WGA: la protezione anti pirateria in veste cattiva

June 30th, 2006 by Marco Leave a reply »

Ho ricevuto ora un sample di una nuova backdoor che si sta diffondendo in queste ore.
Da una rapida scansione non sono moltissimi i software antivirus che la riconoscono – Symantec e McAfee per esempio non la vedono.

Questo nuovo IRC Bot si spaccia per il nuovo software di controllo antipirateria di Microsoft e si installa nella directory di sistema di Windows (C:\Windows\system32\wgavn.exe).

Parte all’avvio come servizio e inietta il proprio codice all’interno di explorer.exe. Inoltre disabilita il firewall di windows e si connette ad un server irc remoto in attesa di comandi (accetta comandi quali attacchi ddos o scan). Attualmente solo Nod32, BitDefender, Panda e F-Prot, tra i grandi, lo riconoscono per mezzo dell’euristica.

Prevx identifica e rimuove il malware :)

-------------

Post correlati:

  1. Nasce il servizio anti-phishing di PC Al Sicuro
  2. Trojan.DRMLive abusa della protezione DRM

Posted in Sicurezza

You can follow any responses to this entry through the RSS 2.0 Feed. You can leave a response , or trackback from your own site.

Advertisement

4 comments

Add your comment
  1. nV 25 says:
    30 June 2006 at 10:16

    mi piacerebbe vedere come si comporta il PDM del Kav…
    Non hai mica la possibilità di sottoporglielo?

  2. Lucass says:
    30 June 2006 at 14:08

    Lo blocca subito appena crea il nuovo servizio, male che va lo blocca mentre tenta di iniettarsi in altri processi,ma prima o poi lo blocca:)

Leave a Reply