|
|
|
|
Strumenti |
02-02-2009, 09:03 | #1 | |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 22109
|
[NEWS] Falsa e-mail Microsoft diffonde un trojan
01 febbraio 2009 di Marco Giuliani
Scrivo questa notizia con ben 5 giorni di ritardo causa mancanza di tempo per redigerlo, sebbene abbia analizzato il trojan una settimana fa. Sono state isolate alcune false e-mail scritte chiaramente in un italiano da traduttore online che si spacciano per una comunicazione di Microsoft. Un classico e banale esempio di social engineering che sfrutta un periodo particolarmente movimentato dal punto di vista della sicurezza informatica data la diffusione del worm Conficker. L’e-mail, con oggetto: Microsoft ha recentemente rilasciato un aggiornamento della protezione recita: Quote:
Una volta eseguito, il malware verrà iniettato all’interno di vari processi. Il trojan ha funzionalità di rootkit user mode, prendendo il controllo delle API: NtQueryDirectoryFile LdrGetProcedureAddress LdrLoadDll NtCreateThread GetClipboardData TranslateMessage Il trojan viene copiato all’interno della directory di sistema di Windows con il nome di oembios.exe. Le dimensioni sono varie, visto che il trojan aggiunge alla fine del file dei dati casuali, così da evitare una facile individuazione da parte delle società di sicurezza, rendendo inutile ogni checksum sull’intero file. Inoltre vengono creati i file sysproc86.sys e sysproc32.sys all’interno della directory %systemroot%\sysproc64. I due file non sono driver, ma sono file criptati contenenti dati sensibili catturati dal trojan all’interno del PC e istruzioni fondamentali per il funzionamento del malware. Per autoeseguirsi all’avvio, il trojan modifica la voce Userinit alla chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon aggiungendo il percorso al file oembios.exe. È, come al solito, raccomandabile non eseguire alcun allegato da e-mail sospette. In questo caso, una lettura attenta del testo dell’e-mail avrebbe fatto scattare alcuni sospetti, dato l’errato utilizzo della lingua italiana. Sia Prevx Edge che Prevx CSI sono in grado di individuare e rimuovere l’infezione. Prevx Edge ha euristicamente bloccato l’infezione prima ancora che la firma virale fosse stata aggiunta. Fonte: PcAlSicuro.com
__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 17:24.