I ricercatori di sicurezza hanno isolato un nuovo codice malware che, nel tentativo di evitare il rilevamento e mimetizzarsi nel sistema, sfrutta lo stesso nome dello strumento antipirateria di Microsoft, Windows Genuine Advantage. Come segnala Graham Cluley, senior technology consultant di Sophos, nota azienda di sicurezza, il codice nocivo, classificato come "worm", si sta diffondendo principalmente tramite AOL Instant Messenger.
Sophos ha classificato il malware come W32.Cuebot-K, nuova variante della famiglia Cuebot. Il worm presenta una serie di funzioni nocive. Dopo essersi installato, Cuebot-K tenta immediatamente di connettersi a due siti web, nel tentativo di scaricare ulteriori codici nocivi sulla macchina ospite. Secondo Sophos, Cuebot-K è anche capace di disattivare vari software e impostazioni di sicurezza, tra cui il Windows firewall, di lanciare attacchi standard distribuiti denial-of-service, di analizzare i file locali e di richiamare un prompt di comando.
I worm che si diffondono tramite reti IM, spesso si nascondono in messaggi o link inviati da un contatto presente nella "buddy list", cosa che induce l'utente ad eseguire il codice dando inizio all'attacco. Cuebot-K si diffonde auto-spedendosi ai contatti dell'utente infetto usando il nome file "wgavn.exe", ma senza generare testo nel messaggio. Se viene installato, Cuebot-K si registra come un nuovo servizio di sistema chiamato "wgavn". Quando si richiama la lista di servizi sul computer infetto il worm appare come "Windows Genuine Advantage Validation Notification". Nei registri la voce relativa è HKLM\SYSTEM\CurrentControlSet\Services\wgavn.
Anche Trend Micro ha analizzato il nuovo codice nocivo, e nel descriverlo pone in evidenza le sue capacità di "backdoor", definendolo un "memory-resident backdoor" e classificandolo come "BKDR_IRCBOT.DB". Per la verità Trend Micro non fa menzione della diffusione del codice nocivo tramite rete IM. Per l'azienda di sicurezza BKDR_IRCBOT.DB raggiunge i pc delle vittime principalmente come "dropped file", cioè viene scaricato e rilasciato da altri malware. Altre aziende antivirus riconoscono il malware come variante generica della famiglia IrcBot. Mcafee invece sembra riconoscere il codice nocivo come variante del worm Opanki. I prodotti antivirus di Symantec, almeno al momento della stesura di questo articolo, non sono ancora capaci, invece, di rilevare il malware dall'eseguibile.
La nuova minaccia malware WGA-fake arriva mentre il tool antipirateria di Microsoft sta venendo criticato per presunti comportamenti spyware-like, comunque ampiamente smentiti dall'azienda. Il colosso ha anche rilasciato giorni fa un aggiornamento per il tool proprio in risposta alle critiche ricevute da parte degli utenti. Maggiori informazioni nelle news dedicate.
Fonte
Sophos ha classificato il malware come W32.Cuebot-K, nuova variante della famiglia Cuebot. Il worm presenta una serie di funzioni nocive. Dopo essersi installato, Cuebot-K tenta immediatamente di connettersi a due siti web, nel tentativo di scaricare ulteriori codici nocivi sulla macchina ospite. Secondo Sophos, Cuebot-K è anche capace di disattivare vari software e impostazioni di sicurezza, tra cui il Windows firewall, di lanciare attacchi standard distribuiti denial-of-service, di analizzare i file locali e di richiamare un prompt di comando.
I worm che si diffondono tramite reti IM, spesso si nascondono in messaggi o link inviati da un contatto presente nella "buddy list", cosa che induce l'utente ad eseguire il codice dando inizio all'attacco. Cuebot-K si diffonde auto-spedendosi ai contatti dell'utente infetto usando il nome file "wgavn.exe", ma senza generare testo nel messaggio. Se viene installato, Cuebot-K si registra come un nuovo servizio di sistema chiamato "wgavn". Quando si richiama la lista di servizi sul computer infetto il worm appare come "Windows Genuine Advantage Validation Notification". Nei registri la voce relativa è HKLM\SYSTEM\CurrentControlSet\Services\wgavn.
Anche Trend Micro ha analizzato il nuovo codice nocivo, e nel descriverlo pone in evidenza le sue capacità di "backdoor", definendolo un "memory-resident backdoor" e classificandolo come "BKDR_IRCBOT.DB". Per la verità Trend Micro non fa menzione della diffusione del codice nocivo tramite rete IM. Per l'azienda di sicurezza BKDR_IRCBOT.DB raggiunge i pc delle vittime principalmente come "dropped file", cioè viene scaricato e rilasciato da altri malware. Altre aziende antivirus riconoscono il malware come variante generica della famiglia IrcBot. Mcafee invece sembra riconoscere il codice nocivo come variante del worm Opanki. I prodotti antivirus di Symantec, almeno al momento della stesura di questo articolo, non sono ancora capaci, invece, di rilevare il malware dall'eseguibile.
La nuova minaccia malware WGA-fake arriva mentre il tool antipirateria di Microsoft sta venendo criticato per presunti comportamenti spyware-like, comunque ampiamente smentiti dall'azienda. Il colosso ha anche rilasciato giorni fa un aggiornamento per il tool proprio in risposta alle critiche ricevute da parte degli utenti. Maggiori informazioni nelle news dedicate.
Fonte