martedì 12 ottobre 2010

Palevo, il ladro di password che attacca i canali P2P, IM e Facebook


Molti malware, per propagarsi, utilizzano canali di comunicazione quali la messaggistica istantanea, oppure i programmi per la condivisione dei file. Il worm Palevo è uno dei principali rappresentanti di questa famiglia di virus. A differenza di altri virus simili, però, Palevo è in grado di sfruttare anche una vulnerabilità presente nei sistemi operativi Windows che, se non corretta mediante la patch MS08-067 rilasciata da Microsoft, consente di trasformare il pc in un server controllabile da remoto.

Palevo è in grado di propagarsi anche attraverso i contatti Facebook già compromessi. Se invece si utilizzano programmi P2P come eMule, Shareaza, LimeWire e si è già stati infettati, il worm Palevo è in grado di propagarsi aggiungendo del codice malevolo in tutti i file condivisi ed i supporti removibili che verranno collegati ad una porta USB, copiando nella directory principale di ciascuno di essi il file autorun.inf. Sul Web si aggirano diverse varianti del worm Palevo, ma la più pericolosa è quella denominata P2P-Worm.Win32.Palevo.jdb, che è stata capace di infettare, nel giro di poche settimane, decine di migliaia di Pc. Come principale strumento di infezione, questa particolare variante del worm sfrutta i canali di istant messaging, quali Yahoo! Messenger e Windows Live Messenger.

Ciao amico. Mi piace cosi tanto. Dovete vedere questo


Da un computer già infetto, Palevo invia messaggi verso tutti gli amici presenti nella lista contatti. Tali messaggi conterranno un link che, se cliccato, reindirizza l'ignara vittima verso un sito dal quale verrà scaricata una copia del malware. Sia i link presenti nei messaggi,  sia i messaggi stessi sono stati scelti con cura dai virus writer anche per stimolare la curiosità delle loro possibili vittime. Nell'indirizzo presente nel testo del messaggio non si evidenziano palesi minacce, ma il nome del file spesso non è un indirizzo internet http://www.playwinks.com/m69198-0 (939.2,69198,audience wave,0) come i pirati vorrebbero far credere, bensì un collegamento diretto ad un file eseguibile che, se scaricato ed eseguito, scatenerà l'infezione vera e propria del virus.

Ho appena inviato un Bandoo Wink. Per la visualizzazione cliccare su http://www.playwinks.com/m69198-0 (939.2,69198,audience wave,0)


Se invece inavvertitamente viene scaricato ed eseguito questo file, verranno aggiunti nella cartella di sistema di Windows e con attributo nascosto i driver mds.sys e mdt.sys, il file immagine winbrd.ipg e l'eseguibile infocard.exe. L'icona di quest'ultimo, in particolare, potrebbe trarre in inganno un utente non esperto in quanto, per mascherare ulteriormente l'infezione, i virus writer la associano ad un file Word. Per assicurarsi d'essere eseguito ad ogni riavvio del sistema operativo, Palevo aggiunge il valore Firewall Administrating = C:\Windows\infocard.exe nelle chiavi:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
e
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run.

Quindi, per bypassare il firewall di Windows eventualmente attivo nel sistema della vittima e grantirsi, così, il collegamento a Internet, modifica la chiave:

HKLM\SYSTEM \ ControlSet001 \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardPro-file \ AutthorizedApplications \ List.


Il worm Palevo stabilisce, infine, una connessione verso un server IRC su cui rimane in attesa di comandi come quello impartito dai suoi creatori per ordinargli di scaricare o eseguire file infetti e inviare messaggi a contatti presenti nella lista del programma di messaggistica istantanea predefinito all'insaputa dell'utente. Il worm Palevo, sarà in grado di rubare i dati sensibili, infatti ogni password o informazione personale trasmessa sul Web utilizzando il browser predefinito di navigazione, verrà memorizzata ed inviata, da remoto, ai cybercriminali. 

Tutte le operazioni bancarie on-line, gli username e le password utilizzate per l'autenticazione a siti, per la compilazione di un forum o per l'accesso ai social network sono dunque a rischio. BitDefender ha ideato e distribuito un nuovo strumento gratuito di rimozione creato da recente dai suoi laboratori di sicurezza MalwareCity.com, in grado di rimuovere l'ultima variante del worm Palevo. Il tool è consigliato a chi usa Skype, Yahoo! Messenger o AIM e Facebook, visto che il worm si diffonde proprio attraverso queste piattaforme.

Nessun commento:

Posta un commento