Crowt: modifiche maligne al file HOSTS e phishing

Gli esperti di Trend Micro hanno rimarcato quanto un virus come Crowt.D, scoperto qualche giorno fa, possa comunque rivelarsi estremamente pericoloso. Sebbene al worm sia stato attribuito un livello di rischio globale basso, la software house suona il campanello d’allarme per i danni che il virus può causare e per le sue potenzialità di diffusione.
Crowt.D, infatti, una volta eseguito, memorizza diversi suoi file nocivi all’interno del sistema quindi – tramite il suo motore SMTP integrato – comincia ad inviare e-mail ai contatti di posta elettronica reperiti nella rubrica di Outlook (files .WAB, Windows Address Book). Il testo dei messaggi inviati è composto estrapolando informazioni dal sito news.google.com.
Il worm, inoltre, apre una backdoor sul computer infettato: grazie ad essa, un utente malintenzionato, da remoto, può essere così in grado di copiare file, verificare la versione del sistema operativo in uso, eseguire processi, cancellare i cookie, scaricare file, registrare la sequenza dei tasti premuti dall’utente, catturare screenshot sul pc “vittima”, terminare applicazioni, chiudere e riavviare il sistema.
Non solo. Se il “pharming” (o “DNS poisoning”) – ne abbiamo parliamo nelle precedenti news – prende di mira i server DNS “vulnerabili”, Trend Micro vuole mettere in guardia sulla sempre più diffusa abitudine, da parte di molti worm, di modificare il contenuto del file HOSTS di Windows. Tale file permette di associare un particolare URL mnemonico (es. www.google.it) ad uno specifico indirizzo IP: ciò ricorda da vicino il funzionamento del server DNS del provider Internet.
Ogni volta che si digita un indirizzo nella barra degli URL del browser, il sistema verifica – prima di tutto – se vi sia un’associazione corrispondente all’interno del file HOSTS. Solo quando questa non viene trovata si passa all’interrogazione del server DNS del provider. La modifica del file HOSTS era prima “prerogativa” di spyware e hijackers: oggi sta divenendo pratica sempre più diffusa anche tra i virus. Potrebbe capitare, quindi, digitando l’URL del motore di ricerca preferito, di un famoso portale e così via, di essere stranamente “proiettati” verso siti web che non si sono assolutamente richiesti. Il file HOSTS può essere memorizzato in locazioni differenti a seconda della specifica versione di Windows che si sta utilizzando. In Windows NT/2000/XP/2003 è in genere salvato nella cartella SYSTEM32DRIVERSETC mentre in Windows 9x/ME nella cartella d’installazione di Windows.
Crowt.D quindi, può rappresentare un ulteriore mezzo per sferrare attacchi phishing: a seguito della modifica sul file HOSTS, l’ignaro utente, digitando gli URL di siti web famosi e fidati, potrebbe ritrovarsi – suo malgrado – su siti maligni senza accorgersene. Vi suggerimento di controllare sempre il contenuto del vostro file HOSTS.