Il componente che si occupa di caricare il rootkit, utilizza una tecnica standard per la diffusione su supporti rimovibili: crea un file autorun.inf e file lnk, che indicano a rundll32.exe i parametri da caricare ed esegue una DLL appartenente al rootkit. Ma se è in esecuzione sulla macchina collegata a una rete locale, controlla se un server DHCP viene utilizzato sulla rete. Si analizzano quindi gli indirizzi disponibili su quella rete e lancia un proprio server DHCP. Quando un'altra macchina sulla LAN fa una richiesta DHCP, tenta di rispondere prima del server DHCP legittimo, invia un indirizzo IP dal pool di indirizzi precedentemente raccolti, l'indirizzo del gateway come configurato sul sistema infettato e, per i DNS, l'indirizzo IP di server configurati maliziosamente dai DNS criminali. Se ha successo, quando l'utente della macchina DHCP tenta di richiedere l'utilizzazione della rete, viene reindirizzato a una pagina Web su un server "maligno" che dice loro che hanno bisogno di aggiornare il loro browser. L'aggiornamento del browser è un malware. Dopo che la macchina è stata infettata, le impostazioni DNS vengono reimpostate a un servizio DNS di Google. Il caricatore è stato nominato TDSS Net-Worm.Win32.Rorpian e ha due metodi di propagazione:
- Via media rimovibili
- Tramite una LAN
- Un indirizzo IP dal pool di indirizzi IP disponibili
- L'ingresso principale specificato nel computer infetto
- L'indirizzo del server DNS maligno appartenente al cybercriminale. Dopo queste manipolazioni, ogni volta che l'utente tenta di visitare una qualsiasi pagina web, sarà reindirizzato al server "maligno" e chiesto di aggiornare il proprio browser web.
![]() |
Frammento di codice Net-Worm.Win32.Rorpian che funziona con il protocollo DHCP |
![]() |
Screenshot del sito "maligno" da cui il worm si propaga |
Così il worm Net-Worm.Win32.Rorpian funge da caricatore per TDSS, uno dei programmi maligni più avanzati e sofisticati in giro. Il worm sfrutta l'indiscrezione degli utenti - la vulnerabilità più pericolosa di tutte. La tecnica del dirottamento del DNS tramite DHCP non è nuova: nel 2008, una variante del DNSChanger è stata avvistata fingendo di essere un server DHCP e sfruttando non solo le vulnerabilità del server DHCP. Il nostro consiglio è quello di tenere costantemente aggiornato il vostro software antivirus ed effettuare gli update del vostro browser attraverso il loro sistema automatico di aggiornamento o dal sito ufficiale del produttore. Il rootkit TDSS, TDL3 o Alureon [Microsoft] è un malware progettato per nascondere l'esistenza di un processo sul computer infetto per eseguire azioni dannose e pericolose. TDSS, come abbiamo visto, può anche sostituire file eseguibili essenziali del sistema, che possono poi essere utilizzati per nascondere processi e dei file installati dagli aggressori. Rootkit.TDSS viene installato senza il permesso dell'utente attraverso l'utilizzo di trojan virus, mentre il virus trojan possono scaricare e installare ulteriori malware, adware o spyware applicazioni rogue antivirus. Un tool di rimozione è disponibile a questa pagina.
Foto: http://www.securelist.com/
Nessun commento:
Posta un commento