29 agosto 2012

Doctor Web — sviluppatore russo di software antivirale — informa della propagazione di un nuovo bootkit multicomponente. Quest’applicazione malevola è in grado di infettare il Master Boot Record del disco rigido del computer infetto. Lo scopo principale dell’applicazione che è stata aggiunta alle basi di dati dei virus Dr.Web sotto il nome Trojan.Xytets è il reindirizzamento degli utenti ai siti web segnalati dagli scrittori di virus.

Il malware Trojan.Xytets è stato sviluppato in Cina e consiste di otto moduli funzionali: un installer, tre driver, una libreria dinamica e una serie di componenti ausiliari. Una volta avviato nel sistema operativo, il trojan controlla se si esegue nella macchina virtuale e se sul computer attaccato si usa il debugger. In caso di presenza di tali programmi, Trojan.Xytets ne informa il centro di comando remoto e termina il suo funzionamento. Il cavallo di troia controlla inoltre se nel sistema infetto sono presenti alcune applicazioni di tariffazione e fatturazione utilizzate da internet caffè cinesi e anche i risultati di questa verifica vengono trasmessi al server remoto. In seguito il trojan inizia il processo di infezione del computer attaccato.

Nel corso dell’infezione Trojan.Xytets memorizza sul disco e trascrive nel registro due driver che realizzano diverse funzioni del programma malevolo, nonché avvia un firewall che intercetta pacchetti IP in uscita dal computer compromesso. Il firewall nega all’utente l’accesso ad alcuni siti web, la lista dei quali viene custodita in uno speciale file di configurazione. I file del trojan e i driver dannosi si salvano sul disco due volte: nel file system e alla fine di una partizione del disco rigido. Se questi file vengono rimossi (il che è un compito non troppo facile perché il trojan li nasconde), essi si ripristinano automaticamente al successivo avvio di Windows.

Uno dei driver segue processi lanciati nel sistema infettato e cerca di determinare se essi sono una “minaccia” per il trojan. Trojan.Xytets blocca l’avvio dei processi che potrebbero disturbare il suo funzionamento. Oltre a ciò, Trojan.Xytets dispone delle funzionalità che gli consentono di eliminare notificatori dei driver di alcuni programmi antivirali. Di conseguenza gli antivirus cessano di reagire all’avvio dei processi dannosi iniziati dal trojan. Infettato il sistema, il cavallo di troia può implementare le sue funzioni principali. Esso reindirizza il browser dell’utente ai siti web, la lista dei quali è memorizzata nel file di configurazione. Fra i browser supportati da Trojan.Xytets sono Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera, Safari, Maxthon, QQBrowser, GreenBrowser e alcuni altri.

In seguito il trojan nasconde una serie di file custoditi sul disco e sovrascrive il Master Boot Record in modo da prendere il controllo durante il caricamento del sistema operativo. Trojan.Xytets possiede funzionalità avanzate che gli consentono di nascondere la sua presenza nel sistema infetto, quindi questo malware può essere categorizzato come un rootkit.

Trojan.Xytets trasmette al server di comando che si trova in Cina le informazioni sul computer infetto, sulle versioni del sistema operativo e del cavallo di troia stesso. L’obiettivo del trojan sono gli utenti cinesi, come si può giudicare dai contenuti dei siti web caricati con un redirect.

Si possono enumerare le seguenti funzioni di Trojan.Xytets:

• il trojan sostituisce l’home page dei browser popolari con l’URL del sito posseduto dai malintenzionati;
• esegue reindirizzamenti http;
• scarica e lancia file eseguibili;
• salva sulla barra dell’Avvio veloce di Windows, nella cartella “Preferiti” e sul Desktop scorciatoie che contengono collegamenti ai siti web dei malintenzionati: se l’utente clicca su tale scorciatoia, nel browser viene aperta una pagina web corrispondente;
• avvia Microsoft Internet Explorer secondo il calendario e ci apre una pagina web dei malintenzionati;
• impedisce l’accesso a una serie di siti web specificati in una lista speciale;
• impedisce l’avvio di alcune applicazioni che fanno parte di una lista speciale;
• nasconde file memorizzati sul disco;
• infetta MBR.

La definizione di Trojan.Xytets è stata inserita nelle basi di dati dei virus Dr.Web, perciò gli utenti dei prodotti Dr.Web sono protetti da questo programma malevolo.