Attenti ai malware di fine anno
 

I cybercriminali stanno sfruttando, anche quest'anno, le festività come vettore di social engineering con l'intento di diffondere i loro codici malware "a tema natalizio". Nei giorni scorsi F-Secure, nota azienda antivirus, ha segnalato diversi nuovi codici malware diretti alle caselle e-mail degli utenti internet che tentano di sfruttare proprio questo stratagemma per indurre i malcapitati ad eseguire i payload nocivi sui loro computer.

Un campione di un file "CHRISTMAS.EXE", analizzato da F-Secure, include il codice di una variante del malware IRCBot. Se eseguito, questo file tenta di scaricare una serie di altri eseguibili malware dai web server waiguadown.008.net e user.free.77169.net. Il malware mostra all'utente un'immagine a tema natalizio (con scritte in giapponese).

Ci sono tuttavia anche altri malware Christmas-related che stanno circolando in questi giorni in-the -wild. F-Secure segnala un codice backdoor chiamato Christmas_Puzzle.exe che sfrutta un rootkit per nascondere la sua attività al sistema. F-Secure ha classificato questo codice come Trojan-Spy.Win32.Ardamax.e. Anche in questo caso l'eseguibile mostra all'utente un "puzzle game" a tema natalizio.

Un altro file nocivo, Christmas+Blessing-4.ppt, sfrutta invece la vulnerabilità descritta da Microsoft nel bollettino MS06-012 (o una vulnerabilità simile) per rilasciare ed eseguire nel sistema malcapitato due programmi embedded. La "trappola" questa volta è rappresentata da uno slideshow PowerPoint sempre a tema natalizio che già circolava in rete. F-Secure ha classificato il malware come Exploit.MSPPoint.Agent.g.

Non tutti i malware che stanno circolando durante questi giorni di festa sono relativi al Natale. F-Secure ha segnalato infatti anche un nuovo attacco spam che sfrutta una cartolina "Happy New Year" come specchietto per le allodole, legato ad una nuova variante del popolare *****ov. Una volta eseguito l'allegato infetto "postcard.zip", il sistema scarica una nuova variante del Trojan *****ov, aka Stration, da www6.easeruikingandefunjs.com. Il codice downloader è classificato dall'azienda di sicurezza come Trojan-Downloader.Win32.Small.edn.

Come sempre tutti gli utenti sono incoraggiati ad aggiornare il proprio sistema con le ultime patch di protezione ed a mantenere aggiornate le definizioni del proprio software antivirus. È consigliabile poi prestare attenzione ai messaggi di posta ricevuti in maniera inattesa, in particolare agli allegati.

Anche PC al Sicuro riporta alcune recenti novità malware per questo periodo di festività. Marco Giuliani avverte: "In questi due giorni passati ci sono stati aggiornamenti sotto molti fronti. Trojan.Spambot: è stata rilasciata una terza variante della nuova versione del Trojan.Spambot, non individuata da tutti gli antivirus free, da Nod32, BitDefender, Dr.Web, Panda, Sophos, F-Prot. Rootkit.DialCall: dopo aver usato per mesi il nome service32.exe, questo rootkit da ieri cambia nome: winsys.exe (e ovviamente anche struttura del file). Gromozon: sembra che qualcosa si torni a muovere, anche se non ci sono prove certe al momento. Sto lavorando ad una segnalazione che mi ha gentilmente riportato un collega".

www.tweakness.net