IM-Worm:W32/Pykse.A il nuovo malware "scuote" Skype - Ancora gli utenti Skype nel mirino di un nuovo segnalato da F-Secure. Il virus si presenta con un messaggio, trasmesso attraverso la finestra "chat" del client VoIP, che invita a visitare un sito web straniero. Si presenta Ad una prima occhiata il link potrebbe apparire benigno poiché sembra far riferimento ad un file remoto con estensione .jpg. In realtà, sebbene il file scaricato raffiguri in effetti una giovane donna in abiti molto succinti, il worm provvede a scaricare anche il suo codice nocivo vero e proprio. Facendo leva, poi, sulle API di Skype, il malware provvede a spedirsi a tutti i contatti presenti nella "rubrica" del client VoIP. Lo stato dell'utente viene inoltre posto sulla modalità DND ("Do Not Disturb") in modo da prevenire l'arrivo di eventuali notifiche che potrebbero insospettire l'utente vittima. Sul sito di F-Secure è possibile visionare un'immagine che mostra un esempio di reindirizzamento che viene effettuato a partire dall'indirizzo visualizzato nel messaggio proposto inizialmente all'utente verso il codice malware vero e proprio. (F-Secure)

Questo codice maligno è progettato per rubare ogni tipo di password. In più, ha una caratteristica molto pericolosa: la capacità di raccogliere le informazioni archiviate nella funzione di autocompletamento dei browser Internet usati sul PC. Semplicemente digitando uno o due caratteri degli username o delle password, questa funzione completa automaticamente l’inserimento nei form per l’accesso ai servizi Internet più utilizzati dall’utente. Per fare questo il Trojan apre un’entrata nel Registro di Windows dove questi dati sono memorizzati. Sebbene criptati, esistono applicazioni progettate per decifrarli. Inoltre, Therat.B ha una funzione di keylogger. Questo significa che registra le informazioni inserite dall’utente tramite la tastiera, che possono contenere dati interessanti per un cyber criminale: username, password, numeri di conto corrente bancario o di carta di credito, PIN, etc.. Una volta installato sul computer, il Trojan crea numerosi file nella directory di sistema di Windows, tra cui SOCKETIME.EXE, che è una copia del virus, e 32THERAT.LOG, nel quale vengono immagazzinate le informazioni rubate. I dati vengono poi inviati al cyber criminale ad un indirizzo e-mail predeterminato. Therat.B modifica anche un’entrata nel registro di Windows al fine di assicurarsi il suo funzionamento ogni volta che il computer viene riavviato. Il Trojan non è progettato per trasmettere dati con mezzi propri, perciò necessita dell’intervento di un utente malintenzionato. Quindi, si può trovare in ogni tipo di messaggio e-mail, download di file da Internet o dai network P2P, etc. Per chi volesse analizzare il proprio PC è disponibile la soluzione gratuita online di Panda Software, TotalScan (http://www.pandasoftware.com/totalscan) o la versione beta di NanoScan (http:/www.nanoscan.com), lo scanner online che rileva il malware attivo in meno di un minuto. [Fonte Pandasoftware]

Tramite Skype si sta diffondendo un trojan potenzialmente pericoloso, denominato Warezov (oppure Stration). Il virus non attacca direttamente il software Skype, ma si diffonde attraverso le chat dell'instant messenger, tramite il sistema di indirizzare l'utente a una pagina web contenente il file infetto. Successivamente il virus si propagherà sui Pc di amici e colleghi nei contatti di Skype. Se dovesse apparire in una finestra il messaggio "Check up this" seguito da un link, non bisogna seguire l'indicazione, altrimenti si scaricherebbe uno dei seguenti file nocivi: file_01.exe, gdi32.exe, ndis.exe e sk.exe. Il virus è noto con diversi nomi a seconda del produttore di antivirus. PerAntivirus: W32/Stration.CX@mm; ESET (NOD32): Win32/Stration.KG; Symantec: W32.Stration.DB@mm; Trend Micro: WORM_STRAT.DV o WORM_STRAT.DU; ClamAV: I-Worm.Warezov.df; Kaspersky (viruslist.com): Email-Worm.Win32.Warezov.dc; altri: Win32/Stration.gen!dl. [Fonte Zeus news]

Trendi Micro segnala il ritorno di Looked, con una nuova variante PE_LOOKED.RI-O, file virus che lo scorso anno è stato protagonistadi una divulgazione notevole di Spyware che rubavano informazioni. La nuova variante funziona esattamente come la quella dei malware il codice maligno, una volta arrivato sul sistema via download o e-mail e mandato in esecuzione, si assicura prima di tutto l'esecuzione ad ogni avvio, copiando una replica del proprio codice nella posizione %Windows%\uninstall\RUNDL132.EXE e creando la seguente chiave di registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
load = "%Windows%\uninstall\RUNDL132.EXE"
In più viene rilasciato il componente %Windows%\RichDll.DLL, responsabile per le routine di propagazione via risorse condivise nel network di appartenenza. Una volta preso il possesso della macchina, LOOKED.RI-O cerca file eseguibili con estensione .exe su tutti i drive esistenti nell'intervallo di volumi C: - Z:, e prova appunto a propagarsi in rete usando i nomi utente administrator e guest con password vuota. In aggiunta, il virus prova a terminare i processi appartenenti al software Kingsoft Antivirus Service, e a connettersi a diversi indirizzi per scaricare nuovo malware.
Symantec segnala invece un trojan che prende di mira i file multimediali dell'utente e un rootkit capace di camuffarsi tra i codici maligni in the wild. Trojan.Killwma è un cavallo di troia che volta eseguito non resiede in memoria, ma infetta creando un'operazione pianificata per venire lanciato ogni 5 minuti. Nello stesso istante dell'esecuzione scatta il payload, e il malware cerca all'interno di tutte le cartelle dei dischi locali i file in formato WMA, cancellandone l'header e rendendoli di fatto inutilizzabili.
Hacktool.Unreal.A risulta il meno pericoloso stando alle informazioni pubblicate della Symantec l'agente infettivo è identificato in un proof of concept creato per nascondere la propria presenza alle attuali tecniche anti-rootkit impiegate dai software di sicurezza. Una volta in esecuzione, Unreal.A si installa come servizio all'interno dell'ADS (Alternate Data Stream) C:\:unreal.sys, impossibile da individuare da Esplora Risorse e, pare, anche con programmi specifici per rootkit. Il rootkit crea inoltre le seguenti sottochiavi di registro associate al servizio:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Unreal]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UNREAL]

Segnalazione di un pericolosissimo trojan che sta invadendo la rete, nome colloquiale "Storm Worm" alias : Trojan.Downloader-647, Trojan.DL.Tibs.Gen!Pac13, W32/Small.DAM. Il riferimento è al recente ciclone/uragano che ha colpito l´europa e che ha in allegato nella mail una serie di file *.exe che installano il trojan. Storm Worm è un trojan che giunge in forma di allegato ad una e-mail ed è in grado di installarsi sul sistema dell'utente e nascondersi dall'individuazione eseguendo un rootkit. Il trojan può essere utilizzato dall'aggressore per eseguire e installare diversi altri tipi di malware. Altri malware possono essere utilizzati per eseguire azioni nocive sul computer dell'utente o per ricevere informazioni confidenziali contenute nel computer, come credenziali di login o dati finanziari. Il Worm è stato segnato con la sigla CME-711 dal progetto Common Malware.

TrojanClicker.Small.KJ e ADSL in Italia - Un'infezione indicata come TrojanClicker.Small.KJ, o Win32:Small-CKX o TR/Click.Small.BH.5 si è divulgata recentemente. In realtà questa infezione non è nuova, ma si tratta di Rootkit.DialCall.
Vediamo quale sono le componenti dell'infezione:
• service32.exe o Winsys.exe, sotto la directory di Windows, è il file iniziale che infetta il pc. Utilizza tecniche rootkit user mode per nascondersi nel sistema;
• Una dll tra quelle in elenco, sotto la directory di Windows, installata da service32.exe: ctfmon32.dll - iexplorer32.dll - iexplorre32.dll - lsas32.dll - mdm32.dll - omsnlog.dll - scrss32.dll - spoolvs32.dll - sys32exploer.dll - syshost.dll - syst32.dll - winsmgr32.dll
• un file, solitamente con prefisso it_0[numeri casuali].exe, nella directory dei file temporanei del pc, che è un dialer;
• possibilità di trovare nell’ADS (Alternate Data Stream) della directory di sistema di Windows un rootkit kernel-mode denominato Rustock.B. Rustock è uno dei migliori rootkit kernel-mode attualmente esistente, in questa variante si nasconde sotto il nome di lzx32.sys. Se il file system non è NTFS, invece che nascondersi nell’ADS sarà localizzato all’interno della directory stessa