A metà tra il cavallo di Troia e il worm - tanto che gli stessi produttori di antivirus sono in palese disaccordo su come chiamarlo - un malware turba i sonni di chi scarica e condivide musica su reti peer-to-peer. Trend Micro chiama il malware Troj_Medpinch.a, Secure Computing Trojan.ASF.Hijacker.gen, mentre Kaspersky propende per Worm.Win32.GetCodec.a. “Da tempo pensavamo che qualcosa di simile potesse accadere - ha commentato David Emm, Senior Technology Consultant di Kaspersky - ma è la prima volta che la vediamo in opera”. Il malware, infatti, rappresenta una novità: tenta di arrecare danni (e di diffondersi) inserendo link a pagine Web dannose all’interno di file multimediali in formato .asf (Advanced Systems Format). Quest’ultimo è un formato proprietario di Microsoft, valido sia per l’audio che per il video, in grado di gestire contenuti supplementari quali immagini o link a risorse Web; ed è proprio questa caratteristica che il malware sfrutta. Se un utente riproduce un file musicale infetto, quest’ultimo lancia Internet Explorer e carica una pagina Web maligna che chiede all’utente di installare un presunto codec mancante. In sé questo è un metodo d’attacco noto e già ampiamente sfruttato: “Il codec è in realtà un cavallo di Troia che installa un proxy server sul Pc. - ha spiegato Emm - Il proxy permette agli attaccanti di instradare altro traffico attraverso la macchina compromessa, coprendo di fatto le tracce per ulteriori attacchi”. Il malware ha caratteristiche che lo avvicinano a un worm: una volta installato, ricerca file audio Mp3, li codifica in formato Windows Media Audio includendoli poi in un file .asf, e aggiunge link a copie ulteriori del malware stesso. Il tutto senza modificare l’estensione dei file, per evitare che l’utente si accorga del cambiamento in atto. C’è tuttavia da sottolineare come il processo di codifica rallenti notevolmente il sistema, fungendo così da campanello d’allarme, pur trattandosi di un sintomo generico. “Gli utenti di reti P2P devono fare attenzione in ogni caso, ma nello specifico ancora di più nei confronti dei pop-up che compaiono riproducendo flussi audio e video” ha sottolineato Secure Computing nella propria analisi del malware. Che, se viene lasciato agire, rappresenta di certo una nota stonata sul desktop.Cex.io
martedì 22 luglio 2008
Un nuovo malware colpisce le reti P2P
Gli utenti Windows che scaricano musica da Emule & C. sono a rischio: un worm tenta di infettarli con link maligni inseriti in file con formato .asf
A metà tra il cavallo di Troia e il worm - tanto che gli stessi produttori di antivirus sono in palese disaccordo su come chiamarlo - un malware turba i sonni di chi scarica e condivide musica su reti peer-to-peer. Trend Micro chiama il malware Troj_Medpinch.a, Secure Computing Trojan.ASF.Hijacker.gen, mentre Kaspersky propende per Worm.Win32.GetCodec.a. “Da tempo pensavamo che qualcosa di simile potesse accadere - ha commentato David Emm, Senior Technology Consultant di Kaspersky - ma è la prima volta che la vediamo in opera”. Il malware, infatti, rappresenta una novità: tenta di arrecare danni (e di diffondersi) inserendo link a pagine Web dannose all’interno di file multimediali in formato .asf (Advanced Systems Format). Quest’ultimo è un formato proprietario di Microsoft, valido sia per l’audio che per il video, in grado di gestire contenuti supplementari quali immagini o link a risorse Web; ed è proprio questa caratteristica che il malware sfrutta. Se un utente riproduce un file musicale infetto, quest’ultimo lancia Internet Explorer e carica una pagina Web maligna che chiede all’utente di installare un presunto codec mancante. In sé questo è un metodo d’attacco noto e già ampiamente sfruttato: “Il codec è in realtà un cavallo di Troia che installa un proxy server sul Pc. - ha spiegato Emm - Il proxy permette agli attaccanti di instradare altro traffico attraverso la macchina compromessa, coprendo di fatto le tracce per ulteriori attacchi”. Il malware ha caratteristiche che lo avvicinano a un worm: una volta installato, ricerca file audio Mp3, li codifica in formato Windows Media Audio includendoli poi in un file .asf, e aggiunge link a copie ulteriori del malware stesso. Il tutto senza modificare l’estensione dei file, per evitare che l’utente si accorga del cambiamento in atto. C’è tuttavia da sottolineare come il processo di codifica rallenti notevolmente il sistema, fungendo così da campanello d’allarme, pur trattandosi di un sintomo generico. “Gli utenti di reti P2P devono fare attenzione in ogni caso, ma nello specifico ancora di più nei confronti dei pop-up che compaiono riproducendo flussi audio e video” ha sottolineato Secure Computing nella propria analisi del malware. Che, se viene lasciato agire, rappresenta di certo una nota stonata sul desktop.
A metà tra il cavallo di Troia e il worm - tanto che gli stessi produttori di antivirus sono in palese disaccordo su come chiamarlo - un malware turba i sonni di chi scarica e condivide musica su reti peer-to-peer. Trend Micro chiama il malware Troj_Medpinch.a, Secure Computing Trojan.ASF.Hijacker.gen, mentre Kaspersky propende per Worm.Win32.GetCodec.a. “Da tempo pensavamo che qualcosa di simile potesse accadere - ha commentato David Emm, Senior Technology Consultant di Kaspersky - ma è la prima volta che la vediamo in opera”. Il malware, infatti, rappresenta una novità: tenta di arrecare danni (e di diffondersi) inserendo link a pagine Web dannose all’interno di file multimediali in formato .asf (Advanced Systems Format). Quest’ultimo è un formato proprietario di Microsoft, valido sia per l’audio che per il video, in grado di gestire contenuti supplementari quali immagini o link a risorse Web; ed è proprio questa caratteristica che il malware sfrutta. Se un utente riproduce un file musicale infetto, quest’ultimo lancia Internet Explorer e carica una pagina Web maligna che chiede all’utente di installare un presunto codec mancante. In sé questo è un metodo d’attacco noto e già ampiamente sfruttato: “Il codec è in realtà un cavallo di Troia che installa un proxy server sul Pc. - ha spiegato Emm - Il proxy permette agli attaccanti di instradare altro traffico attraverso la macchina compromessa, coprendo di fatto le tracce per ulteriori attacchi”. Il malware ha caratteristiche che lo avvicinano a un worm: una volta installato, ricerca file audio Mp3, li codifica in formato Windows Media Audio includendoli poi in un file .asf, e aggiunge link a copie ulteriori del malware stesso. Il tutto senza modificare l’estensione dei file, per evitare che l’utente si accorga del cambiamento in atto. C’è tuttavia da sottolineare come il processo di codifica rallenti notevolmente il sistema, fungendo così da campanello d’allarme, pur trattandosi di un sintomo generico. “Gli utenti di reti P2P devono fare attenzione in ogni caso, ma nello specifico ancora di più nei confronti dei pop-up che compaiono riproducendo flussi audio e video” ha sottolineato Secure Computing nella propria analisi del malware. Che, se viene lasciato agire, rappresenta di certo una nota stonata sul desktop.