Virtumonde
Virtumonde è un Trojan che fa comparire principalmente fastidiose finestre popup, ma ha altri effetti negativi su un Sistema infetto. È chiamato anche Vundo, Trojan. Vundo o MS Juan, Skintrim.[1]. È correlato al Trojan horse WinFixer.
Caratteristiche
modificaVirtumonde attacca alcuni sistemi operativi Microsoft Windows, grazie ad una falla di sicurezza in Java 1.5.0_7 (versione 5 aggiornamento 7) e versioni precedenti [2]. I Browser vulnerabili sono: Internet Explorer e Opera. Apple Safari si è rivelato immune a questo Trojan, mentre Mozilla Firefox è risultato immune soltanto nelle sue ultime versioni[3]. Virtumonde sfrutta BHO -assistenti del browser- infetti e DLL correlate a WinLogon ed Esplora risorse. I sintomi della sua presenza sono:
- Comparsa improvvisa di fastidiose finestre popup, grandi come tutto lo schermo, che pubblicizzano programmi Antispyware truffa (come Sysprotect, Storage Protector, AntiSpyware Master, e WinFixer) o rappresentanti false schermate di errore di Windows.
- Cambio dello screensaver in modo da far comparire una riproduzione di una famosa schermata di errore di Windows, il BSOD,
- Rallentamento generale delle prestazioni del sistema.
- Attacchi del tipo Denial of Service ad alcuni siti, incluso Google.
- Alcune versioni di questo Trojan fanno in modo che gli Aggiornamenti Automatici di Windows vengano disattivati.
- Alterazione dei privilegi di un utente del computer al fine di evitare l'installazione di antivirus.
- Installazione di altro malware.
Esistono tantissime versioni di questo Spyware [4].
Rilevamenti
modificaVirtumonde è rilevabile dallo strumento di rimozione malware di Windows (distribuita periodicamente dalla Microsoft ogni secondo venerdì del mese), eseguibile dal file mrt.exe nella cartella System32, oppure digitando su esegui, nel Menù di avvio, mrt. Anche gli Antispyware SUPERAntyspyware e Spybot - Search & Destroy lo rilevano, come gli Antivirus McAfee, Norton AntiVirus, avast!, NOD32 e Windows Live OneCare. Viene rilevato e infine completamente rimosso anche dal gratuito Norman Malware Cleaner.
Note
modifica- ^ chiamato così dalla scheda Symantec del Trojan
- ^ Sun Microsystems Sun Alert Solution 200106 :Security Vulnerabilities in the Java Runtime Environment may Allow Untrusted Applets to Elevate Privileges and Execute Arbitrary Code Archiviato il 2 maggio 2008 in Internet Archive.
- ^ informazione del 30 nov 2008
- ^ Il team di Spybot - Search & Destroy ha persino dedicato un intero post nel sito ufficiale, visto il gran numero di definizioni immesse nel database del programma[collegamento interrotto]
Voci correlate
modificaCollegamenti esterni
modifica- Scheda dello Spyware su Microsoft Malware Center, su microsoft.com.
- Scheda dello Spyware su Ca.com, su ca.com.
- Scheda del malware sul sito ufficiale di Spybot [collegamento interrotto], su safer-networking.org.