Un "multimalware" per Windows

di Pasquale Miele

scritto il

Un nuovo Trojan sta diffondendosi tra i PC che supportano il sistema operativo di casa Microsoft.

Si chiama Conycspa.AJ e, una volta infettato il computer, inizia a far apparire finestre pop-up che pubblicizzano dei farmaci.

Per fare ciò esso modifica alcuni permessi nel registro di Windows permettendo in questo modo al browser di connettersi a siti specifici che contengono altro malware.

Inoltre, questo Trojan scarica dalla rete un grande numero di codici maligni:

  • mm4839.exe che invia spam attraverso le e-mail;
  • i Trojan Stox.A e Cimuz.El;
  • i cookie Drive Cleaner e MediaPlex;
  • DriveCleaner, WinAntivirus2006 e PsKill.J che sono molto pericolosi per l’hardware del PC.

Questo malware è stato progettato per impedirne la rimozione una volta infettato un PC. Infatti, Windows possiede un sistema (Windows File Protection) capace di rimpiazzare le librerie infette. Purtroppo questo Trojan è immune a questa tecnologia in quanto fa una copia di se stesso nella cartella dei file di ripristino. In questo modo quando Windows si accorgerà di un file infetto tenterà di ripristinarlo ma, invece di inserire una nuova libreria, metterà quella creata ad hoc dal malware.

Un’altra funzionalità attribuitagli è quella di creare un Browser Helper Object capace di monitorare tutte le operazioni effettuate con Internet Explorer. Inoltre riesce a modificare anche il firewall aprendo una porta che gli permette di scaricare nuovo codice maligno ogni qual volta si avvia una sessione.

Non auguro a nessuno di incontrare questo malware perchè, da quanto avete potuto leggere, crea molti grattacapi agli utenti.