IRCBot si diffonde rapidamente su MSN

L’ultimo articolo tecnico scritto riguardava un IRCBot che si stava diffondendo via MSN. In effetti quel malware ha attirato molto l’attenzione, soprattutto per l’alto livello di attività durante questi giorni. Il team alle spalle del malware sta rilasciando nuove varianti in maniera rapidissima, cambiando server IRC ogni volta. È il caso di fare un sunto delle varianti conosciute.

Il malware arriva attraverso MSN con uno dei seguenti messaggi:

  • Regarde les tof de mes vacances en tunisie loool
  • Mira cómo Paris Hilton es perdida después de ser encarcelada :(
  • Guarda come Paris Hilton sprecato è, dopo che era imprijonata :(
  • Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
  • kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
  • Kolla hur förstörd Paris Hilton är, efter att hon fängslades :(
  • bak sana Paris Hilton ne hale gelmis hapiste :(
  • Lede hvor spild Paris Hilton er efter hun fik fængsel :(
  • Veja como Paris Hilton está acabada depois de ter sido presa :(
  • guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist :(
  • Hey please look at me and my pet .. :p
  • Toi et moi !!! …. regarde :p
  • Usted e yo !!! …. Mira :p
  • Tu ed io !!! …. guarda :p
  • Jij en Ik !!!! …. kijk :p
  • NI HE WO !!! …. QING KAN :p
  • Du och jag !! …. Kolla ;)
  • Sen ve Ben !!! …. BAK :p
  • Jer og Mig !!! … se :p
  • Você e eu !!!! …. Veja :p
  • du und ich !!! ….guck :p
  • Looking for hot summer pictures ? well here they are !! (h)
  • hey stp regarde mes tof !
  • Mira mis fotos jejeje :p
  • Guardi le mie foto hihi :p
  • Kijk eens naar mijn fotos hihi :p
  • KAN WO DE ZHAOPIAN :p
  • Kolla på min bilder, hihi :p
  • Baksana benim fotograflara hihi :p
  • Se på min fotos :p
  • Veja as minhas fotos hehehe :p
  • siehe meine fotos hihi :p
  • Look at me and my volleyball team, working our asses offff (h)
  • Hey s’il te plait accepte mes photos :o !!
  • Ha aceptado mis fotos por favor :o !!
  • Mairee photos accept karo :o !!
  • HEY !! accepteer mn fotos dan !
  • JIESHOU WO DE ZHAO PIAN :o !!
  • Hey, acceptera mina bilder, snälla :o
  • Hey benim fotolarimi kabul et :o !!
  • Hej behage optage min foto :o !!
  • Por favor aceite as minhas fotos :o !!
  • hey bitte nimm meine fotos an :o !!
  • Hey please look at me and my pet .. :p
  • Une tof de moi et …:$ !!
  • Una foto con mi mejor amigo e yo :$ !!
  • Una foto con me ed il mio amico migliore :$ !!
  • met mijn beste vriend op de foto !! :$
  • YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
  • En bild på mig och min bästa vän :$ !!!
  • Iyi arkadasimla fotorafdayim :$ !!
  • EN foto hos mig og min bedst ven :$ !!
  • Uma foto com o meu melhor amigo e eu :$ !!
  • ein foto mit meinem besten freund und mir :$ !!
  • Psssssst …. just between me and you, please accept :$
  • Une tof de moi et …:$ !!
  • Esta soy yo totalmente desnuda :o por favor no envía para nadie
  • Questa e me totaly nudo :o prego non trasmette a chiunque
  • Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
  • ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
  • Detta är jag HELT naken.. :o Skicka inte till någon annan, snälla…
  • benim bu ciplak fotoda :o ama baskasina yollama
  • denne er mig hele bar behage vage vendlig og sende den ikk til nogle :o
  • Esta sou eu totalmente nua :o por favor não mande isso pra ninguém’
  • das bin ich total nackt :o bitte sende es niemand anderem
  • This is me totaly naked :o please dont send to anyone else
  • hihi kijk eens naar mijn geile fotos :$
  • hihi look at my horny pictures :$
  • salut! accept mes tofs! (H)
  • ey alles goed ? accepteer het !! (H
  • Sen ve Ben !!! …. BAK :p
  • Jer og Mig !!! … se :p
  • Você e eu !!!! …. Veja :p
  • hi howdy ? accept it !! (H)
  • T’as pas vu mes tof d’été ?? (B)(D)
  • look at my great summer pictures (B)(D)
  • hey je viens de trouvé tes tof sur net :S
  • ik hou van je, daarom stuur ik je dit !!! :o
  • i love u thats why i send this !!! :o
  • oh mon dieux regarde ca!!
  • oh my god kijk eens naar die foto :o wowwww
  • oh my god look at this picture :o wowwww
  • c moi entrain du boire jus!!
  • C’est moi totalement nu :o s’il te plait ne l’envoie a personne d’autre
  • this is me drinking some juice !!

Il file può chiamarsi:

  • pictures[numbers]
  • photo_album[numbers]
  • photos2007_[numbers]
  • images[numbers]
  • images0[numbers]
  • photo[numbers]
  • photos0[numbers]
  • album[numbers]
  • itsME[numbers]
  • webcam-photos0[numbers]
  • summer[numbers]

Il file è compresso con NTKrnl packer.

Una volta eseguito, può copiarsi all’interno della directory di sistema di Windows come:

  • msninet.exe
  • msn.exe
  • intlprinters.exe
  • printers.exe

E può creare una dll, vettore principale di infezione, all’interno della directory di sistema di Windows con uno dei seguenti nomi:

  • sysprinters.dll
  • libhelps.dll
  • libmsns.dll
  • libcintle2.dll
  • libcintles3.dll
  • notiffy.dll
  • sysrcvr2.dll
  • sysrcvr246.dll

La DLL viene registrata come CLSID con un valore casuale ed è caricata attraverso il registro alla seguente chiave:

hklm\software\microsoft\windows\currentversion\shellserviceobjectdelayload\

dove il CLSID creato dal malware viene caricato aggiungendo uno dei seguenti valori:

  • printers
  • drivers
  • system32
  • syshelps

La libreria dinamica è responsabile per la diffusione via MSN e può connettersi ad un server IRC remoto dal quale un attacker può comandare il PC. I server IRC già visti sono:

  • www.free4people.net
  • john.free4people.net
  • www.onlinesciencexxx.com
  • games.onlinesciencexxx.com
  • https.easypwn.com

Il malware è riconosciuto da Prevx come Backdoor.IRCBot.gen ed è totalmente rimosso dal prodotto. Osservando la rapidità con la quale il team che è dietro al malware sta rilasciando nuove varianti, è facile aspettarsi nuove varianti del malware nel corso di questa settimana e durante la prossima. Il consiglio per la settimana è dunque quello di conoscere bene e verificare ciò che si sta accettando via MSN se qualche utente tenta di inviarci un file.

Prevx blog

Scritto il 8 Agosto 2007


2 Responses to “IRCBot si diffonde rapidamente su MSN”


  1. / - ThE_RaV[3]N - \
    Gennaio 15th, 2008 at 01:39

    Ciao marco, confermo tutto quello che hai detto. Ora una variante si presenta come download di una emoticon dal facebook. In realtà ti viene scaricato un certo dan.com che insedia un malware un po stupido, ma che però senza l’ausilio di prevx ricorre molte prove e ricerche per essere rimosso.

    Invito tutti gli utenti a fare contro informazione e a cercare di tutelarsi nel caso ricevano messaggi dai loro contatti.


  2. / - ThE_RaV[3]N - \
    Gennaio 15th, 2008 at 01:41

    Dimenticavo…..il messaggio che vi invita a scaricare il malware si presenta solitamente cosi:

    Emoticon con il tuo volto http://members.lycos.co.uk/facebookbeautifuls/?=the.rav3n@hotmail.it

Lascia un commento

« Problemi ai vertici di Kaspersky?
Next: Ritorno al lavoro (e disagi vari) »