Quando nel worm cresce uno spyware

L'ultima variante del worm Wurmark porta in grembo un programma capace di attaccarsi a Internet Explorer e spiare le abitudini dell'utente per fini commerciali. Sui cellulari Symbian OS continua invece a diffondersi Commwarrior

Milano - Un patto fra diavoli. Così si potrebbe definire l'inedita simbiosi tra il nuovo worm Wurmark.J e uno spyware commerciale capace di "agganciarsi" a Internet Explorer. Nascosto nella "pancia" del worm, il programma spione si registra nel sistema sotto forma di browser helper object.

"Si tratta della prima volta che viene identificato un worm contenente un programma spyware di natura commerciale", ha affermato la società antivirus Trend Micro in un comunicato. "Il worm deposita nella cartella di sistema di Windows un file DLL con nome casuale corrispondente a un componente di IESpy, un programma spyware".

Al di là di quello che già fanno un po' tutti i suoi consimili, ovvero diffondersi attraverso la posta elettronica sfruttando i contatti collezionati sui PC infetti, Wurmark.J è anche in grado di registrare i tasti digitati dall'utente salvando i log all'interno di un file con estensione ".dll" e nome casuale. Il worm deposita anche numerosi file ZIP nella cartella di sistema di Windows sotto forma di allegati di posta elettronica.
L'oggetto dei messaggi e-mail con cui il vermicello si diffonde può essere costituito da varie parole inglesi, tra cui "details", "girls" "music" e "readme". Adottando tecniche basilari di social engineering, il worm induce gli utenti ad aprire gli allegati utilizzando nomi di file come "love.zip", "image.zip" e "screensaver.zip". Il corpo del messaggio, normalmente, è invece vuoto.

Trend Micro ha assegnato a Wurmark un livello di rischio medio.

Sempre in tema di virus, ieri F-Secure ha segnalato il progressivo diffondersi di Commwarrior, worm per cellulari Series 60 apparso per la prima volta in Irlanda a gennaio e ora individuato anche in India e nell'Oman: i paesi dove sono state segnalate infezioni di Commwarrior sono in totale 23, e tra questi c'è anche l'Italia.

"Finora si è trattato di casi isolati, ma se la diffusione aumentasse, Commwarrior potrebbe trasformarsi in un problema potenzialmente più serio rispetto a Cabir", si legge in un advisory di F-Secure. "La sua capacità di diffusione anche via MMS potrebbe infatti farlo rimbalzare con facilità da un paese all'altro".

Il comportamento di questo worm è curioso: dalle 8 a mezzanotte si diffonde sfruttando le connessioni Bluetooth; da mezzanotte alle 7 di mattina si "dedica" agli MMS. Non solo: inviare messaggi MMS costa: un utente infetto potrebbe vedere il proprio credito esaurirsi nel giro di poche ore. Per fortuna per contrarre il virus è necessario che l'utente abbia Bluetooth attivato e autorizzi il download e l'esecuzione di un file eseguibile (".sis").
4 Commenti alla Notizia Quando nel worm cresce uno spyware
Ordina