[NEWS] Falsa e-mail Microsoft diffonde un trojan

[c.m.g]

01 febbraio 2009 di Marco Giuliani

Scrivo questa notizia con ben 5 giorni di ritardo causa mancanza di tempo per redigerlo, sebbene abbia analizzato il trojan una settimana fa.

Sono state isolate alcune false e-mail scritte chiaramente in un italiano da traduttore online che si spacciano per una comunicazione di Microsoft. Un classico e banale esempio di social engineering che sfrutta un periodo particolarmente movimentato dal punto di vista della sicurezza informatica data la diffusione del worm Conficker.

L’e-mail, con oggetto: Microsoft ha recentemente rilasciato un aggiornamento della protezione recita:

Quote:

Cari Clienti Microsoft,

Vi preghiamo di notare che Microsoft ha recentemente rilasciato un aggiornamento della protezione per Microsoft Windows OS.
L’aggiornamento si applica alle seguenti versioni di sistema operativo: Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows Millennium, Microsoft Windows XP, Microsoft Windows Vista.
Si prega di notare, che la presente aggiornamento si applica al aggiornamenti con prioritа alta categoria.
Al fine di proteggere il computer dalle minacce alla sicurezza e problemi di prestazioni, si consiglia di installare questo aggiornamento.
Dato che la distribuzione pubblica di questo aggiornamento tramite il sito ufficiale http://www.microsoft.com sarebbe risultato efficace nella creazione di un software “maligni”, abbiamo preso una decisione di emettere una versione sperimentale privato di un aggiornamento per tutti gli utenti di Microsoft Windows OS.
Come il computer и impostato per ricevere le notifiche quando sono disponibili nuovi aggiornamenti, che avete ricevuto questo avviso.
Al fine di avviare l’aggiornamento, si prega di seguire passo-passo le istruzioni:

1. Esegui il file, che avete ricevuto insieme a questo messaggio.
2. Seguire attentamente tutte le istruzioni che appaiono sullo schermo.

Se non cambia nulla dopo aver eseguito il file, probabilmente nelle impostazioni del vostro sistema operativo si dispone di una indicazione di eseguire tutti gli aggiornamenti in un contesto di routine.
In tal caso, a questo punto, l’aggiornamento del vostro sistema operativo sarа finito.
Ci scusiamo per gli eventuali disagi che questo ritorno potrebbe essere la causa per voi.

Grazie, Steve Lipner Direttore della Sicurezza Assurance Microsoft Corp.

L’allegato, ovviamente non proveniente da Microsoft, è una variante del trojan ZBot, con alcune modifiche per evitare di essere eseguita all’interno di macchine virtuali e sandbox. Il malware bloccherà la propria esecuzione, mostrando un messaggio di errore, se eseguito all’interno di:

• VMware
• VirtualBox
• VirtualPC
• CWSandbox
• JoeBox
• ThreatExpert
• Anubis
• Sandboxie

Una volta eseguito, il malware verrà iniettato all’interno di vari processi. Il trojan ha funzionalità di rootkit user mode, prendendo il controllo delle API:

NtQueryDirectoryFile
LdrGetProcedureAddress
LdrLoadDll
NtCreateThread
GetClipboardData
TranslateMessage

Il trojan viene copiato all’interno della directory di sistema di Windows con il nome di oembios.exe. Le dimensioni sono varie, visto che il trojan aggiunge alla fine del file dei dati casuali, così da evitare una facile individuazione da parte delle società di sicurezza, rendendo inutile ogni checksum sull’intero file.

Inoltre vengono creati i file sysproc86.sys e sysproc32.sys all’interno della directory %systemroot%\sysproc64. I due file non sono driver, ma sono file criptati contenenti dati sensibili catturati dal trojan all’interno del PC e istruzioni fondamentali per il funzionamento del malware.



Per autoeseguirsi all’avvio, il trojan modifica la voce Userinit alla chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon aggiungendo il percorso al file oembios.exe.

È, come al solito, raccomandabile non eseguire alcun allegato da e-mail sospette. In questo caso, una lettura attenta del testo dell’e-mail avrebbe fatto scattare alcuni sospetti, dato l’errato utilizzo della lingua italiana.

Sia Prevx Edge che Prevx CSI sono in grado di individuare e rimuovere l’infezione. Prevx Edge ha euristicamente bloccato l’infezione prima ancora che la firma virale fosse stata aggiunta.


Fonte: PcAlSicuro.com