Ho ricevuto ora un sample di una nuova backdoor che si sta diffondendo in queste ore.
Da una rapida scansione non sono moltissimi i software antivirus che la riconoscono – Symantec e McAfee per esempio non la vedono.

Questo nuovo IRC Bot si spaccia per il nuovo software di controllo antipirateria di Microsoft e si installa nella directory di sistema di Windows (C:Windowssystem32wgavn.exe).

Parte all’avvio come servizio e inietta il proprio codice all’interno di explorer.exe. Inoltre disabilita il firewall di windows e si connette ad un server irc remoto in attesa di comandi (accetta comandi quali attacchi ddos o scan). Attualmente solo Nod32, BitDefender, Panda e F-Prot, tra i grandi, lo riconoscono per mezzo dell’euristica.

Prevx identifica e rimuove il malware 🙂