Silly, il worm che si diffonde attraverso pen drive USB

Silly, il worm che si diffonde attraverso pen drive USB

Un nuovo worm è stato isolato negli ultimi giorni. Si diffonde attraverso dispositivi removibili e, principalmente, USB pen drive. Sophos avverte: potrebbe essere una grossa falla nelle policy di sicurezza delle società

di Marco Giuliani pubblicata il , alle 10:57 nel canale Sicurezza
 
Un nuovo malware è stato isolato dalle società di sicurezza durante questi giorni. SillyFD-AA, così ribattezzato da Sophos, è un worm che si diffonde attraverso le pen drive USB, metodo che ricorda da vicino i primi virus file infector che si diffondevano attraverso floppy disk.

Il worm, una volta eseguito nel sistema, si diffonde - oltre che attraverso le pen drive USB - attraverso tutti i dispositivi removibili, tra cui anche floppy disk. All'interno del dispositivo removibile il worm crea due file, un Autorun.inf e una copia di sé stesso denominata handydriver.exe. Il file di autorun è utilizzato per l'esecuzione automatica del worm non appena una pen drive usb viene inserita nel sistema.

Vengono inoltre create copie di sé stesso all'interno della directory di Windows e di sistema. Vengono aggiunte due chiavi di registro per l'esecuzione del worm all'avvio del sistema, sotto

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" [System]\userinit.exe,[System]\systeminit.exe

e

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Wininit" [System]\wininit.exe

Il worm, come payload non distruttivo, modifica il titolo della finestra di Internet Explorer con la frase Hacked by 1BYTE.

"Tutti gli utenti di PC dovrebbero stare attenti nell'inserire delle pen drive USB sconosciute all'interno del PC, soprattutto visto che queste stanno diventando sempre più diffuse per via del basso costo. Potrebbe essere una bella vulnerabilità per piccole, medie e grandi società, visto che tutti utilizzano oramai pen drive USB" ha dichiarato Graham Cluley, consulente tecnico per Sophos.

Se non strettamente necessario, è consigliabile disattivare l'autorun automatico in Windows per i dispositivi removibili, in modo tale da evitare l'avvio immediato nel momento in cui si inseriscono dispositibi esterni alla macchina.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

20 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Nockmaar07 Maggio 2007, 11:03 #1
Nelle medie e grandi societa' solitamente l' utente non puo' installare chiavette usb in quanto non Administrator della sua macchina.

Newbo07 Maggio 2007, 11:05 #2
non mi riguarda questo problema visto che non ho windows ma un altro sistema operativo....

winzozz è l'ira didio non si finisce mai di combatterci...fortunatamente queste cose a me non mi toccano più
Mister2407 Maggio 2007, 11:09 #3
Non mi sembra una grossa novità come worm, sono mesi che la facoltà di ingegneria di pisa ha i computer infetti da un trojan simile. Io stesso e tanti miei amici ne siamo rimasti vittime, anche questo crea un autorun.info e si nasconde all'interno di una cartella nascosta chiamata "recycled" che non è il vero cestino. Si replica su qualsiasi dispositivo rimovibile e anche sulle varie partizioni dell'hard disk.
Ollo07 Maggio 2007, 11:17 #4
X Nock
Io come sai lavoro per una società medio/grande eppure sono administrator...
Crux_MM07 Maggio 2007, 11:19 #5
Vabbè se non fa alcun danno..fa niente insomma!
e Poi "Hacked by 1BYTE" è più bello di "Internet Explorer"..non si toglie con un regcleaner?
Luk3D07 Maggio 2007, 11:30 #6
metteremo il preservativo alle pennette...
Octane07 Maggio 2007, 11:31 #7
Originariamente inviato da: Nockmaar
Nelle medie e grandi societa' solitamente l' utente non puo' installare chiavette usb in quanto non Administrator della sua macchina.


a volte (come nel caso dove lavoro) le policy permettono l'utilizzo di memorie USB, quindi l'allarme e' a mio avviso giustificato.
La soluzione e' mettere tutti gli utenti a livello guest

Originariamente inviato da: Crux_MM
Vabbè se non fa alcun danno..fa niente insomma!
e Poi "Hacked by 1BYTE" è più bello di "Internet Explorer"..non si toglie con un regcleaner?

si, se elimini le chiavi eviti il caricamento del virus ad ogni avvio/logon; non eviti pero' che inserendo il pendrive infetto torni ad eseguirsi
Cmq ho come l'impressione che non sia l'unico esempio in circolazione di worm a sfruttare questo metodo di ingresso..
Brigno07 Maggio 2007, 11:33 #8
Per ora [:sperem] l'unico virus che ho preso è stato il Gerusalem quindi fate un po' voi...

PS: per i "pischelli" il Gerusalem era un virus per MS-DOS che si diffondeva trami FD (unico vero modo di comunicare con altri PC)
lnessuno07 Maggio 2007, 11:33 #9
Originariamente inviato da: Nockmaar
Nelle medie e grandi societa' solitamente l' utente non puo' installare chiavette usb in quanto non Administrator della sua macchina.


qua da me ci sono 130 pc dislocati in una ventina di sedi... e non tutte sono collegate in rete. se non ci fossero le chiavette usb portare i dati da una sede all'altra sarebbe impossibile e chiamare il tennico tutte le volte sarebbe improponibile. pertanto le chiavette si possono usare...
ulk07 Maggio 2007, 11:48 #10
Non sanno più cosa inventarsi per far comprare suite antivirus, eppure basterebbe adware spyboot e un antivirus free aggiornato.

P.S. Interessante l'affermazione che per evitare le infezione basta non far utilizzare un dispositivo, certamente i CED di queste aziende sono all'avanguardia.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^