Marco Giuliani, esperto di sicurezza che collabora con la società di sicurezza Prevx, ha pubblicato interessanti informazioni su un nuovo codice malware, attualmente in circolazione, che presenta funzionalità e caratteristiche molto simili al famoso Gromozon, un codice nocivo che ha colpito duramente il mercato italiano negli ultimi mesi.
Dal blog-post di Giuliani su PC al Sicuro: "Fine settimana scorsa ho ricevuto un sample di un trojan che a prima vista sembrava avere funzionalità rootkit poiché terminava l'esecuzione di alcuni programmi, quali ad esempio gmer o hijackthis. Appena ricevuto il sample ho fatto un'analisi rapida e sembrerebbe essere un'opera proveniente dalla stessa idea dello scorso Gromozon, sebbene non sia così articolato … Il file, una volta eseguito, crea una copia di se stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all'avvio del sistema grazie all'aggiunta della chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato].
Dettagli
Dal blog-post di Giuliani su PC al Sicuro: "Fine settimana scorsa ho ricevuto un sample di un trojan che a prima vista sembrava avere funzionalità rootkit poiché terminava l'esecuzione di alcuni programmi, quali ad esempio gmer o hijackthis. Appena ricevuto il sample ho fatto un'analisi rapida e sembrerebbe essere un'opera proveniente dalla stessa idea dello scorso Gromozon, sebbene non sia così articolato … Il file, una volta eseguito, crea una copia di se stesso sotto la directory di sistema di Windows con un nome casuale e viene eseguito all'avvio del sistema grazie all'aggiunta della chiave di registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato].
Dettagli