Una nuova minaccia "veleggia" sul Web!

“Una delle nostre maggiori premure è quella di rendere sempre più consapevoli gli utenti della rete sull’enorme rischio che corrono quando aprono email e allegati sospetti senza aver verificato l’autenticità del messaggio stesso" afferma Govind Rammurthy (CEO e Managing Director di MicroWorld) "Le varianti dei malware si rivelano sempre più sofisticati rispetto alle precedenti versioni: hanno la capacità di compromettere il sistema in un secondo e di diffondere il virus all’intero network nel giro di un’ora. Per questo, noi di eScan non smetteremo mai di ribadire quanto sia importante avvalersi di un valido strumento per la protezione del PC nonché di avere l’accortezza di mantenere sempre tale software aggiornato”.

Il team di eScan avvisa gli utenti di non aprire email (e gli allegati) che abbiano per oggetto titoli come “You have received A Hallmark E-Card!”, “Your friend invited you to twitter!”, “Thank you from Google!”, “Jessica would like to be your friend on hi5!” e “Shipping update for your Amazon.com order 254-71546325-658732” .

Il rischio è piuttosto alto perché negli allegati zippati vengono inserite nuove versioni di malware nocivi. Nell’email che ha per oggetto “You have received A Hallmark E-Card!” è allegato un file postcard.zip (o altra dicitura simile) ma il contenuto del file zip reca con sé dei malware che hanno un motore di mass mailing SMTP integrato per inviare email e che si diffondono attraverso la posta elettronica agli indirizzi raccolti nei sistemi infettati.

Il payload contiene anche un malware con le caratteristiche di Vundo (ossia VirtuMonde/VirtuMundo) e quindi un cavallo di Troia che scarica ed esegue file arbitrari potenzialmente malevoli da Internet. La pericolosità del sistema Vundo è quella di essere in grado di infettare il sistema nel momento stesso in cui il browser apre il link a una pagina web, contenuto in una email spam.

A quel punto, il browser web sarà infestato da popup pubblicitari con il virus che riescirà a gestire antivirus e i relativi programmi di sicurezza. Questo trojan è molto insidioso perché, anche se viene rimosso il file che lo genera (virtumonde.dll), lo ricrea automaticamente. Infatti, la dll viene creata nella directory Windows system32 dall'avvio di Internet Explorer. E’ inoltre in grado di iniettare il codice malevolo in processi legittimi, nel tentativo di nascondere la sua presenza nel sistema.

Un'altra mail pericolosa e che sfrutta per diffondersi, la popolarità dei social network come Twitter e Hi5 è quella che nasconde una variante di Buzus: un bot che si diffonde tramite il proprio motore di mass mailing SMTP. Buzus si diffonde copiando se stesso nei dischi rimuovibili e tenta di sottrarre informazioni riservate dal computer infettato.

Questo tipo di trojan si configura, modificando il registro, per essere eseguito in modo automatico all'avvio del sistema. I malware che vengono attualmente diffusi sono anche quelli che mostrano le diciture “Thank you from Google!” e “Shipping update for your Amazon.com order 254-71546325-658732” e che hanno in allegato attachment generalmente nominati Invitation Card.zip, Postcard.zip, Shipping documents.zip o CV-20100120-112.zip.

Nel momento stesso in cui il malcapitato apre tali file, il sistema viene immediatamente infettato e il malware si attiva subito per tentare di infettare altri sistemi nel network inviando la stessa mail nociva agli indirizzi raccolti nei sistemi infettati.

Sarà quindi necessario prestare la massima attenzione ai messaggi di posta provenienti anche da persone che conosciamo e se il messaggio risulta "sospetto", non aprire nessun allegato e nessun link in esso contenuto.