Ho ricevuto pochissime ore fa un sample di un nuovo malware che si diffonde attraverso Skype. Più persone stiamo lavorando a questo caso – complesso per l’utilizzo di un nuovo packer, denominato Metamorphism Portable Executable (PE) Packer and Protector – altresì conosciuto con il nome commerciale di NTKrnl Security Suite – prodotto dalla NTkrnl Software, Inc

Il trojan, dal nome SP.EXE e dalle dimensioni di 116.224 bytes, si diffonde attraverso i contatti Skype e una volta eseguito crea i seguenti file:

C:WINDOWSSystem32wmp.exe
C:WINDOWSSystem32wmp

e le seguenti chiavi di registro:

HKEY_CURRENT_USERSoftwareMicrosoftesEvcBko

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{2D0CCE2D-2EEF-4432-0503-020002010803}

Crea un mutex _wmp_ per evitare più istanze di sé stesso in esecuzione e, una volta creato il file, si inietta nel processo explorer.exe. Comunica verso dei server esteri, verso dei domini .no-ip.com e .no-ip.biz. Al momento la Vitalwerks Internet Solutions, proprietaria del servizio no-ip, avrebbe chiuso quei domini. Il trojan fa uso delle librerie standard di Windows per criptare il traffico verso internet.

Per diffondersi attraverso i contatti Skype il trojan scarica da un determinato sito web – tra quelli sopra citati – alcune API di Skype, delle istruzioni fornite da Skype per lo sviluppo di applicazioni atte a interagire con il programma stesso.

Il trojan ha funzioni di keylogging, registra i tasti premuti sulla tastiera nel file wmp creato sotto la directory di sistema. Quindi il worm contiene una componente trojan, utilizzata per rubare password o dati sensibili sui pc infetti.

Il trojan è identificato al momento come: Trojan.Skpe, W32/SkpeMalware.A, W32/Backdoor.WAC, Win32/Elife.A, Trojan.Win32.Pakes (definizione generica quando vengono individuati strani packer)

[La notizia è stata in parte riscritta per correggere / aggiungere alcune informazioni]