Ritorno al futuro con il virus Sality.AO

Tendono a scomparire i virus progettati per la semplice diffusione o per danneggiare computer, come 10 anni fa, mentre aumentano, come in questo caso, virus che nascondono Trojan o convertono i PC in zombie.

Redazione PMI-dome | 02 marzo 2009

In questi giorni i laboratori di Panda Security hanno rilevato un aumento del numero di attacchi causati da Sality.AO, insieme ad altre varianti che sfruttano la stessa tecnica. E' un virus che combina le caratteristiche tradizionali di questo tipo di codici (colpisce file e danneggia elevate quantità di computer per aumentare la fama degli autori), con gli scopi del nuovo malware, quale il ritorno economico per i cyber criminali.

Sality.AO utilizza alcune tecniche che non si rigistravano da lungo tempo, come EPO o Cavity.
Sono entrambe legate al modo nel quale il file originale viene modificato per infettarlo, rendendo così più difficile l’individuazione di questi cambiamenti e la sua eliminazione. EPO permette di eseguire una parte del file legittimo prima che l’infezione inizi, provocando difficoltà nella rilevazione. Cavity implica l’inserimento del virus negli spazi vuoti all’interno del file legittimo, rendendo difficoltosa la localizzazione e l’eliminazione dei file infetti.

Queste tecniche sono molto più complesse rispetto a quelle che possono essere ottenute con i tool per la creazione automatica del malware, responsabili di una parte dell’aumento del numero di minacce in circolazione di recente e richiedono una maggiore abilità e conoscenza della programmazione di codici maligni. In aggiunta, Sality.AO include una serie di caratteristiche associate ai nuovi trend del malware, come la possibilità di connettersi ai canali IRC per ricevere comandi in remoto e convertire potenzialmente il PC colpito in uno zombie. Questi computer possono essere poi utilizzati per inviare spam, diffondere malware, attacchi di denial of service, etc.

Inoltre, le infezioni non sono solo legate ai file, come nel caso di virus precedenti, ma cercano di propagarsi anche in Internet, in linea con i nuovi trend. Per fare ciò, utilizza un iFrame per attaccare i file PHP, ASP e .HTML presenti sul computer. Quando uno di questi file viene eseguito, il browser viene reindirizzato, senza che l’utente se ne renda conto, a una pagina pericolosa che sfrutta le vulnerabilità del computer per scaricare altro malware.

Non è tutto. Se un file infetto viene postato su una pagina di Internet – bisogna ricordare che questo genere di file viene caricato abitualmente sul web – l’utente che procederà con il download o visiterà il sito sarà attaccato.

Il file scaricato con questa tecnica è ciò che i laboratori di Panda definiscono come "malware ibrido", in quanto unisce funzioni di Trojan e virus. Il primo, inoltre, ha capacità di scaricare altre varianti di malware sul PC. Gli URL utilizzati da questo downloader non erano ancora operativi nel momento dell’analisi di Panda, ma diventano attivi quando il numero di computer infetti aumenta.