Ora ci si mettono pure i maghi, protagonisti della saga Harry Potter, a combinare casini tra i PC.
Infatti nelle ultime settimane è stato rilevato un nuovo worm, classificato come Hairy.A, che crea tre user account con i nomi appartenenti ai maghetti: Harry-Potter, Ron-Weasley e Hermione-Granger.
Questi account vengono utilizzati dai cyber criminali per avere accesso ai computer da remoto: in questo modo il PC sarà sotto il pieno controllo dei malintenzionati che vi accedono.
La facilità di accesso scaturisce dal fatto che, in seguito all’infezione, il malware riesce a disabilitare il firewall di Windows e:
- l’editor del Registro di Windows;
- il Task Manager
- le funzioni trova ed esegui dal menù Start;
- il tasto destro del mouse.
Come sintomo visibile della sua infezione, Hairy.A apre un editor di testo e mostra il messaggio “Harry Potter is dead” e in seguito riavvia il computer. Per effettuare questo processo vengono creati due file: il primo HARRYPOTTER-THEDEATHLYHALLOWS.EXE viene inserito nella sottocartella Windows/Cache, mentre il secondo TALK.BAT si trova nella sottocartella Windows/Temp.
Per diffondersi infetta tutti i dischi rigidi collegati al PC, dal disco C: fino a quello J:, con le relative periferiche. Poi in ogni disco, viene creato il file AUTORUN.INF che permette l’esecuzione del malware ogni qual volta si accede ad uno di essi.
Anche se questo codice fa riferimento al mondo dei maghi credo che la bacchetta magica non vi servirà a molto :). Meglio quindi aver installato ed aggiornato un buon antivirus.
