Autorooter bersaglia l'ultimo bug Microsoft

Un exploit integrato in diversi cavalli di Troia prende di mira una vulnerabilità nell'update di sicurezza di 11 giorni fa di Windows Server Service. Si tratta di un passo avanti nel processo di automatizzazione delle minacce informatiche
Autorooter bersaglia l'ultimo bug Microsoft
Un exploit integrato in diversi cavalli di Troia prende di mira una vulnerabilità nell'update di sicurezza di 11 giorni fa di Windows Server Service. Si tratta di un passo avanti nel processo di automatizzazione delle minacce informatiche

I principali produttori di software antivirus rivelano che è in giro un nuovo exploit che attacca un bug risolto dalla patch che Microsoft ha distribuito 11 giorni fa relativa a come le chiamate di procedura remote (RPC) sono gestite in Windows Server Service. Le possibilità di diffusione sono alte secondo Redmond, ma non per gli esperti.

Chi lavora nella sicurezza infatti sostiene che l’exploit sarà integrato in cavalli di Troia già esistenti in modo che i programmatori criminali possano massimizzare i profitti vendendo il nuovo insieme. La Symantec l’ha battezzato W32.Wecorl, mentre F-Secure lo chiama Rootkit.Win32.KernelBot.dg e i Kaspersky Lab lo definiscono MS08-067.g. Ad ogni modo si tratta di bots, cioè componenti di una botnet, una rete che mira a prendere possesso silenziosamente di diversi pc per poi coordinarli al momento giusto su azioni criminali precise.

Secondo molti si tratterebbe di autorooter, un tipo di malware programmato per analizzare ed attaccare i computer bersaglio. Non si tratta certo ancora di codice che riesce a fare tutto automaticamente (esiste una buona componente di manualità) eppure rispetto al passato sembra un forte passo in avanti verso l’automatizzazione del codice. Il malware infatti prima sfrutta la vulnerabilità in questione per entrare e poi decide che tipo di malware installare.

Inoltre una volta attaccato un pc (e quindi superato un firewall) il malware tenta subito di riprodursi in tutti i computer della subnet avvantaggiandosi del fatto che i sistemi Windows abbassano le difese quando lavorano all’interno delle reti locali.

La provenienza del malware in oggetto sembra essere orientale in quanto come bersaglio ha principalmente il sistema Windows 2000 in lingua cinese. Secondo esperti come Andrew Storms, direttore della sicurezza di nCircle «La comparsa di questo malware è una buona notizia perchè se l’abbiamo individuato vuol dire che abbiamo fatto molti passi in avanti rispetto al passato e possiamo fornire strumenti di prevenzione».

Ti consigliamo anche

Link copiato negli appunti