 |
 |
 |
|
 |
 |
 |
|
 |
|||
|
||||||||||||||||||||||||||
| I-WORM.MAGISTR |
|
|||||||
Tutte le informazioni sono state raccole dall'AVP Virus Encyclopedia e da it.comp.sicurezza.virus, l'immagine è presa dal sito www.symantec.com. Come il suo predecessore Hybris questo worm a 32 bit si diffonde tramite allegati di posta elettronica, ma le sue caratteristiche e la routine distruttiva lo rendono estremamente pericoloso. Il worm è infatti in grado di installarsi in memoria, e di cancellare in certe condizioni ogni file su disco rigido, e il contenuto della memoria CMOS e del Flash BIOS. Il virus realizzato in linguaggio macchina (Assembly), contiene nei suoi 30 kb algoritmi e routine complesse dagli effetti anche devastanti, il tutto firmato all'interno del codice: ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden) COME INFETTA IL TUO PC Il virus può infettare il pc solo se viene eseguito, aprendo ad es. l'allegato al messaggio email ricevuto. Eseguendo il file si permette al worm di installarsi in memoria, dove rimane in attesa per 3 minuti, per poi iniziare il suo lavoro. Il worm si installa nell’area di memoria dove risiede il processo EXPLORER.EXE, in modo da inserirvi in soli 110 byte il codice in grado di eseguire il virus nello spazio di memoria riservato a EXPLORER.EXE. Quindi il worm fa in modo di essere attivato ogni volta si avii il sistema operativo, infettando in genere il primo file presente nella cartella windows, e creando una serie di 'collegamenti' al file infetto: -) con una nuova chiave nel Registro di sistema posizionata in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\Run -) con un'istruzione 'run=' nel file WIN.INI sotto [windows]. Il modo di installarsi del worm e la sua esecuzione nasconde il lavoro del virus, in modo che non ci si accorge che è in esecuzione all'avvio del sistema operativo. Il worm procede quindi alla ricerca di file a 32 bit con estensione EXE e SCR e con formato Portable Executable (PE) in tutte le unità disco disponibili (dando in genere priorità alle cartelle WINNT, WINDOWS, WIN95, e WIN98). Il virus infetta i file a 32 bit scrivendo le istruzioni principali cifrate in coda al file stesso. Infine modifica le istruzioni d’entrata del file infettato in modo da passare il controllo al codice principale. COME FUNZIONA Il worm cerca nel registro di sistema solo 3 client di posta elettronica, e se nessuno di questi è installato il virus non può spedirsi e non infetta i file di sistema. I client ricercati dal virus sono però tra i più diffusi, ovvero Outlook Express, Internet Mail, e Netscape Messenger, ed una volta individuati uno di questi il worm scandisce i rispettivi file contenenti la rubrica, ed in modo analogo ad altri worm si spedisce agli indirizzi di posta elettronica. Le email non sono facilmente riconoscibili, sia l’oggetto che il corpo del messaggio potrebbero essere vuoto, o anche generato casualmente. Il worm infatti è in grado di cercare file DOC o TXT, e prelevarne frasi o parole, oppure può selezionare delle parole presenti in una sua propria lista. Per esperienza personale ho spesso ricevuto il worm Magistr con una email il cui oggetto era !"#$. Tale oggetto sembra essere ricorrente. Anche il nome del file allegato non è sempre lo stesso, poiché si tratta di un file presente sul nostro sistema con estensione EXE o SCR e con formato Portable Executable (PE), di dimensioni massime di 132 Kb, ovviamente infettato dal virus. L'aspetto più 'spiacevole' risulta però essere il fatto che il worm possa allegare al messaggio anche un file di tipo DOC o TXT individuato nella ricerca di file dai quali prelevare testo da inserire nell'email, diffondendo così informazioni anche di tipo personale. Per inviare i messaggi infetti il worm cerca nel Registro di sistema il server SMTP configurato, al quale si connette per inviare direttamente le e-mail, scavalcando così il client di posta elettronica. Il worm inoltre casualmente può modificare la seconda lettera del nome del mittente, per cui un qualunque utente che differisca della sola seconda lettera, dal mittente reale, risulterebbe il mittente del virus. Personalmente mi è capitato di ricevere email del tipo 'Mail Delivery Service' (servizio che ci avverte dell'inesistenza di indirizzi email) senza aver mai scritto a questi account inesistenti, ma solo perché il mio indirizzo differiva della seconda lettera da quello del reale mittente, che ignaro aveva inviato il virus. Azioni casuali a parte il worm memorizza informazioni nel proprio codice ed agisce di conseguenza. Il virus conserva gli ultimi 10 indirizzi email corrispondenti a computer da lui infettati, in modo da non spedirsi di nuovo a questi indirizzi semplicemente confrontando questi con gli indirizzi della nuova lista creata. Inoltre nel caso la sua ricerca dei client di posta non vada a buon fine perché nessuno dei 3 è presente sul pc da infettare, il worm non infetta questo pc, ma cerca di diffondersi in rete locale, se esiste. LA RETE SI COMPLICA Il worm è in grado di enumerare le risorse di rete condivise sul pc infetto cercando nella cartella di Windows. Quindi copia se stesso nei drive di rete, creando, come visto prima, un'istruzione 'run=' nel file WIN.INI sul drive remoto, se esiste, in modo che anche il sistema remoto esegua il virus all'avvio. Durante la ricerca il worm crea un file DAT in una delle seguenti cartelle: Windows, Programmi, Root del disco C:\, o Root del disco di sistema. il nome del file varia a seconda del nome della macchina in rete: se ad esempio il nome è WIN98 il file creato si chiamerà CQL98.DAT, oppure PINO corrisponde a JQLK.DAT, TAGO a FYSK.DAT, secondo una certa corrispondenza tra i caratteri. CONTO ALLA ROVESCIA Il worm ha all'interno del suo codice un contatore che quando assume un determinato valore, permette al virus di manifestare le sue capacità distruttive. Il worm prende principalmente il controllo del desktop di Windows, rendendo impossibile l'accesso a qualsiasi icona o collegamento: le icone si spostano ogni volta che il cursore si avvicina a queste in modo da non potervi cliccare. La routine distruttiva viene eseguita entro un mese dall’infezione sovrascrivendo a tutti i file locali e di rete il testo 'YOUARESHIT'. Dopo aver cancellato il contenuto della CMOS, del Flash BIOS, e del disco rigido, il worm fiero del proprio lavoro vi scrive:
POSSIBILI SOLUZIONI Per eliminare Magistr esistono diversi tool. Tra quelli efficaci sembra esserci il tool della Sophos, con documentazione all'url: http://www.sophos.co.uk/support/faqs/swclean.html Il file clean.exe decomprime 4 file, quindi basta digitare da dos swclean c: o un'altra unità disco e il tool inizia il suo lavoro. Anche sul sito della Central Command si trovano due tool rispettivamente per Win32.Magistr.A@mm e Win32.Magistr.B@mm, all'url: http://www.centralcommand.com/removal_tools.html |
| www.davidscerrati.too.it |