Il malware che teme gli antivirus

di Pasquale Miele

Pubblicato 13 Giugno 2007
Aggiornato 12 Febbraio 2018 20:50

Il suo nome è Grogotix.A, un worm che utilizza alcuni canali IRC per diffondersi e per inviare dati rubati dai PC al suo autore. Subito dopo aver infettato un PC, questo malware compila sei copie di se stesso nel sistema.

La “furbizia” di questo worm sta nel fatto che, modificando alcuni file host, impedisce agli antivirus di connettersi ai server per aggiornare i relativi database. Lo stesso accade per il broswer, che non sarà più in grado di raggiungere molte pagine web come: trendmicro.com, mcafee.com, pandasoftware.com.

La pagina web che vedete a fianco viene creata ad hoc da questo malware e, una volta aperta, attraverso l’esecuzione di uno script scarica altri file pericolosi dalla rete: nella pagina HTML compare un messaggio scritto dall’autore del codice e alla fine di esso vi è anche la sua firma con il relativo indirizzo di posta elettronica.

Modificando alcune chiavi nel registro di Windows, questo malware si assicura l’esecuzione ad ogni riavvio del sistema e disabilita le funzioni riportate di seguito:

  • “Trova” dal menù Start;
  • “Esegui” dal menù Start;
  • Il tasto destro del mouse;
  • La cartella “Documenti recenti”;
  • Il pannello di controllo.

Ogni qual volta l’utente aprirà una cartella, sia essa che quella superiore verranno infettate da una copia del worm. Inoltre, anche quando verrà eseguito un programma, il malware in questione creerà una copia di se stesso camuffandola però dietro il nome del file originale. Diciamo una buona tecnica per sfuggire agli occhi degli utenti meno esperti.

Fortunatamente questo codice non è molto diffuso in quanto gira solo su alcuni server e alcuni canali IRC.