Era solo questione di tempo, lo aspettavamo tutti. Troppo rumore e fughe di notizie attorno alla falla 0-day individuata in Windows hanno permesso ai malware writer di utilizzarla come via alternativa per la diffusione di malware. Prima il proof of concept pubblico rilasciato dall’esperto di sicurezza francese Ivanlef0u, poi il modulo aggiunto al metasploit project. Era tutto troppo pronto per non essere (ab)usato dai malware writer.

Nella giornata di ieri abbiamo isolato una nuova variante di un worm Autorun, individuato come Autorun:Worm-LNK, capace di diffondersi tramite dispositivi USB removibili utilizzando la vulnerabilità relativa ai file LNK. Una volta che il sistema è stato infettato, il malware copia in ogni dispositivo USB removibile collegato svariati file LNK modificati per l’exploit, insieme ad una copia di sé stesso.

Il primo problema nell’utilizzare l’exploit dei file LNK è che il collegamento deve essere il percorso esatto a dove il malware è effettivamente localizzato. Questo può diventare un problema visto che i dispositivi USB removibili cambiano lettera di unità ogni volta che vengono collegati ad un PC differente. Il malware tenta di risolvere questo problema creando più file LNK nel dispositivo USB, ognuno dei quali richiama una lettera di unità differente: da D: a J:. Poi, gli eseguibili del malware vengono salvati nella directory principale dell’unità. È una tipologia di bruteforce utilizzata per individuare quale sia la lettera di unità che è stata assegnata dal sistema al dispositivo USB removibile. Inoltre, il malware utilizza ancora il vecchio trucco dell’autorun.inf, che è – purtroppo – ancora efficace.

L’individuazione dei file exploit LNK tramite signature è ancora inaffidabile, visto che i file creati dal malware e analizzati su VirusTotal sono riconosciuti al momento solo da 5 antivirus su 41. Scrivere firme virali per questo exploit potrebbe essere un problema e causare falsi positivi, essendo una falla di progettazione e non di programmazione.

Vedremo probabilmente molti malware utilizzare questa tecnica, anche perché si tratta di una falla che colpisce tutte le versioni di Windows, da Windows 2000 a Windows 7, sia 32 che 64 bit. Ancor peggio, gli utenti che utilizzano Windows 2000, Windows XP, Windows XP Service Pack 1 e 2 non riceveranno alcun aggiornamento di sicurezza, essendo scaduto il supporto tecnico da parte di Microsoft per questi prodotti.

Il miglior workaround al momento è la disabilitazione della visualizzazione delle icone per i file LNK e PIF, come riportato da Microsoft nel loro bollettino di sicurezza. Microsoft ha inoltre rilasciato un Fix-it tool che applica automaticamente il workaround in questione, fino a quando la società non rilascerà un patch ufficiale – sperando che lo faccia il più velocemente possibile, visto che i malware writer non aspettano la patch, hanno già iniziato a giocare con questa falla.

Questa variante del worm Autorun si sta diffondendo abbastanza rapidamente, stiamo infatti ricevendo report costanti dalla comunità Prevx.

Prevx è in grado di individuare, bloccare e rimuovere dai PC questa infezione.

Prevx blog