Gli auguri di buon anno dai buoni e dai cattivi

Sono giorni che PC Al Sicuro non viene aggiornato. Purtroppo gli impegni lavorativi mi hanno impedito di aggiungere nuove notizie, sebbene possiate trovare miei nuovi post nel blog di Prevx.

Siamo arrivati alla fine dell’anno, e come era lecito pensare, il team che è alle spalle di del worm Storm si è rifatto vivo. Dal 23 Dicembre sono stati aperti infatti numerosi domini direttamente collegati al worm, nei quali è possibile scaricare il malware sottoforma di cartoline di auguri, prima per Natale e poi per il nuovo anno.

La particolarità del rilascio di questo malware sta nel fatto che gli autori hanno pensato di utilizzare tecniche in classico stile polimorfico per evitarne la semplice individuazione da parte delle società di antivirus. In altre parole il malware muta, ricompresso direttamente dai server, in un lasso di tempo di pochi minuti, garantendo così una sorta di “unicità” del sample ad ogni download.

I domini tutt’ora aperti sono i seguenti:

merrychristmasdude.com

uhavepostcard.com

happycards2008.com

newyearcards2008.com

newyearwithlove.com

freshcards2008.com

familypostcards2008.com

hellosanta2008.com

happysantacards.com

I siti vengono tutt’ora tenuti online grazie ad una tecnica di gestione dei DNS denominata Fast Flux.

È chiaro che l’obiettivo, inizialmente il Natale, è stato poi spostato verso il nuovo anno, visti i cambi di nome dell’eseguibile del malware da stripshow.exe, happy2008.exe, happy-2008.exe, happynewyear2008.exe, happy_2008.exe.

Le e-mail che arrivano utilizzano per la maggior parte una di queste frasi come oggetto dell’e-mail o testo, anche combinate insieme e recanti il link ad uno dei siti web sopra elencati:

Happy New Year To You!

Wishes for the new year

Opportunities for the new year

New Year Postcard

New Year Ecard

New Year wishes for you

Happy New Year To You!

Message for new year

Blasting new year

As you embrace another new year

It’s the new Year

As the new year…

Happy 2008 To You!

Joyous new year

Lots of greetings on new year

A fresh new year

Questa nuova ondata del worm Storm - nuova perché quest’anno è stato tempestato di ondate simili da parte dello stesso malware - ha visto il rilascio di differenti varianti in pochi giorni con centinaia di sottovarianti polimorfiche per ognuna di queste.

Questa ondata, che tutt’ora sta andando avanti, si può sostanzialmente dividere in due macro periodi: il primo, in cui il worm ha utilizzato tecniche di infezione standard, e la seconda in cui ha fatto uso - come solito del team - di un rootkit per infettare e nascondere i file.

Prendo come esempio la release utilizzante il rootkit, poiché più interessante. Una volta eseguito il file iniziale, verrà creato un nuovo servizio di sistema e un driver sotto la directory di sistema di Windows, il cui nome può avere come prefisso una di queste strighe:

init

clean

bldy

ortyeras

kalleny

kirjtkkd

Il driver prende il controllo delle seguenti API native di Windows: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile. Lo scopo è ovviamente quello di nascondere le chiavi di registro e i file facenti parte dell’infezione.

Come effetto secondario, il rootkit nasconderà qualsiasi file contenga una delle stringhe sopra elencate all’interno del proprio nome.

Il rootkit successivamente inietta del codice all’interno del processo services.exe. Il codice iniettato si prende cura di catturare gli indirizzi e-mail dai file aventi le seguenti estensioni:

.adb

.asp

.cfg

.cgi

.dat

.dbx

.dhtm

.eml

.htm

.jsp

.lst

.mbx

.mdx

.mht

.mmf

.msg

.nch

.ods

.oft

.php

.pl

.sht

.shtm

.stm

.tbb

.txt

.uin

.wab

.wsh

.xls

.xml

La routine di spam eviterà di invare e-mail agli indirizzi di posta elettronica contenenti una di queste stringhe:

@avp.

@foo

@iana

@messagelab

@microsoft

abuse

admin

anyone@

bsd

bugs@

cafee

certific

contract@

feste

free-av

f-secur

gold-certs@

google

help@

icrosoft

info@

kasp

linux

listserv

local

news

nobody@

noone@

noreply

ntivi

panda

pgp

postmaster@

rating@

root@

samples

sopho

spam

support

unix

update

winrar

winzip

Il payload comprende l’apertura random di una porta UDP in modo tale che il PC infetto entri a far parte della grande botnet creata dal worm. La porta aperta viene riportata in un file denominato [prefisso].config all’interno della directory di sistema di Windows - ove [prefisso] è uno dei prefissi sopra elencati.

Prevx riconosce al momento tutte le varianti polimorfiche del worm come Stormy:Worm-All Variants e Prevx CSI, tool per controllare in maniera del tutto gratuita la presenza di infezioni all’interno del PC, individua inoltre il rootkit attivo nel sistema.

Sebbene l’attacco sembra stia lentamente scemando, raccomandiamo di porre la massima attenzione a strane e-mail che invitano al download di cartoline di auguri virtuali, soprattutto se scritte in lingua inglese.

PC Al Sicuro, invece, vuole augurare a tutti - non come i falsi auguri del worm Storm - un felice anno nuovo, che sia ricco di felicità e di successo per tutti.

23 Responses to “Gli auguri di buon anno dai buoni e dai cattivi”

salveBuonAnno
Gennaio 1st, 2008 at 16:01

ma perchè nessuno fa qualcosa per chiudere questi domini appena si scopre che diffondono malware?
perchè si continuano a sfornare nuove definizioni di virus, quando basterebbe far chiudere questi siti?
perchè nessuna persona viene arrestato dalla polizia?
c’è forse qualche interesse da parte dei produttori di antivirus in tutto ciò?
TNT
Gennaio 2nd, 2008 at 17:10

salveBuonAnno: forse non t’e’ chiaro che la polizia, i governi, e i produttori di antivirus non sono le stesse persone.
cheyenne
Gennaio 3rd, 2008 at 01:35

ed, inoltre, che il problema del Cybercrime è sovranazionale, quindi ci vuole una task force internazionale ……
http://www.itworldcanada.com/a/News/9a2cd912-cea4-4bec-b5ac-e9f62056b846.html
Sbronzo di Riace
Gennaio 3rd, 2008 at 17:38

comunque una certa inerzia nel combattere il fenomeno c’è
TNT
Gennaio 3rd, 2008 at 17:43

Sbronzo: beh, c’e’ molto piu’ che inerzia da parte di molti Paesi (se non tutti) e delle loro forze dell’ordine. Ma non vedo cosa c’entri cio’ con i produttori di antivirus, che non hanno certo il potere politico per poter far chiudere i siti.
fannannonne
Gennaio 3rd, 2008 at 18:23

@TNT
a produrre i virus sono gli stessi produttori di antivirus.
Se non ci fossero i nuovi virus, non ci sarebbero gli antivirus e queste società fallirebbero miserabilmente.
fannannonne
Gennaio 3rd, 2008 at 18:28

tornando in tema, è compito di chi scopre i virus fare di tutto per segnalarli alle autorità competenti ovvero agli internet provider competenti e ai registrant di quei siti. A scoprire i virus sono i produttori di antivirus, e invece che far chiudere i siti, si limitano sono a produrre firme virali, tanto per dire che se non hai comprato il nostro antivirus sei in pericolo. Le società produttrici di antivirus godono nel vedere che ci sono siti che diffondono i virus!
fannannonne
Gennaio 3rd, 2008 at 18:30

non è nemmeno da escludere il fatto che sono le stesse società di antivirus che ogni tot vendite, si riservano parte del guadagno per comprare periodicamente nuovi domini che ospitano virus. Altrimenti come pensi che possa andare avanti la loro baracca?
TNT
Gennaio 3rd, 2008 at 18:39

fannannonne: ma per favore…
TNT
Gennaio 3rd, 2008 at 18:41

fannannonne, spero che la tua sia una battuta… altrimenti ti consiglio davvero di farti vedere da uno psichiatra, ma di quelli bravi.
Marco
Gennaio 3rd, 2008 at 19:25

@TNT: fannannonne, salveBuonAnno, MaschionedelSud e non mi ricordo al momento quanti altri nick, sono tutti la stessa persona
TNT
Gennaio 3rd, 2008 at 19:36

Marco: ah, ecco.

Ma io mi chiedo perche’ certa gente debba parlare senza sapere assolutamente niente…
fannannonne
Gennaio 3rd, 2008 at 21:23

Marco, come esperto di sicurezza non vali niente!
maverick
Gennaio 3rd, 2008 at 21:24

Si hanno ragione! i virus li scrivono TNT e marco.
Io ho le prove,sono testimone oculare. Attenzione che vi tengo d’occhio

Scherzi a parte Buon Anno

@TNT ma quegli infamoni (atrivo/intercage) vedo che continuano a fare quello che vogliono. Ma come cavolo è possibile?
In Uk mi pare che si stiano muovendo parecchio per contrastare la cybercriminalita’. Ma negli USA?
fannannonne
Gennaio 3rd, 2008 at 21:25

TNT e Marco siete solo dei leccaculo
maverick
Gennaio 3rd, 2008 at 21:47

Marco pero’ non censurare dai. Fannannonne non ti ha insultato.
Sii democratico
Marco
Gennaio 3rd, 2008 at 21:50

Erano finiti entrambi nella lista moderazione, il primo mi era stato segnalato mentre il secondo direttamente.

Eccoli là
maverick
Gennaio 3rd, 2008 at 21:50

Vabbe’ come non detto
M’ha smentito subito
elegolosona
Gennaio 3rd, 2008 at 22:07

posso dire una cosa?!non c ho capito niente, xò TU marcolino caro, come sempre succede dubitavi di me e credevi, come sempre, che io sia la solita sproveduta che appena trovo un esca ci cado subito!ecco perchè mi hai chiesto se avevo ricevuto e-mail con gli auguri di natale!ma guarda un pò gli altarini che si scoprono!quando si studia bianco, si vede bianco dappertutto eh!hihih….cmq dai vieni che mi devi aiutà co cicerone…!
TNT
Gennaio 3rd, 2008 at 22:32

Se li scrivono davvero le case antivirus ci si chiede come mai poi siano cosi’ scarse a rilevarli.
Sbronzo di Riace
Gennaio 4th, 2008 at 11:15

ogni casa antivirus scopre i virus che crea lei

In modo da non destare sospetti ne rileva solo una parte

Siamo al complottismo 2.0
maverick
Gennaio 4th, 2008 at 18:44

TNT non mi caga…. bene bene…..
Faccio tutto un conto alla fine
TNT
Gennaio 4th, 2008 at 18:56

Maverick, non so cosa risponderti, non ho molte notizie ultimamente. Sono d’accordo che anche qui si faccia troppo poco…