c.m.g
02-08-2007, 09:36
Marco Giuliani, malware analyst dell'azienda di sicurezza Prevx, ha segnalato sul blog ufficiale dell'azienda, e su PC Al Sicuro (http://www.pcalsicuro.com/main/2007/07/msn-al-sapor-di-ircbot-parte-seconda/), la diffusione di un nuovo codice nocivo su MSN e Windows Live Messenger, con funzioni di IRC backdoor, e classificata dall'azienda come Backdoor.Ircbot.gen. Lo stesso Giuliani aveva segnalato la diffusione di una medesima minaccia ad inizio Luglio.
Il worm si diffonde attraverso un file compresso inviato tramite il network di messaggistica di Microsoft. Tra i messaggi in italiano (Giuliani riporta un lunga lista di messaggi in varie lingue), utilizzati per diffondere l'infezione, segnaliamo: Guarda come Paris Hilton sprecato è, dopo che era imprijonata - Tu ed io !!! …. guarda :p - Guardi le mie foto hihi :p - Una foto con me ed il mio amico migliore :$ !!.
Da PC Al Sicuro: "Il file può chiamarsi: photo_album[number], photos2007_[number], images[number], photo[number], album[number]. L'eseguibile è compresso con il packer NTKrnl.Dopo l'esecuzione,il malware crea una copia di se stesso sotto la directory di Windows con il nome di msn.exe (varianti vengono denominate INTLPRINTERS.EXE sotto system32) e crea una dll denominata LIBCINTLES3.DLL (alcune varianti sono denominate LIBCINTLE2.DLL). La dll è aggiunta nel registro di sistema sotto:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\
a cui il malware aggiunge la chiave "printers" con valore [CLSID creato prima]. La dll ha funzionalità di IRC backdoor, si connette al server IRC john.free4people.net e rimane in attesa di comandi".
Secondo Giuliani: "Il malware si sta diffondendo in maniera particolarmente rapida attraverso MSN. È caldamente consigliabile prestare molta attenzione quando si accettano file su MSN. Come avevo già suggerito precedentemente, se siete in dubbio chiedete al contatto che sta inviando il file se veramente lui stia inviando qualcosa prima di accettarlo. Nella maggior parte dei casi i worm che si diffondono attraverso programmi di IM attivano i trasferimenti di file senza che l'utente se ne possa accorgere".
Una procedura di rimozione manuale: 1. Rinominare il file LIBCINTLES3.DLL (o LIBCINTLE2.DLL) che dovrebbe essere presente sotto System32 (ad esempio in virus.dl_). Eliminare, se presente, il file msn.exe presente nella stessa directory. 2. Riavviare il pc. Eliminare i file rinominati al punto precedente. 3. Effettuare una scansione con un programma antivirus o antimalware - come Prevx - oppure effettuare una scansione online con un servizio di analisi online – come Panda Nanoscan.
Fonte: Hardwaremax.it (http://www.hardwaremax.it/20070802838/network/ircbot-si-diffonde-nuovamente-via-msn.html)
Il worm si diffonde attraverso un file compresso inviato tramite il network di messaggistica di Microsoft. Tra i messaggi in italiano (Giuliani riporta un lunga lista di messaggi in varie lingue), utilizzati per diffondere l'infezione, segnaliamo: Guarda come Paris Hilton sprecato è, dopo che era imprijonata - Tu ed io !!! …. guarda :p - Guardi le mie foto hihi :p - Una foto con me ed il mio amico migliore :$ !!.
Da PC Al Sicuro: "Il file può chiamarsi: photo_album[number], photos2007_[number], images[number], photo[number], album[number]. L'eseguibile è compresso con il packer NTKrnl.Dopo l'esecuzione,il malware crea una copia di se stesso sotto la directory di Windows con il nome di msn.exe (varianti vengono denominate INTLPRINTERS.EXE sotto system32) e crea una dll denominata LIBCINTLES3.DLL (alcune varianti sono denominate LIBCINTLE2.DLL). La dll è aggiunta nel registro di sistema sotto:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\
a cui il malware aggiunge la chiave "printers" con valore [CLSID creato prima]. La dll ha funzionalità di IRC backdoor, si connette al server IRC john.free4people.net e rimane in attesa di comandi".
Secondo Giuliani: "Il malware si sta diffondendo in maniera particolarmente rapida attraverso MSN. È caldamente consigliabile prestare molta attenzione quando si accettano file su MSN. Come avevo già suggerito precedentemente, se siete in dubbio chiedete al contatto che sta inviando il file se veramente lui stia inviando qualcosa prima di accettarlo. Nella maggior parte dei casi i worm che si diffondono attraverso programmi di IM attivano i trasferimenti di file senza che l'utente se ne possa accorgere".
Una procedura di rimozione manuale: 1. Rinominare il file LIBCINTLES3.DLL (o LIBCINTLE2.DLL) che dovrebbe essere presente sotto System32 (ad esempio in virus.dl_). Eliminare, se presente, il file msn.exe presente nella stessa directory. 2. Riavviare il pc. Eliminare i file rinominati al punto precedente. 3. Effettuare una scansione con un programma antivirus o antimalware - come Prevx - oppure effettuare una scansione online con un servizio di analisi online – come Panda Nanoscan.
Fonte: Hardwaremax.it (http://www.hardwaremax.it/20070802838/network/ircbot-si-diffonde-nuovamente-via-msn.html)