 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 29 Agosto 2007 |
| NOME: Trojan-Downloader:W32/Agent.CMK |
| Nei giorni scorsi, una grande quantità di mail contenenti il Trojan Downloader W32/Agent.CMK è stata inviata a indirizzi italiani e stranieri. |
| Questo malware appartiene alla famiglia degli Agent.BRK descritta in questa scheda redatta dagli analisti F-Secure: |
| http://www.f-secure.com/v-descs/trojan-downloader_w32_agent_brk.shtml |
| Caratteristiche comuni ai membri di questa famiglia sono il meccanismo di installazione di componenti Rootkit nel sistema, sotto forma di driver che possono aggiungersi o sostituirsi a quelli già esistenti in Windows, e la capacità di collegarsi alla Rete per scaricare nuovi componenti. |
| Per fare questo, Agent.CMK (così come i suoi predecessori) lancia Internet Explorer come processo nascosto e vi "inietta" il proprio codice in modo da avere più possibilità di agire indisturbato: se il computer è collegato a Internet, Agent.BRK effettua una connessione a questi siti: |
| 66.246.72.173 67.18.114.98 208.66.194.241 66.246.252.213 66.246.252.215 |
| Normalmente i moduli scaricati da questi siti sono ulteriori trojan o rootkit che permettono a un attaccante di utilizzare la macchina infetta come Spam-Bot, ossia un "ponte di lancio" per inviare Spam ad altri utenti all'insaputa del proprietario del PC. |
| Gli antivirus F-Secure rilevano questo recente malware come: |
| Trojan Downloader:W32/Agent.CMK |
| mentre gli altri membri della famiglia possono essere indicati collettivamente come: |
| Trojan-Downloader.Win32.Agent.brk |
| Le componenti rootkit vengono segnalate come: |
| Rootkit.Win32.Agent.dw Rootkit.Win32.Agent.dp Rootkit.Win32.Agent.ey |
| (le ultime due lettere possono variare a seconda delle sotto-varianti). |
| In tutti i casi è necessario rimuovere i file infetti dal sistema, quarantenandoli o cancellandoli: non è possibile disinfettare gli eseguibili in quanto non contengono altro che il codice maligno che va quindi rimosso in blocco. |
|
Raccomandiamo di seguire la procedura indicata dal Wizard dell'antivirus e in caso di difficoltà, fare riferimento alla scheda sopra citata del sito F-Secure. |