116-118

28-06-2005

14:43

Pagina 116

Antivirus&Sicurezza

| Virus del mese | W32.Spybot.PKC |

Non aprite la porta al ladro!

Spybot.PKC si diffonde attraverso i canali di chat IRC e installa sui PC un keylogger per rubare password
Tempo
30 minuti

Difficolt
Media

LEGGI ANCHE
Sul numero 77 di Win Magazine abbiamo visto in dettaglio i passi per rimuovere il worm Mediakill.A@mm

ietro un nome apparentemente rassicurante, che ricorda molto da vicino quello del noto software antispyware Spybot Search&Destroy, si nasconde in realt un pericoloso worm che si sta diffondendo in maniera preoccupante in tutto il mondo. La sua tecnica di contagio molto particolare, in quanto sfrutta prevalentemente i canali di chat IRC (Internet Relay Chat) per copiarsi allinterno di unit condivise, come hard disk o semplici cartelle, presenti sui computer connessi. Per questa sua particolare tecnica di diffusione il virus rientra nella tipologia dei Worm network-aware, letteralmente vermi che conoscono la rete. In pratica, Spybot.PKC in grado

IDENTIT DEL VIRUS

Le principali caratteristiche tecniche del virus W32.Spybot.PKC.

116-118

5-07-2005

16:38

Pagina 117

| W32.Spybot.PKC | Virus del mese |

Antivirus&Sicurezza
contagio. In pratica, un attacco di questo tipo prevede che pi computer aggressori inviino alle macchine collegate a Internet prese di mira, tutta una serie di richieste di servizi e di pacchetti dati totalmente inutili, ma che hanno lunico scopo di intasare le connessioni di rete. In questo modo, tra le altre cose, particolarmente difficile risalire alla fonte del contagio.
PER SAPERNE

di attaccare i sistemi utilizzando le vulnerabilit del sistema operativo e rintracciando le condivisioni non protette o difese con password deboli. In questo caso si tratta di quelle chiavi daccesso costituite da sequenze di caratteri troppo corte o facilmente individuabili, come il

proprio nome, magari seguito dalla data di nascita.

DI PIU

Attacchi mirati
Ma la vera pericolosit del virus risiede nella sua capacit di indirizzare un attacco di tipo Distributed Denial of Service nei confronti della macchina vittima del

OCCHIO AI BAMBINI
Aumentano le segnalazioni riguardanti il sito www.disneystore.it. Dietro lapparente facciata di negozio on-line di prodotti Disney (www.disneystore.com) si nasconde un sito che nulla ha a che vedere con contenuti rivolti ai bambini. Collegandosi al sito viene installato sul PC un trojan classificato come MhtRedir.gen che ha lunico scopo di reindirizzare i successivi collegamenti verso siti a contenuto pornografico. Tutto ci accade solo se si utilizza Internet Explorer, in quanto il virus utilizza la tecnologia ActiveX tipica di questo browser per installarsi.

Un ladro nel PC
Dopo che linfezione avvenuta, il virus avvia tutta una serie di operazioni necessarie alla sua duplicazione su altri computer connessi in Rete. Eccole in dettaglio. Innanzitutto il worm Spybot.PKC copia un piccolo file chiamato msupdtm.exe nella cartella di sistema C:\Windows\System32 e aggiunge a tutte le chiavi del registro

La mappa di diffusione di Spybot.PKC mostra chiaramente come il virus abbia iniziato il suo contagio nei paesi dellEst (Fonte: www.pandasoftware.it)

Cos rimuoviamo il Worm

Sono sufficienti cinque semplici passi per eliminare manualmente il virus Spybot.PKC dal sistema.
Disabilitiamo il Ripristino configurazione di sistema Apriamo il menu Start e selezioniamo la voce Pannello di controllo. Tra i tool presenti clicchiamo sulla voce Sistema. Nella relativa schermata di configurazione, apriamo il tab Ripristino configurazione di sistema e togliamo il segno di spunta in corrispondenza della voce Disattiva Ripristino configurazione di sistema su tutte le unit. Verr cos avviata una procedura automatica che canceller dallhard disk tutti i punti di ripristino creati fino a quel momento. Tutto questo serve per eliminare eventuali file infetti che il virus copia allinterno della cartella di sistema _Restore, allinterno della quale gli antivirus non riescono a effettuare una scansione. Aggiorniamo le definizioni virus del software antivirale Questa procedura pu variare a seconda del software antivirale installato sul computer. Teniamo comunque presente che tutti i proUna scansione del sistema alla ricerca di uneventuale minaccia A questo punto, possiamo effettuare un approfondito controllo del sistema con lantivirus appena aggiornato. Al termine, cancelliamo tutte le possibili minacce e i file infetti individuati. Dopodich dovremo procedere manualmente al ripristino del registro di configurazione di sistema. Diamo inizio a unapprofondita pulizia del registro di sistema Dal menu Start clicchiamo sulla voce esegui e nel relativo box di testo digitiamo il comando regedit, confermando la nostra scelta con un clic su OK. Se non riuscissimo ad aprire leditor del registro di sistema, la causa potrebbe essere riconducibile a delle modifiche fraudolente apportate dal virus alleseguibile che avvia il tool di Windows. Per risolvere questo problema, colleghiamoci a http://securityresponse.symantec.com/ avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html e scarichiamo il file UnHookExec.inf. Al termine

grammi sono dotati di un apposito modulo utilizzabile per scaricare automaticamente laggiornamento delle firme virus direttamente dalla Rete.

Win Magazine Agosto 2005

117

116-118

28-06-2005

14:43

Pagina 118

Antivirus&Sicurezza
del download, clicchiamoci sopra col tasto destro del mouse e, dal relativo menu contestuale, scegliamo la voce Installa. Questa operazione provveder a ripristinare la corretta configurazione delleditor del registro di sistema, che potr quindi essere avviato seguendo la procedura riportata al passo precedente. Entrati nelleditor del registro di sistema, individuiamo le tre chiavi HKEY_LOCAL_MACHINE\SOF TWARE\Microsoft\Windows\ CurrentVersion\Run, HKEY_LOCAL_MACHINE\SOF TWARE\Microsoft\Windows\

| Virus del mese | W32.Spybot.PKC |

mole e per ognuna cancelliamo il valore Microsoft System = msupdtm.exe. Per farlo, clicchiamoci sopra col tasto destro del mouse e scegliamo la voce Elimina. Al termine, chiudiamo leditor del registro di configurazione. Il sistema stato finalmente ripulito. Non ci resta che riavviare il computer Se abbiamo eseguito correttamente tutti i passaggi visti finora, possiamo riavviare il sistema e tornare ad utilizzarlo senza nessuna preoccupazione, sicuri di averlo ripulito da ogni possibile infezione.

VUOL DIRE

COSA

DoS
(Denial of Service, negazione del servizio. In questo tipo di attacco si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio, ad esempio un sito web, al limite delle prestazioni, fino a renderlo non pi in grado di erogare il servizio stesso.

CurrentVersion\ RunServices e HKEY_CURRENT_USER\Softw are\Microsoft\OLE. Selezionia-

DDoS
Variante del Denial of Service, il DDoS (Distributed Denial of Service) ha un funzionamento identico ma viene realizzato utilizzando numerose macchine attaccanti. Questo tipo di attacco presuppone una prima fase in cui lattaccante ottiene il controllo di un certo numero di host, cio di normali computer connessi alla Rete denominati Zombie, sfruttando alcune vulnerabilit del sistema operativo e una seconda fase, di attacco vero e proprio, in cui gli Zombie vengono risvegliati ed utilizzati per il DoS Distribuito.

password di accesso a servizi di Ma la sua azione non si ferma di sistema di Windows home banking o commercio purtroppo qui. Spybot.PKC, H K EY _ LO C A L _ M AC H I N E \ elettronico. infatti, installa anche un keyS O F T WA R E \ Mi c ro s o f t \ A questo punto Spybot.PKC logger che utilizzer per trafuWindows\CurrentVersion\Run genera tutta una serie di indigare dati personali dellutente a ,HKEY_LOCAL_MACHINE\SO rizzi IP assolutamente casuali sua completa insaputa. F T WA R E \ M i c r o s o f t \ W i n ai quali manda una copia di se In particolare, questo piccolo dows\CurrentVersion\RunSerstesso in modo da diffondere programma spia in grado di vices e HKEY_CURRENT_ linfezione. catturare screenshot del moniUSER\Software\Microsoft\OL E come ciliegina sulla torta, se tor, utili per sapere in ogni E il valore Microsoft System = non bastassero i danni gi caumomento il programma che msupdtm.exe: in questo sati, esegue una scansione del stiamo utilizzando o i siti Intermodo viene assicurata la sua PC alla ricerca di uneventuale net che visitiamo durante le esecuzione automatica a ogni webcam installata. Se la ricerca nostre navigazioni. Quindi iniavvio di Windows. d esito positivo, il worm in zia a memorizzare tutte le Dopodich, il Worm installa grado di scattarci dei perfetti sequenze di tasti premuti una backdoor in grado di conprimi piani, degni del miglior durante lutilizzo del PC. nettersi ai canali IRC attraverso paparazzo. In questo modo riesce a rubare lindirizzo IP 212.3.3.153 e utianche dati personali come Quando si dice, la violazione della lizzando le porte TCP 6394 e numeri di carte di credito o privacy! 445. Attraverso questa falla un pirata informatico in grado di prendere il controllo del sistema e iniziare a compiere tutta una serie di operazioni, tra cui il download di file dai canali di chat, linvio di e-mail e linterruzione dei processi relativi ad altri software malevoli eventualmente gi presenti nel sistema, fino al riav- Ecco la diffusione nel mondo dei principali virus alla data del 9 Giugno 2005. Come si vede, i Paesi vio di Windows. pi industrializzati sono, ovviamente, anche quelli pi colpiti dagli attacchi informatici (Fonte: www.mcafee.com)

BACKDOOR
Il termine inglese significa porta di servizio. Si tratta di un programma con particolari caratteristiche che permettono ai pirati informatici di accedere alla macchina vittima dellattacco direttamente dallesterno e con privilegi di amministratore.

KEYLOGGER
Si installa sul PC e registra tutto ci che avviene sulla macchina. Cosa viene registrato dipende dalle impostazioni configurate dai pirati informatici. Pu includere i siti visitati, le applicazioni utilizzate e il loro tempo di utilizzo. Ma nella maggior parte dei casi servono a registrare i tasti premuti. In questultimo caso in grado di memorizzare e inviare in Rete le password di accesso al sistema o a servizi di ecommerce.

118

Win Magazine Agosto 2005