Intego, nuovi dettagli sul malware Koobface

di |
logomacitynet696wide

Il produttore Intego torna sulla questione del malware Koobface affermando che – contrariamente a quanto alcune società vorrebbero far apparire – questo malware non presenta rischi elevati. Nulla di pericoloso per gli utenti Mac con un minimo di buon senso.

Intego torna sulla questione del malware Koobface affermando che – contrariamente a quanto alcune società vorrebbero far apparire – non presenta rischi elevati. Il livello di pericolosità di un malware dipende da molti criteri. Con il passare del tempo i fattori di rischio possono aumentare o diminuire, in base alla popolarità del malware, alla comparsa di se varianti e altre condizioni ancora. Intego ribadisce che OSX/Koobface non è particolarmente diffuso, non vi sono prove di utenti Mac infetti e come se non bastasse è scritto in modo errato tanto che i ricercatori della casa produttrice di antivirus non sono riusciti a farlo funzionare con Mac OS X 10.6.x. La comparsa, inoltre, di un avviso Java e l’avvio di un installer, mostrano che l’installazione non viene eseguita di nascosto.

Il programma d’installazione di questo malware, inoltre, contatta fino a cinque diversi server remoti per scaricare dei file. Intego ha verificato decine di server contattati e, tutti tranne uno, risultano al momento off-line (questo, però non esclude l’ipotesi che in futuro i server potrebbero essere riattivati). Oltre ai server prima citati, il malware si mette in contatto con alcuni server IRC i quali, però, anch’essi al momento risultano off-line o inclusi nelle blacklist.

Il malware in questione è multipiattaforma (può funzionare su Mac, Windows o Linux), anche se alcune classi Java sono specifiche per Mac o Windows. I file installati sono i seguenti:

cad.scp

cplibs.zip

cplib_x86_osx.tnw

cplib_x86_win.klf

jnana.pix

jnana.tsa

NirCmd.chm

nircmd.exe

nircmd.zip

nircmdc.exe

ofex.avi

ofex.exe

ofex.zip

OSXDriverUpdates.tar

pax_wintl

pax_wintl.zip

pex.bsl

rawpct

rawpct.zip

RingOnRequest.lock

rvwop

rvwop.zip

VFxdSys.exe

VfxdSys.zip

VfxdSysAdm.exe

WinStart.exe

WinStart.zip

Una delle classi Java contenuta negli archivi sopra citati, è denominata FaceBookWorm.class.

Intego non ha dubbi e si dice sicura che in futuro vedremo nuove varianti. La faccenda è ad ogni modo decisamente limitata e molto meno problematica rispetto a quanto i produttori di antivirus vorrebbero far credere. Come abbiamo già spiegato, basta solo un po’ di buon senso poiché, al contrario di veri e propri malware, quelli in questione richiedono lo scaricamento di un’applicazione, il consenso all’esecuzione della stessa, il consenso (nome e password amministratore) per l’installazione di componenti malevoli nel sistema. E’ vero che qualche utente sprovveduto potrebbe dare il consenso e seguire tutti i passaggi, ma l’utente in questione deve essere talmente sciocco e ingenuo che è improbabile che tutto ciò accada (voi consentireste di far proseguire l’installazione di una strana applicazione che non avete espressamente lanciato?). Come abbiamo già detto in quest’altro nostro articolo, i produttori di malware potrebbero a questo punto risparmiare tempo distribuendo finti giochi o applicazioni con installer “malevoli”: anche in questo caso sono richiesti nomi e password dell’amministratore e, se l’utente accetta, si può installare nel computer-target quello che si vuole.


[A cura di Mauro Notarianni]