Virus: Gimmiv.A

Nei giorni scorsi si è avuta notizia dell’affrettato rilascio, da parte di Microsoft, di una patch di sicurezza destinata, con diversi livelli di criticità, alle varie versioni di Windows (qui per XP SP2, qui per tutti gli altri). L’inusuale pubblicazione di un bollettino di sicurezza all’infuori del “patch day” mensile trova giustificazione nel tipo di vulnerabilità che l’aggiornamento consente di risolvere.

La patch MS08-067 si occupa infatti di sanare una falla di sicurezza legata alla gestione delle richieste RPC (Remote Procedure Call) di Windows. Un problema molto simile a quello che in passato è stato sfruttato dai worm Blaster (vedi questi articoli) e Sasser (vedi questo materiale) per infettare rapidamente milioni di sistemi in tutto il mondo.

Nei giorni scorsi in Rete hanno iniziato a diffondersi codici nocivi in grado di far leva sulla vulnerabilità con lo scopo di causare danni alla macchina oggetto di attacco. Per questo motivo, Microsoft ha deciso l’immediato rilascio di una patch risolutiva.
Fortunatamente rispetto a qualche anno fa, lo scenario è cambiato. Tutte le più recenti versioni di Windows integrano un firewall di base che ben protegge dai nuovi attacchi RPC, filtrando le porte 139 e 445. Tutti coloro che si collegano alla rete Internet mediante un router, dietro NAT, non potranno essere raggiunti direttamente dall’esterno a meno che, ovviamente, non siano state configurate sul router regole a rischio per il forwarding dei dati.

La patch è comunque critica e deve essere in ogni caso installata tempestivamente. Marco Giuliani, Prevx Malware Analyst, segnala di avere appena provveduto ad effettuare il “reverse engineering” del codice di Gimmiv.A, il malware che in questi giorni è stato impiegato per sferrare attacchi a sistemi ancora sprovvisti della patch MS08-067.

Il malware, una volta in esecuzione sul sistema, ruba tutta una serie di informazioni personali dell’utente quali credenziali di Outlook Express, password e credenziali collezionate all’interno del Windows Protected Storage, credenziali di accesso di MSN Messenger, patch installate nel sistema, software installati e file recentemente aperti. I dati raccolti vengono cifrati ricorrendo all’algoritmo AES e trasmessi ad un sito remoto.

Giuliani osserva che “il malware sembra sia una sorta di test build. Il codice è in alcuni punti non ottimizzato, ridondante e usa spesso messaggi di debug. Tutte caratteristiche che lasciano pensare come il malware sia stato scritto ma non totalmente testato e questa release sia più una debug release“. C’è quindi da attendersi la comparsa, in Rete, di nuovi codici malware, decisamente più ottimizzati.

Secondo Microsoft gli attacchi sarebbero comunque al momento abbastanza contenuti: sarebbero meno di un centinaio le realtà aziendali oggetto di attacchi mirati.

Fonti: ilsoftware, Threatexpert, Liquida, Notebookitalia e Tweakness