Sony DRM: isolato il primo trojan

Sony DRM: isolato il primo trojan

Tutto come previsto: la nuova tecnologia DRM di Sony ha dato spunto ai virus writers per nuovi malware. Isolato il primo trojan.

di pubblicata il , alle 15:16 nel canale Sicurezza
Sony
 
Eccolo, arrivato tra le immumerevoli previsioni di molti esperti di sicurezza del settore, il primo trojan che sfrutta la tecnologia DRM di Sony, studiata e applicata nei cd musicali per proteggere i propri diritti intellettuali.

Bitdefender, società rumena specializzata in tecnologia per la sicurezza informatica, ha annunciato di aver isolato il trojan alle ore 12.15 GMT di oggi.

Il trojan, ancora in fase di analisi, installa sulle macchine infettate una backdoor per prendere il controllo da remoto del pc attraverso IRC.

"Eravamo consci del fatto che da un momento all'altro sarebbe stato scritto qualche malware che sfruttasse questa situazione venutasi a creare con la nuova tecnologia Sony. Proprio per questo, BitDefender ha aggiornato la propria tecnologia euristica per identificare tutti i software che tentano di usare questa tecnica. Il trojan è in-the-wild (ndr. si sta rapidamente diffondendo) ed è la terribile conferma dei nostri pensieri" ha dichiarato Viorel Canja, direttore dei laboratori BitDefender.

Un'analisi del trojan sarà disponibile a breve, così come altri aggiornamenti riguardo questa notizia.

UPDATE:

F-Secure ha pubblicato la prima analisi del trojan che è stato rinominato come Breplibot.b.

Una volta lanciato, il trojan crea il file $sys$drv.exe nella directory di sistema di Windows.

Crea inoltre le seguenti chiavi di registro:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "$sys$drv" = "$sys$drv.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "$sys$drv" = "$sys$drv.exe"


Il trojan crea inoltre due Mutex, SonyEnabled e $sys$drv.exe.

Una volta attivo, il trojan tenta di connettersi ad uno dei seguenti server IRC:
68.101.14.76:8080
24.210.44.45:8080
67.171.67.190:8080
35.10.203.93:8080
152.7.24.186:8080

Dove resta in ascolto per eventuali comandi da eseguire che possono essere:
- Download ed esecuzione di software da remoto
- Informazioni di sistema
- Cancellazione di files

UPDATE:

Da un primo test (15.50 ora locale) sono alcuni gli antivirus che ancora non riconoscono il trojan. Tra gli assenti illustri ci sono tutti e tre gli antivirus freeware - AVG, Avast e Antivir - mentre tra gli antivirus a pagamento piu diffusi solo Norton Antivirus e Panda Antivirus ancora non riconoscono il trojan.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

53 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Cobra7810 Novembre 2005, 15:18 #1
Magari qualcuno mi darà del troll, magari i mod riterranno il mio post poco consono, ma devo dirlo:

BARAVA SONY COMPLIMENTI!!!


E non aggiungo altro che rischio di essere volgare.
Tera10 Novembre 2005, 15:23 #2
Altro che, sarebbe il caso di chieder loro i danni (in caso si venga infettati). Questa falla viene aperta da loro in maniera del tutto illegale.
aLLaNoN8110 Novembre 2005, 15:24 #3
Certo che hanno fatto proprio in fretta a scrivere questo trojan perchè visto che si sta diffondendo vuol dire che è già in giro da un po'...
sidewinder10 Novembre 2005, 15:32 #4
nel frattempo oltre alla causa intentata da ALCEI, si aggiunge anche la causa dello stato di California: http://blogs.washingtonpost.com/securityfix/
Manp10 Novembre 2005, 15:43 #5
certo che Sony ha messo in piedi un bel vespaio

che si prendesse una bella stangata nei tribunali di tutto il mondo...

zuLunis10 Novembre 2005, 15:47 #6
ma è arrivata la multa per sony?
Sig. Stroboscopico10 Novembre 2005, 15:47 #7
Bella figura...

Soprattutto, se è vero che non posso verificare se l'ho installato anche io perchè il programma è nascosto... come faccio a sapere se corro il rischio di essere infettato causa loro?

Qui c'è veramente da denunciarli!

Il windows passa perchè ho deciso di installarlo, ma il DRM di Sony no...

Bello da parte loro punire chi sta nella legalità... e passarla sempre liscia
Carpix10 Novembre 2005, 15:57 #8
Ragazzi secondo voi anche il nod32 riesce a bloccare il trojan?
Oltre a bitdifendere??
eraser10 Novembre 2005, 15:58 #9
Carpix controlla la news, è stata aggiornata

Nod32 lo riconosce come variante di Win32/IRCBot.PH
matteo110 Novembre 2005, 16:07 #10
qualche info in + dai laboratori Kaspersky:
http://www.kaspersky.com/news?id=173737204

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^