MSN al sapor di IRCBot

Stiamo ricevendo molte segnalazioni riguardo una nuova variante di un worm MSN di cui avevo già parlato tempo fa. Si diffonde attraverso un file compresso via MSN usando uno dei seguenti messaggi:

• Regarde les tof de mes vacances en tunisie loool
• Mira cómo Paris Hilton es perdida después de ser encarcelada
• Guarda come Paris Hilton sprecato è, dopo che era imprijonata
• Kijk hoe erg Paris Hilton er aan toe is na gevangenschap
• kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI
• Kolla hur förstörd Paris Hilton är, efter att hon fängslades
• bak sana Paris Hilton ne hale gelmis hapiste
• Lede hvor spild Paris Hilton er efter hun fik fængsel
• Veja como Paris Hilton está acabada depois de ter sido presa
• guck wie scheisse Paris Hilton aussieht, seitdem sie wieder aus dem knast ist
• Hey please look at me and my pet .. :p
• Toi et moi !!! …. regarde :p
• Usted e yo !!! …. Mira :p
• Tu ed io !!! …. guarda :p
• Jij en Ik !!!! …. kijk :p
• NI HE WO !!! …. QING KAN :p
• Du och jag !! …. Kolla
• Sen ve Ben !!! …. BAK :p
• Jer og Mig !!! … se :p
• Você e eu !!!! …. Veja :p
• du und ich !!! ….guck :p
• Looking for hot summer pictures ? well here they are !! (h)
• hey stp regarde mes tof !
• Mira mis fotos jejeje :p
• Guardi le mie foto hihi :p
• Kijk eens naar mijn fotos hihi :p
• KAN WO DE ZHAOPIAN :p
• Kolla på min bilder, hihi :p
• Baksana benim fotograflara hihi :p
• Se på min fotos :p
• Veja as minhas fotos hehehe :p
• siehe meine fotos hihi :p
• Look at me and my volleyball team, working our asses offff (h)
• Hey s’il te plait accepte mes photos !!
• Ha aceptado mis fotos por favor !!
• Mairee photos accept karo !!
• HEY !! accepteer mn fotos dan !
• JIESHOU WO DE ZHAO PIAN !!
• Hey, acceptera mina bilder, snälla
• Hey benim fotolarimi kabul et !!
• Hej behage optage min foto !!
• Por favor aceite as minhas fotos !!
• hey bitte nimm meine fotos an !!
• Hey please look at me and my pet .. :p
• Une tof de moi et …:$ !!
• Una foto con mi mejor amigo e yo :$ !!
• Una foto con me ed il mio amico migliore :$ !!
• met mijn beste vriend op de foto !! :$
• YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
• En bild på mig och min bästa vän :$ !!!
• Iyi arkadasimla fotorafdayim :$ !!
• EN foto hos mig og min bedst ven :$ !!
• Uma foto com o meu melhor amigo e eu :$ !!
• ein foto mit meinem besten freund und mir :$ !!
• Psssssst …. just between me and you, please accept :$
• Une tof de moi et …:$ !!
• Esta soy yo totalmente desnuda por favor no envía para nadie
• Questa e me totaly nudo prego non trasmette a chiunque
• Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
• ZHE SHI WO DE LUOZHAO QING BU YAO FA GEI BIEREN !!
• Detta är jag HELT naken.. Skicka inte till någon annan, snälla…
• benim bu ciplak fotoda ama baskasina yollama
• denne er mig hele bar behage vage vendlig og sende den ikk til nogle
• Esta sou eu totalmente nua por favor não mande isso pra ninguém’
• das bin ich total nackt bitte sende es niemand anderem
• This is me totaly naked please dont send to anyone else

Il file può chiamarsi: photo_album[number], photos2007_[number], images[number], photo[number], album[number]. L’eseguibile è compresso con il packer NTKrnl.

Dopo l’esecuzione,il malware crea una copia di sé stesso sotto la directory di Windows con il nome di msn.exe (varianti vengono denominate INTLPRINTERS.EXE sotto system32) e crea una dll denominata LIBCINTLES3.DLL (alcune varianti sono denominate LIBCINTLE2.DLL)

La dll è aggiunta nel registro di sistema di Windows sotto:

HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\

Aggiunge la chiave “printers” con valore [CLSID creato prima].

La dll ha funzionalità di IRC backdoor, si connette al server IRC john.free4people.net e rimane in attesa di comandi.

Il malware si sta diffondendo in maniera particolarmente rapida attraverso MSN. È caldamente consigliabile prestare molta attenzione quando si accettano file su MSN. Come avevo già suggerito precedentemente, se siete in dubbio chiedete al contatto che sta inviando il file se veramente lui stia inviando qualcosa prima di accettarlo. Nella maggior parte dei casi i worm che si diffondono attraverso programmi di IM attivano i trasferimenti di file senza che l’utente se ne possa accorgere.

Prevx riconosce l’infezione come Backdoor.Ircbot.gen già dalle prime ore di diffusione del malware.

Per una procedura di rimozione basta semplicemente:

Rinominare il file LIBCINTLES3.DLL (o LIBCINTLE2.DLL) che dovrebbe essere presente sotto C:\WINDOWS\system32\ in qualche altro nome (ad esempio virus.dl_). Eliminare, se presente, il file msn.exe presente sempre sotto la stessa directory.

Riavviare il pc. Eliminare i file rinominati al punto precedente. Il malware dovrebbe essere stato eliminato

Effettuare una scansione con un programma antivirus o antimalware – quale Prevx ad esempio – oppure effettuare una scansione online con un servizio di analisi online – quale nanoscan.

www.prevx.com/blog.asp

Fonte : Pc al Sicuro