giovedì 24 febbraio 2011

Falsa app java si presenta come plugin YouTube ma installa malware


I siti di condivisione video sono la destinazione finale per il cercatore di intrattenimento, ma sono anche il luogo preferito dei cybercriminali. Le cose possono andare davvero male quando il vostro sito favorito di condivisione video impostato risulta essere un clone che su insistenza chiede di installare un'applicazione supplementare o codec. La maggior parte dei malware tenta di nascondere la sua presenza sui computer degli utenti e funzione senza che gli utenti ne siano a conoscenza, soprattutto le tipologie più sofisticate. Le frodi in rete, tuttavia, richiedeno la partecipazione degli utenti. Per evitare che gli utenti siano vittime di varie truffe sul web, è molto importante che l'utente riesca a riconoscerle. E la truffa di oggi si basa su una falsa pagina di YouTube - una copia piuttosto meticolosa dell'originale - che nasconde delle brutte sorprese nella manica. Una volta che la vittima atterra sulla pagina bluff , una finestra di applicazione Java senza firme chiede all'utente di eseguirla in modo da poter vedere il video. Questo è un classico trucco nel quale non bisogna cadere. L'ultima volta che abbiamo effettuato un controllo, la maggior parte dei siti di condivisione video hanno bisogno piuttosto del plugin di Adobe ® Flash ® per riprodurre i video, e non di Java .


Una volta che l'utente cade nella trappola e premendo il pulsante Run, un pezzo di codice maligno [identificato da BitDefender ® come Trojan . Generic.KDV.128306] sarà immediatamente scaricato sul sistema della vittima e copiato nella cartella temporanea come services.exe in ordine per accedere a Internet. Questo Trojan.Generic.KDV.128306 inizia immediatamente la comunicazione con il suo centro di comando e controllo di accesso in un determinato canale IRC utilizzando un nickname composto dopo la seguente struttura: [%% Lingua] [%% del sistema operativo] nrRandom%%, registrandolo con il nome utente del Virus e il "vero nome": My_Name_iS_PIG_and_Iam_A_GaY% RandomNumber%. Avendo così la sua identità seriale, il Trojan effettuerà l'accesso al canale con il comando JOIN: # # Turb0-XXX # #, in cui un bot-master darà ulteriori istruzioni su cosa fare sul PC infetto. Le istruzioni supportate permettono di scaricare file particolari, salvarli sotto nomi e, naturalmente, li esegue.

Il file che porta il Trojan sul computer infetto ha varie "capacità" malighe:
  • micro1.exe è in grado di inviare messaggi tramite la chat di Facebook ® box quando l'utente è connesso alla rete sociale, ma è anche in grado di accedere alle conversazioni chat dal popolare client di messaggistica istantanea come Pidgin, MSN ®, Yahoo ® e MSN ®.
  • fsaf24.exe dispone di funzionalità DDoS, che contiene anche il codice necessario per consentire il pezzo di malware per diffondersi attraverso memory stick.
  • afasfa4.exe è in grado di reindirizzare le query di ricerca effettuata su Google e Bing ™ ™ realizzate attraverso il browser più importanti come Firefox ®, Internet Explorer ® e Chrome ®.
E qualcosa che è particolarmente interessante è il fatto che esso utilizza la stessa pianificazione exploit, tecnicamente nota come CVE-2010-3338. Questa è una delle tante vulnerabilità utilizzate dal famigerato worm Stuxnet per elevare il proprio codice ed eseguire come amministratore sui sistemi protetti con UAC (Controllo Account Utente), un sistema di sicurezza avanzata comparso per la prima volta su Vista che impedisce modifiche non autorizzate negli account non amministratori. La sua discutibile utilità è sostanzialmente quella di impedire a software dannosi di eseguire operazioni all’insaputa dell’utente. Questo articolo si basa sulle informazioni tecniche fornite da Răzvan Benchea, BitDefender Virus Analyst. Ulteriori informazioni su http://www.malwarecity.com/.

Nessun commento:

Posta un commento