
Questo specifico trojan ha un percorso di installazione
piuttosto curioso. Questo malware, infatti, cerca di creare proprie copie con i
nomi csrss.exe, svchost.exe e rundll32.exe nella cartella C:\WINDOWS\System32 nonostante
in questa directory sia già presente l’originale csrss.exe.
Per far fronte a questo limite, esegue una ricerca
del file csrss.exe e tenta di “ucciderlo” al fine di sostituirlo in seguito nel
sistema. Nel caso ci riesca, acquistando anche i privilegi di amministrazione e
debugger, il processo termina causando la schermata blu di errore (anche
chiamata “Blue Screen of Death”).
Nonostante ciò, se non riesce a mandare in crash Windows,
crea tre file (csrss.exe, svchost.exe e rundll32) nella cartella %APPDATA% e
successivamente modifica il registro di sistema per garantire il proprio
autorun.
Inoltre, nella maggior parte dei casi, quando il
computer con Windows XP è stato infettato, il malware inietta il suo codice dannoso
nel <SYSTEM32>\rundll32.exe. A questo punto, l’utente può avvalersi del
programma standard SFC (System File Checker) per recuperare i file danneggiati
o mancanti (infatti lo strumento gli permette di ripristinare un file originale dalla copia
di backup). Anche recuperando i file, il problema però rimane, e al
successivo avvio del sistema, tutte e tre le applicazioni create dal malware
vengono lanciate automaticamente.
Una volta che il Trojan è dentro e completamente attivo, controlla se esiste
una connessione internet stabile. Se la verifica dà risultati negativi, il
trojan termina il suo lavoro, altrimenti se è disponibile una connessione a
internet, con l’invio di richieste a host remoti, tenta di ricevere un elenco
con indirizzi IP validi dei server di comando e controllo. A quel punto “Il
cavallo di troia” mette a confronto gli elenchi ricevuti ed elimina gli indirizzi
di rete locale e infine genera un elenco finale di server di comando e
controllo e inserisce questa informazione nel registro di sistema di Windows,
che verrà usata dal malware per memorizzare i dati.
Il processo non si ferma qui, perché il Trojan.Proxy.27552
aggiorna regolarmente questo elenco, controllando anche lo stato della
diramazione del registro responsabile dell’autorun (e, se necessario, cura la
manutenzione di eventuali errori). Per di più, la connessione ai server di comando e
controllo è effettuata in modo tale per costringere il sistema infetto a
mantenere questa connessione per uno specifico periodo di tempo.
Lo scopo principale del Trojan.Proxy.27552 è quello di
inviare messaggi di spam con un server di spam remoto, cosicché i link dei messaggi
inviati dal trojan indirizzino gli utenti ai siti web violati.
Ad esempio, se un indirizzo contenuto nel messaggio
appartiene a uno spazio online neutro…
... in seguito, automaticamente, il link reindirizza
l'utente a una pagina web completamente diversa.
Fortunatamente per gli utenti di Dr.Web questo malware
non costituisce più una minaccia poiché la firma di Trojan.Proxy.27552 è già stata analizzata dal loro laboratorio aggiunta al loro database.
Nessun commento:
Posta un commento