Rbot: occhio al worm spione

Rbot: occhio al worm spione

le tecnologie si evolvono e anche i virus writer si tengono costantemente aggiornati. Sophos lancia l'allarme per il worm "spione"

di pubblicata il , alle 09:31 nel canale Sicurezza
 

Sophos, una delle società leader nel campo degli antivirus, lancia l'allarme per un nuovo worm capace di spiare - nel vero senso fisico - l'utente.

W32/Rbot-GR, questo il nome del worm, ha la singolare capacità di poter utilizzare le webcam installate sul computer infetto per spiare l'utente e poter registrare tutto quello che avviene davanti al pc.

Il worm è capace di diffondersi utilizzando diverse vulnerabilità:

  • WebDav ( MS03-007 )
  • DCOM ( MS03-039 , MS04-012 )
  • UPNP ( MS01-059 )
  • Microsoft SQL server con password facilmente individuabili
  • Buffer overflow in alcune versioni del software DameWare (CAN-2003-1030)
  • Backdoor lasciate aperte da altri worm o trojan come W32/MyDoom, Troj/Optix, Troj/Kuang e Troj/NetDevil.

Una volta eseguito, il worm si copia nella directory di sistema come SYSTEMC32.EXE e configura le seguenti voci di registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Updates = systemc32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Microsoft Updates = systemc32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Microsoft Updates = systemc32.exe

Potrebbe inoltre alterare le seguenti voci:
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = 1

Il worm ha funzioni di backdoor e può essere usato per:

- Attacchi di tipo DDos
- Ridirezionare traffico TCP e SOCKS4
- Ottenere una shell per il login remoto dal pc infetto
- Fare il download, upload e esecuzione di files
- Installare un server HTTP o TFTP
- Rubare password (inclusi gli account PayPal)
- Registrare tutto ciò che si batte sulla tastiera
- Fare screenshot del desktop
- Catturare immagini e video dalla webcam
- Terminare processi
- Spegnere il pc

Inoltre Rbot-GR tenta di recuperare informazioni ed eventuali chiavi di registrazione dai seguenti giochi:

  • Counter-Strike
  • The Gladiators
  • Gunman Chronicles
  • Half-Life
  • Industry Giant 2
  • Legends of Might and Magic
  • Soldiers Of Anarchy
  • Unreal Tournament 2003
  • Unreal Tournament 2004
  • IGI 2: Covert Strike
  • Freedom Force
  • Battlefield 1942
  • Battlefield 1942 (Road To Rome)
  • Battlefield 1942 (Secret Weapons of WWII)
  • Battlefield Vietnam
  • Black and White
  • Command and Conquer: Generals (Zero Hour)
  • James Bond 007: Nightfire
  • Command and Conquer: Generals
  • Global Operations
  • Medal of Honor: Allied Assault
  • Medal of Honor: Allied Assault: Breakthrough
  • Medal of Honor: Allied Assault: Spearhead
  • Need For Speed Hot Pursuit 2
  • Need For Speed: Underground
  • Shogun: Total War: Warlord Edition
  • FIFA 2002
  • FIFA 2003
  • NHL 2002
  • NHL 2003
  • Nascar Racing 2002
  • Nascar Racing 2003
  • Rainbow Six III RavenShield
  • Command and Conquer: Tiberian Sun
  • Command and Conquer: Red Alert
  • Command and Conquer: Red Alert 2
  • Chrome
  • NOX
  • Hidden & Dangerous 2
  • Soldier of Fortune II - Double Helix
  • Neverwinter Nights
  • Neverwinter Nights (Shadows of Undrentide)
  • Neverwinter Nights (Hordes of the Underdark)

"Molti virus writer sono interessati a spiare le persone che vogliono infettare con worm e trojan. Questo worm apre le porte allo spionaggio industriale" ha affermato Graham Cluney, consulente tecnico per Sophos. "Se il computer ha una webcam ed è infetto, tutto quello che si fa davanti al computer può essere registrato e visto", ha continuato poi Cluney, "bisogna sempre tenere aggiornati antivirus e firewall e, se si è in dubbio, scollegare la webcam quando non la si usa".

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
FLikKo24 Agosto 2004, 09:45 #1

mah

chissa se in giro nn c'e' un virus che ti spia via microfono :| oltre ke via webcam :|
cmq molto bigotto sto virus :|
OverCLord24 Agosto 2004, 10:08 #2
Si ma quanto e' grande 1 MB? Un worm che fa cosi' tante cose non passa inosservato...
UIQ24 Agosto 2004, 10:10 #3

Bello

Questo si che è un virus fatto bene :-P
Dias24 Agosto 2004, 10:17 #4
Che palle sti virus writer, ma non ci sono ragazze dalle loro parti?
Sig. Stroboscopico24 Agosto 2004, 11:05 #5
eheheheh!

non c'entra molto... ma vi immaginate quanta gente pensa ancora tutt'oggi di essere veramente spiata dal proprio monitor?

muahahahahahahahahahah!
eraser24 Agosto 2004, 11:42 #6
Originariamente inviato da OverCLord
Si ma quanto e' grande 1 MB? Un worm che fa cosi' tante cose non passa inosservato...


ad occhio e croce sui 96Kb se non sbaglio
atomo3724 Agosto 2004, 12:09 #7
ma pensa te, ora ci sono pure i virus voyeristici!
nicgalla24 Agosto 2004, 15:07 #8
sul sito della sophos non c'è traccia della dimensione di sto virus, ma se è veramente 96 Kb è proprio un piccolo capolavoro di programmazione, peccato che sia un virus... ce ne vogliono di DLL per pilotare webcam e trasmettere un video.. ma forse è perchè WinXP integra già tutto questo.
DjLode24 Agosto 2004, 15:17 #9
Bhè è probabile che usi quelle integrate nel sistema anche perchè non credo che ogni webcam/microfono/altro usino sempre le stesse dll e integrarle tutte avrebbe richiesto un file veramente grosso per un virus.
Zerk24 Agosto 2004, 17:20 #10
Finalmente un virus ben fatto, anche se ne preferivo uno che facesse qualche piccolo pasticcio per poi correre a casa dei miei clienti ad installare patch a pagamento

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^