Le aziende di sicurezza stanno monitorando alcuni attacchi spam su larga scala che includono nei messaggi di posta un allegato nocivo presentato come una cartolina di auguri per il nuovo anno.

La prima variante di questo attacco, isolata da F.Secure Lunedì scorso, era legata al popolare codice nocivo Warezov. Una volta eseguito l’allegato infetto “postcard.zip”, il sistema scarica una nuova variante del Trojan Warezov, aka Stration, da www6.easeruikingandefunjs.com. Il codice downloader è classificato da F.Secure come Trojan-Downloader.Win32.Small.edn.

Un secondo attacco spam su vasta scala, isolato Venerdì, è caratterizzato invece da messaggi brevi (senza testo, e con il solo oggetto “Happy New Year!”) con allegato un file chiamato solitamente postcard.exe. L’allegato nocivo (comunque variabile) è stato classificato come Trojan-Downloader.Win32.Tibs.jy o Luder.A. Si tratta di un e-mail worm, che rilascia un trojan downloader ed un file infector.

Una volta eseguito sul sistema ospite, il worm si copia nella cartella di sistema come file di nome ppl.exe e creare alcune chiavi di registro che gli garantiscono l’esecuzione automatica al boot (”agent”=”%WinSysDir%\ppl.exe”).

La componente file infector esegue lo scan di tutti i dischi fissi e di rete in cerca di file da infettare (hta, txt, htm, exe, scr, rar) eseguendo l’inject di una porzione di codice per il redirect dell’entry point che si occupa di richiamare una copia del worm (questo processo non privo di bug e può causare la corruzione dei file in fase di infezione). Il worm è anche in grado di terminare alcuni processi legati a soluzioni antivirus. Nelle ultime ore F-Secure ha segnalato alcune varianti degli allegati Happy New Year postcard.exe. In questi casi si è notata una modifica dell’oggetto, ora variabile: “Fun Filled New Year”, “May Your Dreams Come True!”, “Sparkling Happiness And Good Times!”, o “Sender Happy 2007!” con il nome dell’allegato: “greeting card.exe”, “Greeting Postcard.exe”, o simili. Gli allegati inoltre sono stati modificati per eludere alcuni pattern di rilevamento da parte degli antivirus.

Tuttavia secondo F-Secure, non ci sono molte segnalazioni di infezione in Italia.

(fonte: tweakness.net)

Tag: anno, buon, cartolina, happy, new, postcard, secure, spam, trojan, virus, worm, year