5 settembre 2012

Il 26 agosto FireEye ha comunicato di aver scoperto una vulnerabilità critica in Java Runtime Environment dalle versioni 1.7x che è stata designata CVE-2012-4681. Oracle ha rilasciato l’aggiornamento di sicurezza corrispondente solo il 30 agosto, quindi la falla è rimasta per almeno quattro giorni senza essere riparata. I malintenzionati si sono affrettati a sfruttare questa situazione. Il team di Doctor Web — sviluppatore russo di software antivirale — ha rilevato che più programmi malevoli si diffondevano sfruttando questa vulnerabilità in Java. Uno di questi malware è Trojan.Rodricter.

Per propagare programmi malevoli, i malintenzionati utilizzavano siti web violati con il file .htaccess modificato. Nel momento in cui l’utente entrava in un sito web che conteneva uno script malevolo inserito dai malintenzionati, si eseguiva una catena di reindirizzamenti in cui l’indirizzo dell’host finale dipendeva dal sistema operativo installato sul computer dell’utente. Gli utenti del SO Windows venivano reindirizzati alla pagina web che conteneva codici di richiamo di vari exploit. È interessante notare che gli indirizzi dei server, dove si indirizzavano gli utenti, si generavano in modo dinamico e cambiavano ogni ora.

Le pagine web caricate nel browser dell’utente sfruttavano due vulnerabilità alla volta: CVE-2012-1723 e CVE-2012-4681. L’exploit utilizzato dai malintenzionati dipendeva dalla versione di Java Runtime: per le versioni 7.05 e 7.06 si sfruttava la vulnerabilità CVE-2012-4681.

Se lo sfruttamento della falla era riuscito, l’applet Java decifrava il file class progettato per scaricare e lanciare eseguibili. In questo modo i malintenzionati diffondevano il cavallo di troia Trojan.Rodricter.21.

Trojan.Rodricter.21 utilizza tecnologie rootkit ed è composto di più componenti. Il dropper di questo programma malevolo controlla se nel sistema dove si è avviato, sono presenti antivirus e debugger. Di conseguenza esso cerca di aumentare i suoi privilegi anche tramite vulnerabilità del sistema operativo. Sui computer con User Account Control il cavallo di troia disabilita questo modulo di protezione. L’algoritmo delle azioni successive di Trojan.Rodricter.21 dipende dai privilegi che esso ha nel sistema infettato. Il trojan salva sul disco il suo componente principale e, se ha privilegi sufficienti, infetta uno dei driver di Windows per nascondere il suo componente principale nel sistema compromesso. Quindi Trojan.Rodricter.21 può essere classificato come un rootkit. Tra le altre cose, il cavallo di troia può modificare le impostazioni dei browser Microsoft Internet Explorer e Mozilla Firefox. Per esempio, il trojan installa un plugin di ricerca nella cartella \searchplugins\ di Mozilla Firefox e modifica User-Agent e le impostazioni predefinite del motore di ricerca. A seguito, le query di ricerca inviate dall’utente hanno la forma http://findgala.com/?&uid=%d&&q={поисковый запрос}, dove %d è l’identificatore unico del trojan. Inoltre Trojan.Rodricter.21 modifica i contenuti del file hosts inserendoci gli indirizzi dei siti web posseduti dai malintenzionati.

Il modulo principale di Trojan.Rodricter.21 si salva come un eseguibile nella cartella temporanea. Esso può sostituire il traffico dell’utente e inserirci contenuti arbitrari.

La definizione di questa minaccia è stata aggiunta alle basi di dati dei virus Dr.Web, e il meccanismo di cura dell’infezione è stato inserito nel pacchetto dell’utility di cura Dr.Web CureIt!. Il team di Doctor Web consiglia vivamente agli utenti di installare gli update di sicurezza attuali e in primo luogo gli aggiornamenti di Java Runtime Environment.