Pericolo dalla chat

La diffusione della rete ha spinto i virus writer a cambiare la modalità di propagazione dei malvare. Adesso la strada usata per l'infezione dei nostri pc è rappresentata dai canali p2p,dalle e-mail e dai programmi di messaggistica. In questi mesi a tenerci sulle spine è un worm di nome NEERIS, che  sfrutta le vie sopra elencate per la sua diffusione.
La prima operazione da fare per evitare di essere contaggiati è verificare se sul nostro pc è installata la patch di sicurezza "KB958644" rilasciata da Microsoft come aggiornamento. Se così non fosse per il worm sarebbe uno scherzo acquisire i privilegi di amministratore e di conseguenza il completo controllo del pc. Il metodo di attacco è tradizionalistico, in quanto sfrutta la funzione di autorun. È possibile accorgersi della minaccia quando, collegando una chiavetta USB, appare a video un messaggio in inglese con scritto: "OPEN FOLDER TO VIEW FILES". Cliccando sul pulsante che appare nella schermata di autoplay per visualizzare questi ipotetici files archiviati nella pendrive, si dà il via all'infezione. Questo é solo il principio di infezione, perché NEERIS va oltre sfruttando i client di messaggistica come windows live messenger,utilizzando dei messaggi preformattati e tradotti in maniera grossolana in sei lingue differenti,tra cui l'italiano. Il worm invia una copia di se stesso a tutti i contatti memorizzati, invitandoli a scaricare l'archivio compresso IMG-0012.zip perché contiene foto personali che potrebbero interessarli, trovando invece solo una copia del virus. NEERIS una volta eseguito,si duplica all'interno della cartella di sistema C:\windows\system con il nome lsass.exe,modificando il registro con chiavi "pericolose":

1. hkey_local_machine\software\microsoft\windows\currentversion\run\"windows Lsass services"="%windir%\system\lsass.exe"
2. hkey_local_machine\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorize dapplications\list\"default"=":*:enabled:windows sharing".

Queste modifiche al registro permettono di garantire l'esecuzione automatica all'avvio di windows e l'autorizzazione per l'accesso ad internet dal firewall del sistema operativo.Dopo aver eseguito queste chiavi ne vengono attivate altre due:

1. hkey_local_machine\software\microsoft\windows\currentversion\shellextensions\"msnprc"="[path to worm executable]"
2. hkey_local_machine\system\currentcontrolset\control\"waittokillservicetimeout"="7000"

Queste due chiavi create gli consentono di attivarsi in modo ciclico durante ogni sessione di chat che avviamo,aprendo, inoltre, una porta di comunicazione esterna attraverso cui il virus writer può accedere da remoto controllando a pieno i nostri computer.