Microsoft InfoPath cade vittima del primo trojan
Anche Microsoft InfoPath, componente della suite di Office da poco nata e spesso ignorata dall'utenza domestica, è caduta vittima del primo trojan. Nessun reale pericolo, ma solo avvisaglie.
di Marco Giuliani pubblicata il 07 Marzo 2006, alle 17:28 nel canale SicurezzaMicrosoft
Che questi ultimi anni avessero evidenziato una particolare tendenza a cercare nuovi spunti per nuove infezioni era gà stato appreso, ma nessuno avrebbe mai pensato che anche un programma come InfoPath potesse risultare infettabile. E così il software della Microsoft, che consente di creare facilmente moduli dinamici, si deve ora guardare da W32.Icabdi.A.
Il trojan non è una vera minaccia ma un proof-of-concept, cioè un esempio che mostra la vulnerabilità del programma. W32.Icabdi.A si trasmette tramite un file eseguibile e quando viene lanciato va alla ricerca di files con estensione .xsn, utilizzati appunto da InfoPath.
Quando li trova, il trojan li decomprime in una cartella temporanea denominata "iCab"- questi files sono simi a degli archivi CAB - e ricerca all'interno il file script.js. Una volta individuato ne sovrascrive il contenuto con il proprio codice. Infine il file .xsn viene di nuovo rigenerato con all'interno il nuovo script maligno.
Quando lo script viene eseguito dall'utente, lanciando InfoPath, il trojan utilizza un controllo ActiveX per creare un file denominato iCab.txt. Questo file servirà per ricostruire l'exe originale del trojan nella directory principale di C:\. Subito dopo viene mostrato all'utente, in maniera casuale, uno dei seguenti messaggi:
“Fighting for peace is like f**king for virginity!”
“Freedom is just another word for nothing left to lose! - (Me And Bobby McGee by Janis Joplin)”
“I do not know with what weapons World War III will be fought, but World War IV will be fought with sticks and stones. (by Albert Einstein)”
“I'm not a prisoner - I'm a FREE man! - (The Prisoner by Iron Maiden)”
“Imagine all the people living life in PEACE! – (Imagine by John Lennon)”
“No Gods, No Masters - Against all Authority: ANARCHISM!”
“Our Word is Our Weapon. - (by Subcomandante Marcos)”
“Sometime they will give a war and nobody will come! - (by Carl Sandberg)”
“The easiest way to gain control of the population is to carry out acts of terror the public will clamor for such laws if the personal security is threatened. - (by Joseph Stalin)”
All'interno dello script è stata individuata la stringa:
"This proof-of-concept Infopath virus has been done by [Second Part To Hell]" and includes links to the virus writer's web page(s).
Il virus writer SPTH, Second Part To Hell, è ben conosciuto dalle società di antivirus e il suo sito web è attivo da alcuni anni. Tuttavia non è considerato una particolare minaccia ma solo un giovane che cerca di farsi conoscere attraverso il web creando malware semplici che non sono dannosi.
11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoio aggiungerei anche
No idiots.
riferito al tipo.
A lavora' !
Fighting for peace is like f**king for virginity!
<
Forse non sa che si puo' mantenere la verginita' lo stesso...
OT
Fighting for peace is like f**king for virginity!
<
Forse non sa che si puo' mantenere la verginita' lo stesso...
Beh, pero' e' anche vero che se da qualche parte lo fai entrare, in quella parte non c'e' piu' verginita'!
MS ha fatto ActiveX...
...ed i coderz ringraziano!
cioè poi dovrei prendere l'exe infetto e mandarlo a mano ad altri miei amici, o questo exe ha il buon cuore di diffondersi da solo ?
mi ricorda tanto una simpatica mail col "virus albanese" che circolava qualche tempo fa ¬_¬
SOB
SOB
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".