Panda Security Labs: nuovo virus Highlander minaccia PC e altri virus

I Laboratori di Panda Software, hanno segnalato un nuovo bot chiamato Ainslot.L. Questo malware è progettato per registrare le attività degli utenti, scaricare altro malware e prendere il controllo del sistema. Inoltre, agisce come un Trojan bancario, rubando le informazioni di log-in relative alle banche. Per finire analizza il computer cercando e rimuovendo altri bot come Zeus, DarkComet, in modo che diventi il solo bot sul sistema. "Il fatto che Ainslot.L rimuova altri bot sui sistemi infetti ha attirato sicuramente la nostra attenzione", ha spiegato Luis Corrons, direttore tecnico dei laboratori di Panda. "Eliminare tutta la concorrenza, lasciando il computer alla sua mercé. Esso ci ricorda i famosi film di Highlander, 'Ne resterà soltanto uno'."

Il malware si diffonde attraverso false e-mail che sembrano provenire dall'azienda di abbigliamento britannica CULT. Il messaggio, che è molto ben realizzato, informa gli utenti di un acquisto di £ 200 sul negozio online di CULT e l'importo della fattura sarà addebitato sulla propria carta di credito. Il testo include un collegamento per visualizzare l'ordine che in realtà scarica il bot sul computer. Quando si fa clic sull'URL per visualizzare l'ordine, si viene rimandati in un posto diverso, in quanto si tratta di un messaggio HTML e il link reale non può essere visto nel testo, in modo che l'utente pensa di vedere l'effettivo ordine. Poi viene chiesto di scaricare il file seguente:

Come si può vedere il nome del file è lo stesso dell'oggetto del messaggio e il numero d'ordine falso, e utilizza l'icona di Acrobat per ingannare gli utenti ad aprire il file facendo pensare che sia un PDF, dato che la maggior parte degli utenti non controllano con attenzione le estensioni dei file conosciuti prima di effettuare il 'run'. Una volta che si ha fatto click viene installato Trojan con funzionalità di bot. È progettato per rubare tutti i tipi di informazioni personali: dai clienti di Bank of America ai giocatori utilizzando la piattaforma di gioco Steam. E registrerà tutto quello che si fà nel computer, così la prossima volta che si va a Facebook, Gmail, ecc. le password saranno inviati ai criminali informatici.

Una volta installato crea una voce di registro per assicurarsi che venga eseguito ogni volta che viene avviato il computer. Esso utilizza il nome "Windows Defender" per quella voce del Registro di sistema, in maniera da far credere all'utente che sia un qualche tipo di applicazione legittima. Esso modifica anche alcuni valori nel Registro di sistema per bypassare il firewall (molto importante quando si pretende di inviare i dati rubati). Secondo Corrons, le "mail di phishing non sono di solito così ben fatte. Non vi è alcun dubbio che questa volta i truffatori sono stati molto attenti a cercare di rendere questi messaggi reali più possibile per ottenere il maggior numero di prede".