L’immagine che nasconde il malware

di Pasquale Miele

scritto il

Di recente è stato scoperto un nuovo malware che cela la sua identità dietro un’immagine .jpg. Si tratta di un worm, catalogato come MSNPhoto.A, che usa il celebre programma di Instant Messagging Windows Live Messenger per diffondersi.

Per creare questo codice maligno è stato usato un packer seguito da una tecnica detta binder: il file eseguibile è stato unito, o per meglio dire nascosto, dietro un file .jpg, in modo da non rivelare la pericolosità del malware agli occhi degli utenti. Questa tecnica si sta diffondendo molto negli ultimi tempi visto che, con il diffondersi del PC e dell’istruzione informatica, la maggior parte degli utenti non aprono quasi mai file con estensione .exe.

Quando questo worm infetta un computer, chiude tutte le finestre di MSN e invia una copia di se stesso a tutti gli utenti in linea: questi ultimi vengono invitati, da un messaggio, ad aprire il file fotos_posse.zip che nasconde il malware. Inoltre, non sarà possibile chiudere MSN né manualmente, né con l’ausilio del Task Manager visto che esso viene disabilitato.

Per assicurarsi la sua esecuzione ad ogni ravvio del sistema, questo worm modifica alcune chiavi del registro di Windows. In più, come ciliegina sulla torta, esso si connette, tramite il protocollo HTTP a molti siti per scaricare altri codici maligni. Direi un vero antagonista per gli antivirus e le relative case produttrici di software per la sicurezza.

Secondo Luis Corrons, direttore tecnico dei laboratori Panda, negli ultimi tempi l’utilizzo dei software per la messaggistica istantanea sta aumentando sia tra gli utenti domestici che tra le grandi aziende. Ed è proprio per questo motivo che i virus writer cercano di diffondere i loro codici utilizzando programmi come MSN, Yahoo, AIM, ecc.