Mito Sfatato: Boonana Su Mac e Linux

26/02/2011 – Quante volte avrai sentito parlare da amici o parenti, letto in Rete o da riviste specializzate d’informatica che i sistemi operativi Linux e Mac sono a prova da virus? Già, MAC, la grande Mela che un’anno fa è stata individuata una minaccia reale da virus! In Web ci sono centinaia di siti e forum che ancora insistono nel divulgare informazioni, che il pericolo virus riguardano solo Sistemi Operativi targati Microsoft. Sbagliato! Se ancora non ce ne fosse bisogno, a sfatare questo mito ci ha pensato Boonana (un malware realizzato in javascript che è in grado di funzionare su qualsiasi tipo di macchina, indipendentemente dal sistema operativo installato).

Come Infetta Mac e Linux?

La tecnica, per certi aspetti originale, è quella della richiesta di avvio di un’applicazione aggiuntiva che consentirebbe la visualizzazione di un video in streaming. Operazione che, in realtà, avvia solamente il download di un’impressionante numero di virus che vengono scaricati sul computer.

Malware In Crescita Per Tutti I Gusti, Perdon, Per Tutti Gli O.S.

Ogni giorno compaiono in Rete oltre 60.000 nuovi malware. Un flusso di minacce che mette a dura prova le capacità degli antivirus e che suggeriscono di adottare la massima cautela quando navighi sul Web. Un cambio di rotta rispetto al recente passato, in cui i malware puntavano a sfruttare le vulnerabilità del formato PDF di Adobe ( Leggi Articolo ). La diffusione sul Web del Java: Trojan.Exploit.Bytverify.N ne è la migliore dimostrazione; si tratta di una vulnerabilità che consente l’esecuzione di un codice che può portare, per esempio, all’installazione di un trojan sul computer colpito. Come se non bastasse, le cose vanno ancora peggio quando i pirati sfruttano le debolezze causate dell’implementazione di due diverse piattaforme, come quelle che sfruttano l’esecuzione di Javascript all’interno dei documenti PDF. In questo caso, infatti, è sufficiente che tu apra un documento PDF per esporre il tuo PC agli attacchi.

Su Windows Boonana!

Si tratta di un cavallo di Troia che si connette a dei server remoti per scaricare dei file nel computer infettato.

Allo scopo di evitare che nella memoria di sistema siano attive più istanze di se stesso, il malware crea un mutex con il nome di VFXDSys Compatibility Synchronisation Limited.

Per poter scaricare dei file nel computer infettato, il Trojan si connette ai seguenti server remoti:

– samoobrona.one.pl
– 79cj7.com
– svadbaufa.net.ru
– kinnetix.com
– techniice.ro
– localtarian.com
– localtarian.org
– roadramble.com
– cd-km.info
– argeneduc.com.ar
– alikova.net.ru
– jploh.com
– plomien81.int.pl
– spiffyinc.com
– dework.net.ru

Lista che continua con altri 70 server remoti.

Il cavallo di Troia può essere installato da altri malware all’interno di uno dei seguenti file

* %APPDATA%\Microsoft\VfxdSys Drivers\siv.exe
* %APPDATA%\Microsoft\VfxdSys Drivers\VFxdSys.exe
* %APPDATA%\Microsoft\VfxdSys Drivers\VfxdSysAdm.exe

Allo scopo di essere eseguito a ogni avvio di Windows, il cavallo di Troia modifica la seguente chiave di Registro:

– HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\”0″ = “Run”