Semplicemente geniale. Questa è la considerazione di Joe Stewart, esperto di Secureworks sul nuovo trojan SpamThru che sta affliggendo la rete e gli utenti Windows in questi giorni. Il malware in questione viene trasmesso attraverso il protocollo P2P, e una volta insediato permette di utilizzare il PC infetto come un ponte di lancio per lo spamming – inserendolo in una botnet sparaspam . Fin qui, niente di nuovo se non fosse che il trojan nasconde al suo interno un pacchetto di DLL che attiva l’istantaneo downloading di una versione pirata di Kaspersky AntiVirus per WinGate – il sistema d’Internet Gateway Management.
In questa evenienza l’utente non esperto non si accorge di nulla perché l’intera operazione viene celata con tecniche rootkit. La novità è che, una volta scaricato l’antivirus, parte una sessione di scanning del PC per l’individuazione di virus e quant’altro. SpamThru, in pratica, prima sgombra il campo da possibili competitor e poi si assicura la totale disponibilità delle risorse della macchina .
Un altro aspetto interessante è che con particolari modifiche del registro, SpamThru attua anche un blocco degli aggiornamenti degli altri anti-virus presenti sul PC. In questo modo anche il futuro è assicurato, e la permanenza diventa certezza. Nel caso in cui venga rilevato. appare comunque come file anonimo o generico.
“SpamThru porta il gioco su un altro livello. Gli bastano solo pochi minuti per procedere con il suo lavoro”, ha dichiarato Stewart. “Inoltre, nel caso in cui il server di controllo da remoto sia giù, lo spammer è in grado di aggiornare gli altri peer del network infetto indicando un altro server, sempre utilizzando la tecnologia P2P”.
“Abbiamo già riscontrato, in passato, pericoli provenienti dal P2P. Ma è la prima volta che un anti-virus viene utilizzato per sgombrare il campo dalla concorrenza. Non è una tecnica normale. Ancor di più se si pensa che è in grado di modificare il file host per disabilitare l’aggiornamento delle applicazioni di protezione”, ha dichiarato Craig Schmugar, virus research manager di McAfee Avert Labs .
Stewart è convinto che l’impegno profuso per realizzare questo trojan sia paragonabile a quello delle software house per i loro prodotti commerciali. Il livello di competenza e sofisticazione che si nasconde dietro SpamThru sarebbe un ulteriore segno delle capacità avanzate di smanettoni che operano al servizio di spammer e organizzazioni malavitose dedite al phishing.
Dario d’Elia