Kukudro: una nuova macro nata “vecchia”

Stamane, mentre ero all’universitá (sigh, altro esame domani ), mi contatta il mio amico Julio (gestore del servizio Virus Total) e mi chiede di poter buttare un occhio ad uno strano file che, seppure non era identificato da nessuno, sembrava sospetto.

Mi faccio spedire il file e, tornato a casa, comincio a buttarci un occhio: un documento di Word denominato hp_laptops.doc. Cosa avrá mai di strano? Dal codice in effetti aveva alcuni particolari strani.

Lo apro: la schermata é quella di una sorta di “volantino” pubblicitario in cui si elencano le caratteristiche tecniche di un computer (vedi immagine sopra). In effetti qualcosa di strano lo aveva, nascosta una bella macro protetta da password.

Bypasso la password e butto un occhio al codice: semplicissimo codice VBA che inserisce un bel trojan downloader nella directory root di C:\ .

Nel frattempo faccio un pó di ricerche e informo Julio che contemporaneamente mi mette a conoscenza del nome dato al virus da Sophos, la prima a riconoscerlo: WM97/Kukudro-B.

Sembra strano che un virus cosí “vecchio” stile, che utilizza un exploit di Office di parecchi anni fa (MS01-034) non venga ancora riconosciuto. In effetti poi scopro che anche il SANS parla di questo nuovo caso che si sta diffondendo in questi giorni riguardo questo strano documento.

Insomma, sembra incredibile, ma proprio durante il tempo dei rootkit e degli spyware, sembra che qualche virus writer sia rimasto affezionato all’idea delle vecchie macro, ormai in disuso grazie alle nuove tecnologie di sicurezza introdotte da Office 2000 in poi.