WGA: la protezione anti pirateria in veste cattiva

Ho ricevuto ora un sample di una nuova backdoor che si sta diffondendo in queste ore.
Da una rapida scansione non sono moltissimi i software antivirus che la riconoscono - Symantec e McAfee per esempio non la vedono.

Questo nuovo IRC Bot si spaccia per il nuovo software di controllo antipirateria di Microsoft e si installa nella directory di sistema di Windows (C:\Windows\system32\wgavn.exe).

Parte all’avvio come servizio e inietta il proprio codice all’interno di explorer.exe. Inoltre disabilita il firewall di windows e si connette ad un server irc remoto in attesa di comandi (accetta comandi quali attacchi ddos o scan). Attualmente solo Nod32, BitDefender, Panda e F-Prot, tra i grandi, lo riconoscono per mezzo dell’euristica.

Prevx identifica e rimuove il malware :)


4 Responses to “WGA: la protezione anti pirateria in veste cattiva”

  1. mi piacerebbe vedere come si comporta il PDM del Kav…
    Non hai mica la possibilità di sottoporglielo?

  2. Lo blocca subito appena crea il nuovo servizio, male che va lo blocca mentre tenta di iniettarsi in altri processi,ma prima o poi lo blocca:)

  3. […] Per i più disattenti, esistono alcune utili toolbar per i più noti browser capaci di intercettare i casi di phishing. Netcraft mette a disposizione l’Anti-Phishing Toolbar, compatibile con Internet Explorer e Mozilla Firefox. Inoltre, tutti i browser hanno già nel proprio piano di sviluppo, l’integrazione di nuovi tool per la prevenzione di casi di phishing. Tra tutti si ricorda Internet Explorer 7 con la nuova funzionalità Antiphishing, Mozilla Firefox 2 con lo scudo antiphishing, Netscape 8.1 con la blacklist aggiornata costantemente e Opera 9 con l’utilizzo di certificati. […]

  4. […] Per i più disattenti, esistono alcune utili toolbar per i più noti browser capaci di intercettare i casi di phishing. Netcraft mette a disposizione l’Anti-Phishing Toolbar, compatibile con Internet Explorer e Mozilla Firefox. Inoltre, tutti i browser hanno già nel proprio piano di sviluppo, l’integrazione di nuovi tool per la prevenzione di casi di phishing. Tra tutti si ricorda Internet Explorer 7 con la nuova funzionalità Antiphishing, Mozilla Firefox 2 con lo scudo antiphishing, Netscape 8.1 con la blacklist aggiornata costantemente e Opera 9 con l’utilizzo di certificati. […]

Lascia un commento