Si chiama Crowt.D ed è in grado di modificare il file Hosts di Windows
Si fa sempre più stretta la relazione fra i virus e il phishing. Trend
Micro mette in allarme gli utenti in merito al worm Crowt.D che
potrebbe essere in grado di alterare gli indirizzi Internet per dirottare
il navigatore a sua insaputa su siti fasulli, con lo scopo di carpire
informazioni personali (numero di carta di credito, coordinate bancarie e altro
ancora).
Il worm si propaga via posta elettronica e installa una copia
di se stesso attraverso i file Services.exe e Services.dll.
La componente DLL contiene una routine per spedire il worm con un motore SMTP
interno, andando a prendere gli indirizzi nel Windows Address Book.
Una volta avviato, il worm apre il sito http://news.google.com.
Crowt.D è in grado di aprire anche una backdoor sul sistema
che permette l’esecuzione di codice da remoto. In base a quanto comunicato
da Trend Micro, un cracker potrebbe copiare file, controllare la versione del
sistema operativo, eseguire/terminare processi, cancellare cookie o tenere traccia
della sequenza dei tasti premuti sulla tastiera.
Il virus, infine, è in grado di modificare il file Hosts di Windows,
andando ad aggiungere una serie di siti Internet che rimandano a un indirizzo
di loopback locale.
Questo significa che quando l’utente cerca di accedere a quei siti (fra
i quali troviamo i maggiori produttori di antivirus), in realtà viene
indirizzato a una pagina locale.
Il che rende potenzialmente pericoloso il worm, visto che l’utente, anziché
accedere a una pagina locale, potrebbe essere dirottato su un sito di phishing.
Attualmente Trend Micro ha valutato in “basso” il livello di allarme,
ma il potenziale sia in termini di diffusione che di danno complessivo è
stato classificato in “elevato”.
A rischio risultano tutti i PC con Windows 9x, ME, NT, 2000 e XP.
Per maggiori informazioni fate riferimento a questo indirizzo.
