Nei giorni passati i laboratori di Panda Software hanno scoperto un nuovo worm, catalogato come Addon.A, che crea seri problemi ai sistemi operativi di casa Microsoft.
Nello specifico esso scarica da Internet una copia vulnerabile del file di sistema ntoskrnl.exe sostituendo quello originale che risiede nella cartella di sistema di Windows. Grazie a questo file con bug un malintenzionato potrebbe avviare una “scalata” ai permessi di accesso di sistema fino ad arrivare al rango appartenente agli Amministratori.
Una vero problema se si pensa che, una volta ottenuti tali permessi, i cybercriminali è come se sedessero loro stessi dinanzi al PC infetto: in breve sarebbero capaci di accedere a tutto ciò che vi è sul computer con la possibilità di cancellare, modificare e addirittura copiare tutto ciò che vogliono.
Tecnicamente tutto ciò avviene grazie al file ntoskrnl.exe scaricato da internet, in quanto esso contiene l’immagine del kernel comune a tutti i sistemi operativi di Microsoft, in grado di gestire vari funzioni importanti come: come la virtualizzazione dell’hardware, i processi del sistema, la memoria ecc.
Oltre a modificare il cuore del sistema operativo, questo malware crea i due file, FOTO_CELULAR.SCR e FOTO_CELULAR.ZIP nel disco C, e i file MSNWORM.EXE e ODDYSEE.EXE nella cartella di sistema, responsabili dell’esecuzione del codice.
Per la sua diffusione, Addon.A usa mezzi autonomi come l’Instant messaging, le chat IRC, le caselle di posta elettronica, ecc.
Bisogna quindi fare molta attenzione se non volete ritrovarvi a gestire la vostra macchina in compagnia di qualche ospite indesiderato.