Una variante dello "Storm worm" infetta forum e blog

Aveva preso a diffondersi sfruttando la drammaticità degli eventi determinatisi nei Paesi nordeuropei dopo l’arrivo, a fine Gennaio scorso, dell’uragano battezzato “Kyrill”. Mediante l’utilizzo di tecniche di ingegeneria sociale, gli autori dello “Storm worm” tentavano di indurre l’utente all’apertura dei file nocivi allegati al messaggio di posta elettronica.
Cominciarono successivamente a prender piede diverse varianti del worm (alcune di esse utilizzavano anche i client di messaggistica istantanea come mezzo per la propria diffusione) fino a quella da poco scoperta e catalogata dai vari produttori di soluzioni antivirus come “MeSpam” o “Cimuz”.
Il malware è particolarmente pericoloso perché è in grado di installarsi sul sistema sotto forma di LSP (“Layered Service Provider”). Come un parassita, “MeSpam” può quindi intercettare ed analizzare tutto il traffico di rete intervenendo attivamente sui pacchetti in uscita. Il malware, ad esempio, può aggiungere del contenuto nocivo ad un messaggio che l’utente è in procinto di pubblicare su forum e blog online.
“MeSpam” rileva se l’utente stia partecipando ad una discussione su un forum vBulletin o phpBB ed aggiunge, agendo a basso livello, link ad oggetti pericolosi. Il worm può anche modificare i testi di messaggi di posta elettronica inviati da web tramite i servizi GMail, Yahoo Mail, AOL e simili.
Facendo una ricerca mediante il motore di ricerca Google abbiamo verificato come già siano centinaia e centinaia i link aggiunti da “MeSpam” nei vari forum e blog a livello mondiale.
Lo zampino del malware è facilmente riconoscibile per la presenza di un testo, in calce al messaggio, simile ai seguenti:
LOL! You must see this! http://[postcards_domain]
Dont forget to see http://[postcards_domain]
lol, look http://[postcards_domain]
have you seen this? http://[postcards_domain]
LOOL!!! http://[postcards_domain]
just look http://[postcards_domain]
:-) http://[postcards_domain]
I link non debbono essere visitati per alcun motivo.
Per tutti i dettagli sulle tecniche utilizzate dai malware per diffondersi ed insediarsi sul sistema, vi consigliamo la lettura di questi articoli.
Facendo riferimento a questa pagina, è possibile visionare l’analisi di “MeSpam” pubblicata da Symantec.

Per la rimozione della minaccia, Symantec suggerisce di disabilitare temporaneamente la funzionalità “Ripristino configurazione di sistema” di Windows, aggiornare le definizioni antivirus, effettuare una scansione approfondita del sistema. Qualora il software antivirus dovesse informare l’utente circa l’impossibilità di eliminare alcuni file perché in uso, si dovrà avviare la scansione completa servendosi della “modalità provvisoria”. Al riavvio del sistema è possibile che vengano visualizzati messaggi d’errore facenti riferimento a file non più presenti: è possibile ignorare per il momento i vari messaggi d’allerta.
Symantec consiglia quindi l’eliminazione della seguente chiave dal registro di sistema: HKEY_LOCAL_MACHINESOFTWAREWinSock2Buibert quindi la reinstallazione del protocollo TCP/IP (Pannello di controllo, Connessioni di rete, Connessione alla rete locale LAN, finestra Proprietà, Installa, Protocollo, Aggiungi…, Disco driver…, portarsi all’interno della cartella %Windir%inf, selezionare il Protocollo Internet TCP/IP, confermare premendo il pulsante OK quindi riavviare il computer).

E’ possibile verificare la presenza di LSP maligni con il software “HijackThis”. Questa utilità inserisce le minacce LSP nel gruppo O10 ma è altamente sconsigliabile premere il pulsante Fix checked: si causerebbero problemi di instabilità all’intero sistema. Per rimuovere questi componenti maligni è possibile servirsi dell’ultima versione di SpyBot disponibile, assicurandosi di aggiornarla tramite la funzione Cerca aggiornamenti, Scarica aggiornamenti integrata nel software. In alternativa, è possibile usare il programma LSPfix, distribuito da Cexx.org.