Arriva Murofet, il worm simile a Conficker

Arriva Murofet, il worm simile a Conficker

Nel corso degli ultimi giorni sta circolando in rete un nuovo worm molto simile a conficker

di pubblicata il , alle 12:25 nel canale Sicurezza
 

Nel corso degli ultimi giorni si sta diffondendo in rete un nuovo malware chiamato Murofet che per molti versi ricorda il purtroppo ancora molto attivo worm Conficker di cui ci siamo occupati già diverse volte nel corso dell'ultimo anno.

Stando alle informazioni riportate sul blog di PrevX, pare che il Murofet sia in grado di infettare altri file e di rubare le password di accesso degli utenti per poi spedirle ad un server di raccolta specifico.

L'infezione ha inizio con un iniezione di circa 2000 Byte di codice binario all'interno di un file eseguibile, in modo tale che una volta avviato il programma, il codice iniettato vada a scaricare il worm vero e proprio sul sistema della vittima.

L'aspetto interessante di questo worm è che il codice iniettato non cerca semplicemente di scaricare il malware da uno o più indirizzi prefissati, ma genera un dominio in modo dinamico da testare basandosi sull'ora locale del PC infettato.

Nell'arco di una giornata il codice è potenzialmente in grado di generare fino a 1020 domini unici da testare. La routine inizia a provare a collegarsi al primo dominio generato e in caso di risposta negativa, attende per un secondo prima di rigenerare un secondo indirizzo; il ciclo viene ripetuto 800 volte, oppure termina non appena il codice iniettato riesce a scaricare il malware sul sistema.

La cosa interessante è che sul sistema sono presenti più file eseguibili infettati, ciascuno di essi eseguirà il proprio ciclo di ricerca per 800 volte, diventando quindi una potenziale minaccia per il buon funzionamento del sistema DNS.

Una volta installato nel sistema, Murofet inizia a rubare i dati sensibili utilizzati dagli utenti all'interno dei browser web per poi cifrarli ed inviarli ad un server di raccolta.

Al momento esistono pochi collegamenti attivi e la maggior parte puntano tutti verso l'IP 195.189.226.107, ma è altamente probabile che l'indirizzo verrà variato più spesso non appena il worm riuscirà ad infettare un maggior numero di sistemi.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

56 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
pabloski12 Ottobre 2010, 12:39 #1
wow sono davvero veloci quei server in ucraina
supertigrotto12 Ottobre 2010, 12:46 #2

cambiare password

dopo aver formattato può servire?intendo la password della posta elettronica o dei log in dei siti....
WarDuck12 Ottobre 2010, 12:51 #3
Si ma come si diffonde? O meglio qual è il vettore d'attacco?
goldorak12 Ottobre 2010, 13:24 #4
Originariamente inviato da: WarDuck
Si ma come si diffonde? O meglio qual è il vettore d'attacco?



Ma secondo te ?
A scelta :

[list]
[*] 0-day exploit di windows
[*] Flash
[*] Pdf
[/list]

WarDuck12 Ottobre 2010, 13:30 #5
Originariamente inviato da: goldorak
Ma secondo te ?
A scelta :

[list]
[*] 0-day exploit di windows
[*] Flash
[*] Pdf
[/list]



Volevo avere appunto ulteriori informazioni di quale fosse il mezzo scelto e in quale versione? .

Se colpisce sistemi non aggiornati siamo alle solite.
Human_Sorrow12 Ottobre 2010, 13:49 #6
Ma leggete ?

"L'infezione ha inizio con un iniezione di circa 2000 Byte di codice binario all'interno di un file eseguibile, in modo tale che una volta avviato il programma, il codice iniettato vada a scaricare il worm vero e proprio sul sistema della vittima."

Quindi scarichi una fantomatica crack o un allegato di una email, lanci l'.exe e ti becchi il virus ...

FulValBot12 Ottobre 2010, 13:53 #7
e oltre a prevx quali antivirus lo vedono?
Londo8312 Ottobre 2010, 14:42 #8
sperando di non contravvenire alle regole del forum....e sperando di fare cosa gradita...vi rimando a questo interessantissimo articolo su Conficker....

http://giavasan.diludovico.it/archi...5/18/conficker/
WarDuck12 Ottobre 2010, 15:16 #9
Originariamente inviato da: Human_Sorrow
Ma leggete ?

"L'infezione ha inizio con un iniezione di circa 2000 Byte di codice binario all'interno di un file eseguibile, in modo tale che una volta avviato il programma, il codice iniettato vada a scaricare il worm vero e proprio sul sistema della vittima."

Quindi scarichi una fantomatica crack o un allegato di una email, lanci l'.exe e ti becchi il virus ...


Si ma l'iniezione del codice si presume venga compiuta staticamente su eseguibili (di sistema).

Ora se si hanno privilegi limitati questa cosa non è possibile in quanto i file di sistema non sono modificabili di default.

Sempre se si hanno i privilegi limitati, se non ricordo male è vietata anche l'iniezione di codice a runtime (cosa che per altro un HIPS dovrebbe rilevare).
eraser12 Ottobre 2010, 15:29 #10
Originariamente inviato da: WarDuck
Sempre se si hanno i privilegi limitati, se non ricordo male è vietata anche l'iniezione di codice a runtime


No, o almeno dipende.

In generale hai accesso a tutti i processi che sono eseguiti dal tuo stesso utente (mentre per avere accesso a tutti i processi hai bisogno di privilegi speciali che un utente limitato non ha di standard).

Nel caso di Windows Vista/7, oltre a questa restrizione standard c'è anche la restrizione legata al livello di integrità, per il quale tutti i processi possono accedere a tutti i processi che hanno lo stesso livello di integrità o inferiore (sempre relativa allo stesso utente tuttavia) ma nessun processo può accedere ad un altro processo che è eseguito ad un livello di integrità superiore (*). È una ulteriore suddivisione (sandbox) all'interno dello stesso account utente. Ovviamente se si disattiva l'UAC, se ne vanno anche i livelli di integrità.

Lo stesso vale per il famigerato shatter attack, che sfruttava la possibilità di inviare messaggi a tutti gli altri eseguibili presenti nello stesso desktop indipendentemente dalle ACL. Con Vista/7 e i livelli di integrità si è al riparo anche da questo

* Piccola curiosità: un processo con un livello di integrità inferiore non può iniettare codice all'interno di processi con mic superiori, ma può comunque terminarli

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^