Atak: il worm invisibile

Atak: il worm invisibile

Il 2004 si conferma l'anno dei worm. Dopo il trittico Beagle-NetSky-MyDoom che ha movimentato i primi mesi dell'anno, ora arriva il worm che si autodifende dai ricercatori delle società di antivirus.

di pubblicata il , alle 16:35 nel canale Sicurezza
 

Il 2004 si conferma l'anno dei worm. Dopo il trittico Beagle-NetSky-MyDoom che ha movimentato i primi mesi dell'anno, ora arriva il worm che si autodifende dai ricercatori delle società di antivirus.

W32.Atak , questo è il nome dell'ennesimo worm che sta infettando le e-mail di migliaia di utenti.

L'e-mail contenente il worm ha le seguenti caratteristiche:

OGGETTO:
Read the Result!
Important Data!

CORPO DEL MESSAGGIO:
Authorized Researcher Only.

MITTENTE:
può essere

kevin@
huck@
george@
mike@
andrew@

con differenti domini

ALLEGATO:
l'allegato è un file compresso (.zip) che contiene il worm. Il nome del file compresso è formato da 3 a 7 caratteri random. Il nome del worm invece è formato da 3 a 7 caratteri random, un'estensione .gif or .jpg seguita da 70 spazi e dalla vera estensione .exe

Il worm una volta eseguito si copia sotto la directory di sistema con il nome di HINT.EXE e crea un mutex, chiamato "SloperMtx" per controllare che sia in esecuzione solo un processo di sé stesso.
Sui sistemi Windows 2000/XP il worm aggiunge la voce
"load"="%System%\hint.exe" (dove %System è una variabile e dipende dal sistema operativo; System32 per Windows 2000/Xp, System per Windows 95/98/ME)

sotto la chiave HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows

Mentre su Windows 95/98/ME aggiunge la voce
load=%System%\hint.exe

nella sezione [Windows] del file Win.ini.

Il worm effettua una scansione di tutti i dischi rigidi alla ricerca di indirizzi e-mail a cui mandarsi.

La caratteristica fondamentale del worm è la capacità di rendersi invisibile alle analisi dei ricercatori delle società antivirus. Infatti Atak riconosce se qualcuno sta utilizzando un debugger per analizzare il codice e termina il processo automaticamente. Inoltre, a causa di un possibile bug, il worm non viene eseguito all'interno di sandbox.
Il worm contiene al suo interno la stringa

-={ 4tt4(k 4g4!n$t N3tSky, B34gl3, MyD00m, L0vG4t3, N4ch!, Bl4st3r }=-

che significa

"attack against Netsky, Bagle, Mydoom, Lovgate, Nachi and Blaster".

Il file contenente il worm è stato compilato in Visual C++ e compresso con FSG 2.0.

Per la rimozione manuale del worm entrare nel Task Manager e terminare il processo HINT.EXE. Poi accedere al registro di sistema attraverso START-ESEGUI-REGEDIT e cancellare la chiave HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load con la relativa voce %system%\hint.exe

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

24 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
cps13615 Luglio 2004, 16:36 #1
Grazie per l'avviso ....

un amministratore di posta.
afterburner15 Luglio 2004, 16:45 #2

Eccone un altro!

Ecco un altro virus-writer che si aggiunge alla guerra tra virus-writers innescata tra netsky mydoom e beagle ..
Il trucco degli spazi per nascondere l'estensione .exe e' parecchio vecchio ma la voglia di aprire ed eseguire qualsiasi allegato arrivi via mail agli utonti e' sempre tanta ("tanto c'ho l'antivirus aggiornato" .. "tanto c'ho il sistemista che risolve lui dopo" ...
Comunque, bella l'idea di autoterminarsi se c'e' un debugger in esecuzione .. o analizzano le istruzioni assembler ad una ad una o devono bypassare la protezione ossia crackare il worm
astronauta15 Luglio 2004, 17:24 #3
Spero che la mia Norton Internet Security 2004 faccia il suo dovere
Imperatore Neo15 Luglio 2004, 17:28 #4
"Spero che la mia Norton Internet Security 2004 faccia il suo dovere"

Io non ci conterei molto..
Dumah Brazorf15 Luglio 2004, 17:39 #5
Come fanno a beccarlo ora il virus???? Invece della schermata di scansione l'antivirus aprirà il Task Manager e ti chiederà di controllare se il worm è attivo?
Ciao.
eraser15 Luglio 2004, 17:53 #6
il worm si difende da eventuali analisi, non da individuazioni.
Cioè - esempio pratico - io non so se il worm tenta qualche attacco DoS (perché non sono riuscito a debuggarlo) però so che ha un CRC xxxxxxxx basta fare una scansione dei files secondo il loro CRC ed ecco che se corrisponde, quello è il worm

Ciao

Eraser
azrael15 Luglio 2004, 18:01 #7

utonto behaviour

evvaiiiiiiiiii! ma che bello...... il mio amichetto [email]mike@qualcosa.com[/email] mi ha mandato una bella immagineeeeeeeee ........ ooooooooooooohhhhhhhh, ma come mai non vedo nullaaaaaaaa??????????

.........
......
ma chi è stò mike?
Heretic15 Luglio 2004, 18:05 #8
... ecco xkè sono contento a volte di lavorare con makkine UNIX...
xpiuma15 Luglio 2004, 18:08 #9
Ottima news, eraser, preciso e competente come sempre...

Adesso prepariamoci per l'inevitabile ondata di mail dai vari mike, etc...
E le tonnellate di richieste di amici che: "Non riesco ad aprire un'immagine che mi ha mandato uno su internet...
Sai dirmi come si fa?"
xpiuma15 Luglio 2004, 18:09 #10
Edit: doppio.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^