Il worm MYTOB.AR diffonde spyware ed adware
MTrend Micro ha diramato un allarme a medio rischio relativo a una nuova variante del worm MYTOB, MYTOB.AR, intercettata in diversi Paesi.
Al momento sono state identificate oltre 100 varianti del worm MYTOB. In maniera simile alle versioni precedenti, anche questo ultimo worm residente in memoria si propaga inviando una copia di se stesso sotto forma di allegato a un messaggio di posta elettronica che viene spedito ai destinatari mediante un proprio motore SMTP (Simple Mail Transfer Protocol). Dopo l'esecuzione il worm scarica un programma spyware che a sua volta deposita un componente adware sulla macchina colpita. Il worm è dotato di funzionalità di backdoor e possiede un bot IRC (Internet Relay Chat) che si collega a un IRC server specifico.
Usando tattiche di social engineering tradizionali, MYTOB attira l'interesse della vittima assumendo l'aspetto di un messaggio importante relativo all'account di posta del destinatario, simile a quello che si potrebbe realmente ricevere dal proprio amministratore. Il messaggio giunge con argomenti e testi differenti invitando l'utente a effettuare determinate azioni per evitare il blocco o la disattivazione dell'account.
Una volta lanciato in esecuzione, il worm deposita nella cartella di sistema di Windows un file denominato come l'attrice belga Lien Van de Kelder. Il componente spyware (rilevato come TSPY_AGENT.H) consente all'attaccante di tracciare i click del mouse su una pagina residente sul sito mediatickets.net per monitorare l'andamento dell'infezione e scoprire le preferenze di ogni utente colpito.
David Kopp, responsabile TrendLabs EMEA, ha dichiarato: "Non è la prima volta che osserviamo tattiche di social engineering di questo genere utilizzate dagli autori di malware, né è la prima volta che vengono impiegati i nomi di personaggi famosi. Tuttavia, il crescente utilizzo dello spyware e dell'adware in combinazione con funzionalità di backdoor è allarmante in quanto potrebbe fornire a un attaccante un metodo adatto per derubare la vittima. Trend Micro invita pertanto gli amministratori a bloccare le estensioni dei file non essenziali come .exe, .pif e .scr, e ricorda agli utenti finali di non aprire messaggi e allegati sospetti accertandosi dell'aggiornamento dei pattern file dei propri software antivirus".
I clienti Trend Micro risultano protetti da questa minaccia attraverso l'ultima versione del pattern file, la numero 2.649.00. I clienti Outbreak Prevention Services devono scaricare OPP 177 (o successivo) per contrastare la diffusione di questa minaccia. I clienti Damage Cleanup Services possono invece scaricare il template Damage Cleanup #622 per il ripristino automatizzato dei sistemi colpiti.
Gli altri utenti dovrebbero utilizzare HouseCall, lo scanner online gratuito di Trend Micro, reperibile all'indirizzo http://housecall.trendmicro.com/
Per ulteriori informazioni su WORM_MYTOB.AR è possibile visitare l'indirizzo: http://it.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?VName=WORM_MYTOB.AR
Maggiori informazioni sullo spyware TSPY_AGENT.H sono reperibili all'indirizzo http://www.trendmicro.com/vinfo/grayware/ve_GraywareDetails.asp?GNAME=TSPY_AGENT.H
Informazioni riguardanti l'adware ADW_MEDTICKS.A sono pubblicate all'indirizzo http://www.trendmicro.com/vinfo/grayware/ve_GraywareDetails.asp?GNAME=ADW_MEDTICKS.A
Fonte: DMO