Devi rinnovare BitDefender? Clicca QUI

BitDefender rileva un Virus Worm conosciuto che causa nuove infezioni

Win32.Worm.Downadup usa nuovi espedienti per divulgarsi senza essere facilmente rilevabile.

BUCHAREST, Romania – 19 Gennaio, 2009Win32.Worm.Downadup, un worm che si diffonde sfruttando una vulnerabilità nel servizio di Windows RPC Server , è stato rilevato da BitDefender®.

Il Worm Downloadup (chiamato anche Conficker o Kido) non è una novità. Ha fatto la sua prima apparizione a fine novembre 2008, sfruttando la vulnerabilità MS08-067 per diffondersi senza ostacoli nei networks locali. Il suo proposito era quello di installare software finti di sicurezza sui computers infettati. A fine dicembre, i laboratori BitDefender Labs hanno scoperto una nuova versione di questo Worm chiamato Win32.Worm.Downadup.B.

Il Malware ha ora una nuova lista di caratteristiche, che hanno aumentato la sua pericolosità. Questo worm usa ora le chiavette USB per diffondersi. Copiandosi in una cartella casuale all’interno della directory RECYCLER, usata dal cestino di Windows, crea un file autorun.inf nella cartella root del drive, il worm si esegue automaticamente se l’autorun è abilitato.

Questa minaccia, modifica anche alcune funzioni TCP, bloccando l’accesso ai siti di sicurezza, filtrando ogni indirizzo con determinate stringhe di carattere. Questo lo rende difficile da individuare, poiché non è possibile ottenere informazioni dal computer infetto. Inoltre, rimuove tutti i diritti di accesso degli utenti, eccetto l’uso di file eseguibili e directory, per proteggere i suoi file.

Il Worm è stato creato per evitare di essere rilevato dagli antivirus, lavorando con API poco usate, per evitare le tecnologie di virtualizzazione. Disabilita i Windows updates e alcune parti di traffico della rete per facilitare la sua diffusione. Win32.Worm.Downadup.B ha un algoritmo di generazione di dominio simile a quello trovato in un botnets tipo Rustock. Compone 250 domini ogni giorno e controlla tutti gli update o altri file prima che vengano installati.

Grazie al suo sistema di aggiornamento dei domini, un buono schema di protezione e alle molte persone che non tengono aggiornati i loro sistemi, questo worm ha le potenzialità per diventare un rivale di altri botnets come Storm o Srizbi. Per i dettagli tecnici sulla descrizione del virus:
Descrizione Virus Win32.worm.downadup.gen (in inglese)