Sono giorni che PC Al Sicuro non viene aggiornato. Purtroppo gli impegni lavorativi mi hanno impedito di aggiungere nuove notizie, sebbene possiate trovare miei nuovi post nel blog di Prevx.

Siamo arrivati alla fine dell’anno, e come era lecito pensare, il team che è alle spalle di del worm Storm si è rifatto vivo. Dal 23 Dicembre sono stati aperti infatti numerosi domini direttamente collegati al worm, nei quali è possibile scaricare il malware sottoforma di cartoline di auguri, prima per Natale e poi per il nuovo anno.

La particolarità del rilascio di questo malware sta nel fatto che gli autori hanno pensato di utilizzare tecniche in classico stile polimorfico per evitarne la semplice individuazione da parte delle società di antivirus. In altre parole il malware muta, ricompresso direttamente dai server, in un lasso di tempo di pochi minuti, garantendo così una sorta di “unicità” del sample ad ogni download.

Primo sito web ospitante Stormy


I domini tutt’ora aperti sono i seguenti:

  • merrychristmasdude.com
  • uhavepostcard.com
  • happycards2008.com
  • newyearcards2008.com
  • newyearwithlove.com
  • freshcards2008.com
  • familypostcards2008.com
  • hellosanta2008.com
  • happysantacards.com

I siti vengono tutt’ora tenuti online grazie ad una tecnica di gestione dei DNS denominata Fast Flux.

È chiaro che l’obiettivo, inizialmente il Natale, è stato poi spostato verso il nuovo anno, visti i cambi di nome dell’eseguibile del malware da stripshow.exe, happy2008.exe, happy-2008.exe, happynewyear2008.exe, happy_2008.exe.

Le e-mail che arrivano utilizzano per la maggior parte una di queste frasi come oggetto dell’e-mail o testo, anche combinate insieme e recanti il link ad uno dei siti web sopra elencati:

  • Happy New Year To You!
  • Wishes for the new year
  • Opportunities for the new year
  • New Year Postcard
  • New Year Ecard
  • New Year wishes for you
  • Happy New Year To You!
  • Message for new year
  • Blasting new year
  • As you embrace another new year
  • It’s the new Year
  • As the new year…
  • Happy 2008 To You!
  • Joyous new year
  • Lots of greetings on new year
  • A fresh new year

Questa nuova ondata del worm Storm – nuova perché quest’anno è stato tempestato di ondate simili da parte dello stesso malware – ha visto il rilascio di differenti varianti in pochi giorni con centinaia di sottovarianti polimorfiche per ognuna di queste.

Questa ondata, che tutt’ora sta andando avanti, si può sostanzialmente dividere in due macro periodi: il primo, in cui il worm ha utilizzato tecniche di infezione standard, e la seconda in cui ha fatto uso – come solito del team – di un rootkit per infettare e nascondere i file.

Storm rootkit

Prendo come esempio la release utilizzante il rootkit, poiché più interessante. Una volta eseguito il file iniziale, verrà creato un nuovo servizio di sistema e un driver sotto la directory di sistema di Windows, il cui nome può avere come prefisso una di queste strighe:

  • init
  • clean
  • bldy
  • ortyeras
  • kalleny
  • kirjtkkd


Il driver prende il controllo delle seguenti API native di Windows: ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile. Lo scopo è ovviamente quello di nascondere le chiavi di registro e i file facenti parte dell’infezione.

Come effetto secondario, il rootkit nasconderà qualsiasi file contenga una delle stringhe sopra elencate all’interno del proprio nome.

Il rootkit successivamente inietta del codice all’interno del processo services.exe. Il codice iniettato si prende cura di catturare gli indirizzi e-mail dai file aventi le seguenti estensioni:

  • .adb
  • .asp
  • .cfg
  • .cgi
  • .dat
  • .dbx
  • .dhtm
  • .eml
  • .htm
  • .jsp
  • .lst
  • .mbx
  • .mdx
  • .mht
  • .mmf
  • .msg
  • .nch
  • .ods
  • .oft
  • .php
  • .pl
  • .sht
  • .shtm
  • .stm
  • .tbb
  • .txt
  • .uin
  • .wab
  • .wsh
  • .xls
  • .xml

La routine di spam eviterà di invare e-mail agli indirizzi di posta elettronica contenenti una di queste stringhe:

  • @avp.
  • @foo
  • @iana
  • @messagelab
  • @microsoft
  • abuse
  • admin
  • anyone@
  • bsd
  • bugs@
  • cafee
  • certific
  • contract@
  • feste
  • free-av
  • f-secur
  • gold-certs@
  • google
  • help@
  • icrosoft
  • info@
  • kasp
  • linux
  • listserv
  • local
  • news
  • nobody@
  • noone@
  • noreply
  • ntivi
  • panda
  • pgp
  • postmaster@
  • rating@
  • root@
  • samples
  • sopho
  • spam
  • support
  • unix
  • update
  • winrar
  • winzip


Il payload comprende l’apertura random di una porta UDP in modo tale che il PC infetto entri a far parte della grande botnet creata dal worm. La porta aperta viene riportata in un file denominato [prefisso].config all’interno della directory di sistema di Windows – ove [prefisso] è uno dei prefissi sopra elencati.

Codice iniettato

Prevx riconosce al momento tutte le varianti polimorfiche del worm come Stormy:Worm-All Variants e Prevx CSI, tool per controllare in maniera del tutto gratuita la presenza di infezioni all’interno del PC, individua inoltre il rootkit attivo nel sistema.

Sebbene l’attacco sembra stia lentamente scemando, raccomandiamo di porre la massima attenzione a strane e-mail che invitano al download di cartoline di auguri virtuali, soprattutto se scritte in lingua inglese.

PC Al Sicuro, invece, vuole augurare a tutti – non come i falsi auguri del worm Storm – un felice anno nuovo, che sia ricco di felicità e di successo per tutti.