13 gennaio 2017

Worm — programmi malevoli che sono in grado di diffondersi in autonomo, ma non possono infettare file eseguibili. Gli analisti dei virus Doctor Web hanno studiato uno di questi programmi malevoli che infetta archivi RAR, rimuove altre applicazioni pericolose e per diffondersi utilizza il sistema di accesso in remoto VNC.

Il worm, denominato BackDoor.Ragebot.45, ottiene comandi attraverso il protocollo di scambio di messaggi testuali IRC (Internet Relay Chat). Per farlo, si connette a un canale di chat attraverso cui i malfattori impartiscono le relative direttive di gestione.

Dopo aver infettato un computer Windows, BackDoor.Ragebot.45 ci avvia un server FTP, utilizzando il quale, scarica una propria copia sul PC. Quindi scansiona le reti disponibili, cercando nodi con la porta 5900 aperta, una porta che viene utilizzata per organizzare una connessione tramite il sistema dell'accesso remoto al desktop Virtual Network Computing (VNC). Una volta rilevata tale macchina, BackDoor.Ragebot.45 tenta di ottenerci l'accesso non autorizzato, utilizzando il metodo di forza bruta per trovare la password.

Se il worm ha potuto hackerare la macchina, stabilisce una connessione VNC con il computer remoto e ci invia segnali di battiture attraverso cui lancia l'interprete dei comandi CMD ed esegue un codice per scaricare una propria copia tramite il protocollo FTP. Così il worm si diffonde automaticamente.

Un'altra funzione di BackDoor.Ragebot.45 è la ricerca e l'infezione di archivi RAR su supporti rimovibili. Dopo aver scoperto un archivio RAR, il worm ci mette una sua copia con il nome setup.exe, installer.exe, self-installer.exe o self-extractor.exe. Per un'infezione del computer riuscita, l'utente deve avviare in autonomo il file eseguibile estratto dall'archivio.

Inoltre, il trojan si copia nella cartella del client ICQ e di una serie di programmi studiati per stabilire connessioni P2P. Una volta ottenuto il relativo comando dei malintenzionati, BackDoor.Ragebot.45 cerca nel sistema altri trojan e se ne trova alcuni, termina i loro processi e rimuove i file eseguibili. Il trojan dispone di specifiche "white list" contenenti i nomi dei file (principalmente dei file di sistema di Windows) che lui ignora, permettendo loro di funzionare sulla macchina infetta.

Qualche tempo fa i campioni di una delle versioni vecchie di BackDoor.Ragebot.45 sono arrivati in libero accesso. Si può presumere che grazie a questa disponibilità il programma malevolo verrà distribuito attivamente anche in seguito. Antivirus Dr.Web rileva e rimuove BackDoor.Ragebot.45 per cui questo trojan non comporta pericoli per i nostri utenti.

Informazioni sul trojan