Microsoft InfoPath cade vittima del primo trojan

Che questi ultimi anni avessero evidenziato una particolare tendenza a cercare nuovi spunti per nuove infezioni era gà stato appreso, ma nessuno avrebbe mai pensato che anche un programma come InfoPath potesse risultare infettabile. E così il software della Microsoft, che consente di creare facilmente moduli dinamici, si deve ora guardare da W32.Icabdi.A.

Il trojan non è una vera minaccia ma un proof-of-concept, cioè un esempio che mostra la vulnerabilità del programma. W32.Icabdi.A si trasmette tramite un file eseguibile e quando viene lanciato va alla ricerca di files con estensione .xsn, utilizzati appunto da InfoPath.

Quando li trova, il trojan li decomprime in una cartella temporanea denominata "iCab"- questi files sono simi a degli archivi CAB - e ricerca all'interno il file script.js. Una volta individuato ne sovrascrive il contenuto con il proprio codice. Infine il file .xsn viene di nuovo rigenerato con all'interno il nuovo script maligno.

Quando lo script viene eseguito dall'utente, lanciando InfoPath, il trojan utilizza un controllo ActiveX per creare un file denominato iCab.txt. Questo file servirà per ricostruire l'exe originale del trojan nella directory principale di C:\. Subito dopo viene mostrato all'utente, in maniera casuale, uno dei seguenti messaggi:

“Fighting for peace is like f**king for virginity!”

“Freedom is just another word for nothing left to lose! - (Me And Bobby McGee by Janis Joplin)”

“I do not know with what weapons World War III will be fought, but World War IV will be fought with sticks and stones. (by Albert Einstein)”

“I'm not a prisoner - I'm a FREE man! - (The Prisoner by Iron Maiden)”

“Imagine all the people living life in PEACE! – (Imagine by John Lennon)”

“No Gods, No Masters - Against all Authority: ANARCHISM!”

“Our Word is Our Weapon. - (by Subcomandante Marcos)”

“Sometime they will give a war and nobody will come! - (by Carl Sandberg)”

“The easiest way to gain control of the population is to carry out acts of terror the public will clamor for such laws if the personal security is threatened. - (by Joseph Stalin)”

All'interno dello script è stata individuata la stringa:

"This proof-of-concept Infopath virus has been done by [Second Part To Hell]" and includes links to the virus writer's web page(s).

Il virus writer SPTH, Second Part To Hell, è ben conosciuto dalle società di antivirus e il suo sito web è attivo da alcuni anni. Tuttavia non è considerato una particolare minaccia ma solo un giovane che cerca di farsi conoscere attraverso il web creando malware semplici che non sono dannosi.