Una variante dello Storm worm infetta forum e blog

MeSpam analizza il traffico di rete e può aggiungere del contenuto nocivo a un messaggio.

Aveva preso a diffondersi sfruttando la drammaticità degli eventi determinatisi
nei Paesi nordeuropei dopo l’arrivo, a fine gennaio scorso, dell’uragano
Kyrill
. Mediante l’utilizzo di tecniche di ingegneria sociale, gli autori
dello "Storm worm" tentavano di indurre l’utente all’apertura dei
file nocivi allegati al messaggio di posta elettronica.

Cominciarono successivamente a prender piede diverse varianti del worm (alcune
di esse utilizzavano anche i client di messaggistica istantanea come mezzo per
la propria diffusione) fino a quella da poco scoperta e catalogata dai vari
produttori di soluzioni antivirus come "MeSpam" o "Cimuz".

Il malware è particolarmente pericoloso perché è in grado
di installarsi sul sistema sotto forma di LSP ("Layered Service
Provider")
. Come un parassita, "MeSpam" può quindi
intercettare ed analizzare tutto il traffico di rete intervenendo attivamente
sui pacchetti in uscita. Il malware, ad esempio, può aggiungere del contenuto
nocivo ad un messaggio che l’utente è in procinto di pubblicare su forum
e blog online.

"MeSpam" rileva se l’utente stia partecipando ad una discussione
su un forum vBulletin o phpBB ed aggiunge, agendo a basso livello, link ad oggetti
pericolosi. Il worm può anche modificare i testi di messaggi di posta
elettronica inviati da web tramite i servizi GMail, Yahoo Mail, AOL e simili.
Facendo una ricerca mediante il motore di ricerca Google abbiamo verificato
come già siano centinaia e centinaia i link aggiunti da "MeSpam"
nei vari forum e blog a livello mondiale.

Lo zampino del malware è facilmente riconoscibile per la presenza di
un testo, in calce al messaggio, simile ai seguenti:
LOL! You must see this! http://[postcards_domain]
Dont forget to see http://[postcards_domain]
lol, look http://[postcards_domain]
have you seen this? http://[postcards_domain]
LOOL!!! http://[postcards_domain]
just look http://[postcards_domain]
🙂 http://[postcards_domain]

I link non debbono essere visitati per alcun motivo. Facendo riferimento a questa pagina, è possibile visionare l’analisi di "MeSpam" pubblicata
da Symantec.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome