News e Articoli

Virus: in arrivo Silly e Kardphisher

08/05/2007

Fonte: HWUpgrade

Gli analisti di Symantec e Sophos annunciano la diffusione di 2 nuove minacce: Silly, Worm che si diffonde tramite penne USB, e Kardphisher, troiano che simula la finestra di attivazione di Windows.

SillyFD-AA è un worm che si diffonde attraverso tutti i dispositivi removibili. All'interno della chiavetta il worm crea due file, un Autorun.inf e una copia di sé stesso denominata handydriver.exe. Il file di autorun è utilizzato per l'esecuzione automatica del worm non appena una penna usb viene inserita nel sistema.

All'avvio di Windows vengono aggiunte le seguenti due chiavi di registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" [System]\userinit.exe,[System]\systeminit.exe

e

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Wininit" [System]\wininit.exe

Il worm modifica il titolo della finestra di Internet Explorer con la frase "Hacked by 1BYTE".

Se non strettamente necessario, è consigliabile disattivare l'autorun automatico in Windows per i dispositivi removibili, in modo tale da evitare l'avvio immediato nel momento in cui si inseriscono dispositivi esterni alla macchina.

Trojan.Kardphisher è invece un trojan horse che simula (phishing) la finestra di attivazione di Windows appena il PC viene riavviato: la schermata blu avverte l'utente che la copia posseduta è stata attivata da un altro utente e c'è necessità di riattivare la copia. L'utente viene quindi invitato a lasciare dati personali quali numero di carta di credito, viceversa se non viene seguita la procedura di attivazione il malware spegne il pc. Un metodo rapido per accorgesene è che i messaggi sono tutti in inglese.


Articolo letto 14267 volte


Inserisci commento