Sikou.A: un nuovo trojan si nasconde nei documenti di Word

Sikou.A è stato trovato in un documento di Word progettato per sfruttare la vulnerabilità MS03-037 di Microsoft che consente al Trojan di accedere al sistema informatico nel momento in cui l’utente apre il documento.

Una volta conseguita l’esecuzione, Sikou.A inizia la sua installazione. Realizza una copia di sé nella cartella del sistema e installa due file, uno dei quali contiene la funzioni del Trojan. L’altro è un driver che permette di nascondere le attività del codice maligno all’utente del sistema e ciò che rende complicata la rilevazione di questo malware.

Una volta in esecuzione e nascosto, il Trojan cerca di accedere a un file di testo collegato ad un indirizzo Internet, che contiene un secondo indirizzo e una porta dove accederà in un secondo momento.

Questo file può essere aggiornato periodicamente dall’autore del malware, in modo che le localizzazioni alle quali accede il Trojan varino e sia più complesso neutralizzarlo.

Da questo URL è possibile scaricare l’aggiornamento del file ed estendere le sue funzioni, modificando così le capacità del Trojan.

Se il download degli aggiornamenti avviene con successo, automaticamente il file si connette ad un terzo indirizzo, dal quale riceve una serie di ordini come lo spegnimento del PC, la ricerca di informazioni (finanziarie o di altro tipo) o il download ed installazione di altri file.

Quest’ultima operazione dà la possibilità che si introducano nel sistema altri codici maligni specialmente di tipo spyware, che possono essere utilizzati in modo ausiliario per ottenere dei dati sensibili dal computer colpito.

Come afferma Luis Corrons, direttore di PandaLabs “Per sua natura il Trojan – che deve essere distribuito manualmente – dal mezzo di diffusione e dovuto al fatto che utilizza per la sua diffusione una vulnerabilità nota, potremmo trovarci di fronte ad un malware studiato ad-hoc per rubare informazioni da un PC. Inoltre, l’uso di tecniche di occultazione, la capacità di aggiornare le funzioni o l’enorme polivalenza che gli consente di ricevere ordini indicano l’intenzione dell’autore di far rimanere a lungo in codice maligno nel computer, portando a termine azioni di diversa natura”.

Aggiunge Roberto Puma, country manager Panda Software Italia “l’unica possibilità che ha l’utente di salvaguardare il proprio computer da attacchi così subdoli è quella di aggiornare periodicamente il proprio software antivirus.