Ho ricevuto ora un sample di una nuova backdoor che si sta diffondendo in queste ore.
Da una rapida scansione non sono moltissimi i software antivirus che la riconoscono – Symantec e McAfee per esempio non la vedono.
Questo nuovo IRC Bot si spaccia per il nuovo software di controllo antipirateria di Microsoft e si installa nella directory di sistema di Windows (C:Windowssystem32wgavn.exe).
Parte all’avvio come servizio e inietta il proprio codice all’interno di explorer.exe. Inoltre disabilita il firewall di windows e si connette ad un server irc remoto in attesa di comandi (accetta comandi quali attacchi ddos o scan). Attualmente solo Nod32, BitDefender, Panda e F-Prot, tra i grandi, lo riconoscono per mezzo dell’euristica.
Prevx identifica e rimuove il malware 🙂
mi piacerebbe vedere come si comporta il PDM del Kav…
Non hai mica la possibilità di sottoporglielo?
Lo blocca subito appena crea il nuovo servizio, male che va lo blocca mentre tenta di iniettarsi in altri processi,ma prima o poi lo blocca:)