Arriva in ritardo questo articolo per impegni personali che mi hanno impedito di aggiornare più frequentemente questo blog.
Si sta diffondendo via MSN un worm con funzioni di IRC backdoor. Il messaggio con cui può arrivare può essere uno dei seguenti:
* Here are my very secret pictures for you.
* Here are my pictures from my vacation
* hmm is this you on the photo ?
* Check out my pics from my workplace.
* Nice new photos of me and my friends and stuff…
* ahh look this is my greatest picture made on vacation 2007, take a look
* Check out my nice photo album.
* hey regarde les tof de notre bande de fous. :p
* hey c’est toi dans ces tof!!???
* hey regarde les tof, c’est moi et mes copains entrain de….
* j’ai fais pour toi cet album de photos tu dois le voire :p
* stp regarde cet album de photos je lai fais specialement pour toi et mes amis…
* mes photos chaudes
* t’as pas encore vu ces tof???
* hey kijk eens naar mijn nieuwe foto album
* hey bekijk eens mijn nieuwe foto album
* hmm ben jij dit op de foto ?
* hey kijk ! dit is een lijst van mijn nieuwste fotos !!
* ahh kijk mijn mooiste foto album van vakantie 2007 bekijk ze eens :p
* kijk dit zijn fotos van mij werkplek!
* hmm ben jij dit op de foto ?
* meine heißen ¯en Fotos ! :p
* le mie foto calde :p
* mis fotos calientes
* mi fotografìas :p
* Mi amigo tom
* las fotos agradables de mí :p
* mis fotos calientes
* el lol mi hermana quisiera que le enviara este álbum de foto
Il messaggio arriva insieme al file myalbum2007.zip. Una volta accettato il trasferimento e decompresso il file, l’eseguibile si chiama photo album-2007.scr che, eseguito, copia il malware sysprinters.dll sotto la directory di sistema di Windows (C:\WINDOWS\system32\). myalbum2007.zip viene copiato sotto la directory principale di Windows.
Sia photo album-2007.scr che sysprinters.dll sono riconosciuti da Prevx come Backdoor.IRCBot.gen. La dll, caricata all’avvio come CLSID e invocata da
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
ha funzioni di backdoor, si connette ad un server IRC remoto e rimane in attesa di comandi.
Per la rimozione è possibile utilizzare Prevx automaticamente o, altrimenti, scaricare The Avenger e inserire come script manuale ciò che è scritto qui sotto:
Files to delete:
%windir%\system32\sysprinters.dll
%windir%\myalbum2007.zip
Ne approfitto per ri-sottolineare la differenza tra le false e-mail che girano spesso come catene di Sant’Antonio e i veri rischi su MSN. Se non é vero che accettare un contatto su MSN implichi l’installazione sul proprio pc di un malware – cosí recitano moltissime fake e-mail (e.g. “non aggiungete xxxxx@hotmail.it perché un virus formatterá la traccia zero del vostro hard disk”) – é peró vero che il reale rischio é il trasferimento di file tra gli utenti.
Se non siete certi della fonte di un possibile trasferimento, nel 99% dei casi non accettate nessun file e, un piccolo trucco che permette di salvaguardarsi dai worm che si autoinviano via msn, chiedete al vostro interlocutore se vi sta inviando un file. Se il vostro amico afferma di non star inviando niente, sebbene a voi sia arrivata la richiesta di un trasferimento, il vostro amico é probabilmente infetto da qualche malware che si diffonde attraverso MSN.
Grazie infinite!
(Metterò questo avvertimento nel mio blog inserendo un link al tuo blog)
se c’è anche la foto di Marco, mi fiondoooooooooo