Microsoft InfoPath cade vittima del primo trojan

Microsoft InfoPath cade vittima del primo trojan

Anche Microsoft InfoPath, componente della suite di Office da poco nata e spesso ignorata dall'utenza domestica, è caduta vittima del primo trojan. Nessun reale pericolo, ma solo avvisaglie.

di pubblicata il , alle 17:28 nel canale Sicurezza
Microsoft
 
Anche Microsoft InfoPath 2003, un programma della suite di Microsoft Office, è caduto vittima del primo trojan.

Che questi ultimi anni avessero evidenziato una particolare tendenza a cercare nuovi spunti per nuove infezioni era gà stato appreso, ma nessuno avrebbe mai pensato che anche un programma come InfoPath potesse risultare infettabile. E così il software della Microsoft, che consente di creare facilmente moduli dinamici, si deve ora guardare da W32.Icabdi.A.

Il trojan non è una vera minaccia ma un proof-of-concept, cioè un esempio che mostra la vulnerabilità del programma. W32.Icabdi.A si trasmette tramite un file eseguibile e quando viene lanciato va alla ricerca di files con estensione .xsn, utilizzati appunto da InfoPath.

Quando li trova, il trojan li decomprime in una cartella temporanea denominata "iCab"- questi files sono simi a degli archivi CAB - e ricerca all'interno il file script.js. Una volta individuato ne sovrascrive il contenuto con il proprio codice. Infine il file .xsn viene di nuovo rigenerato con all'interno il nuovo script maligno.

Quando lo script viene eseguito dall'utente, lanciando InfoPath, il trojan utilizza un controllo ActiveX per creare un file denominato iCab.txt. Questo file servirà per ricostruire l'exe originale del trojan nella directory principale di C:\. Subito dopo viene mostrato all'utente, in maniera casuale, uno dei seguenti messaggi:

“Fighting for peace is like f**king for virginity!”

“Freedom is just another word for nothing left to lose! - (Me And Bobby McGee by Janis Joplin)”

“I do not know with what weapons World War III will be fought, but World War IV will be fought with sticks and stones. (by Albert Einstein)”

“I'm not a prisoner - I'm a FREE man! - (The Prisoner by Iron Maiden)”

“Imagine all the people living life in PEACE! – (Imagine by John Lennon)”

“No Gods, No Masters - Against all Authority: ANARCHISM!”

“Our Word is Our Weapon. - (by Subcomandante Marcos)”

“Sometime they will give a war and nobody will come! - (by Carl Sandberg)”

“The easiest way to gain control of the population is to carry out acts of terror the public will clamor for such laws if the personal security is threatened. - (by Joseph Stalin)”

All'interno dello script è stata individuata la stringa:

"This proof-of-concept Infopath virus has been done by [Second Part To Hell]" and includes links to the virus writer's web page(s).

Il virus writer SPTH, Second Part To Hell, è ben conosciuto dalle società di antivirus e il suo sito web è attivo da alcuni anni. Tuttavia non è considerato una particolare minaccia ma solo un giovane che cerca di farsi conoscere attraverso il web creando malware semplici che non sono dannosi.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
samslaves07 Marzo 2006, 18:48 #1
No Gods, No Masters - Against all Authority: ANARCHISM!

io aggiungerei anche

No idiots.

riferito al tipo.

A lavora' !

samslaves07 Marzo 2006, 18:50 #2
>
Fighting for peace is like f**king for virginity!
<

Forse non sa che si puo' mantenere la verginita' lo stesso...
12pippopluto3407 Marzo 2006, 18:55 #3

OT

Originariamente inviato da: samslaves
>
Fighting for peace is like f**king for virginity!
<

Forse non sa che si puo' mantenere la verginita' lo stesso...

Beh, pero' e' anche vero che se da qualche parte lo fai entrare, in quella parte non c'e' piu' verginita'!
12pippopluto3407 Marzo 2006, 18:57 #4

MS ha fatto ActiveX...

Quando lo script viene eseguito dall'utente, lanciando InfoPath, il trojan utilizza un controllo ActiveX per creare un file denominato iCab.txt. Questo file servirà per ricostruire l'exe originale del trojan nella directory principale di C:\.

...ed i coderz ringraziano!
JohnPetrucci07 Marzo 2006, 19:47 #5
Sti trojan penetrano fin troppo spesso il software Ms, fosse solo Win, purtroppo non è così.
frankie07 Marzo 2006, 23:50 #6
non ne capisco molto, ma se si tolgono gli activeX non si risolvono i problemi???
dsajbASSAEdsjfnsdlffd08 Marzo 2006, 08:28 #7
mah, descritto cosi non è neanche considerable un proof of concept... cioè eseguendo un exe questo modifica dei file scriptabili inserendo uno script?
cioè poi dovrei prendere l'exe infetto e mandarlo a mano ad altri miei amici, o questo exe ha il buon cuore di diffondersi da solo ?

mi ricorda tanto una simpatica mail col "virus albanese" che circolava qualche tempo fa ¬_¬
SOB

Sammy.7308 Marzo 2006, 08:58 #8
Originariamente inviato da: DukeZ
mi ricorda tanto una simpatica mail col "virus albanese" che circolava qualche tempo fa ¬_¬
SOB


chiaro_scuro08 Marzo 2006, 09:15 #9
Ed io che pensavo che erano i trojans a farsi penetrare....
mjordan10 Marzo 2006, 16:44 #10
Sembra una particolare versione del fortune mod di Unix...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^