W32.Duqu il worm che si insidia nel file .doc

Scritto da Riccardo

virus imageE' di ieri la notizia apparsa nella community di Symantec che un nuovo malware si sta diffondendo rapidamente; il suo nome in codice è Duqu. Scoperto dalla CrySyS, un gruppo di ricercatori ungheresi, il malware è particolarmente subdolo in quanto l'installer del worm è contenuto in un documento .doc, aprendo il file con Word il malware si installa nel computer della vittima sfruttando una vulnerabilità del kernel sino ad oggi sconosciuta permettendo così al malware l'esecuzione del codice infetto.

Microsoft sta lavorando per realizzare una patch per chiudere la vulnerabilità appena scoperta, ma difficilmente riuscirà ad inserirla nel prossimo patch-day prevista per l'8 novembre 2011.
Sempre secondo Symantec 8 sono le zone confermate dove il virus ha colpito:Francia, Olanda, Svizzera, Ucraina, India, Iran, Sudan e Vietnam mentre solo alcune segnalazioni sono arrivate da: Austria, Ungheria, Indonesia ed Inghilterra.

Le tecniche per evitare al massimo il contagio sono sempre le stesse: evitare di aprire documenti di cui non si conosce la provenienza e di tenere sempre antivirus e Sistema Operativo aggiornatissimi.

Quando il worm viene eseguito, crea uno o più dei seguenti file:

  • % System% \ drivers \ jminet7.sys
  • % System% \ drivers \ cmi4432.sys
  • % System% \ drivers \ nfred95.sys
  • % System% \ drivers \ nred961.sys
  • % Windir% \ inf \ cmi4432.pnf
  • % Windir% \ inf \ cmi4464.PNF
  • % Windir% \ inf \ netp191.PNF

Si crea quindi una o più delle seguenti chiavi di Registro

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ JmiNET3
  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ cmi4432

Il worm apre una backdoor che permette ad un attaccante di raccogliere le seguenti informazioni dal computer infetto:

  • Un elenco di processi in esecuzione, dettagli del conto e le informazioni sul dominio
  • I nomi di unità e di altre informazioni, comprese quelle di unità condivise
  • Screenshot
  • Rete di informazioni (interfacce, tabelle di routing, elenco azioni, etc)
  • Tasti premuti
  • Nomi delle finestre aperte
  • Lista delle condivisioni
  • Esplorazione del file su tutte le unità, comprese le unità rimovibili
  • Lista dei computers del dominio attraverso NetServerEnum
Commenti (0)
Ancora nessuna valutazione. Puoi essere il primo a votare!
Non ci sono ancora commenti pubblicati qui
Lascia un tuo commento
Pubblicazione come ospite
×
Vota questo post:
0   / 300   Caratteri
Suggested Locations
Digita il testo presente nell'immagine sottostante