I nuovi virus BlueDoom e Adylkuzz: cosa sono e come difenderci

L’attacco hacker Ransomware Wannacry è diventato oramai l’argomento più discusso all’interno dei blog di tecnologia. Però all’orizzonte, si profilano due nuove minacce che utilizzano le stesse tecniche già viste con Ransomware Wannacry, ma per uno scopo completamente differente. Stiamo parlando dei due nuovi virus BlueDoom e Adykuzz: vediamo in questo articolo cosa sono e come difenderci.

Purtroppo per gli utenti che ancora oggi non hanno patchato il loro sistema operativo, i rischi non sono finiti: anche se Wannacry è stato fermato queste due nuove minacce sono in circolazione.

Di che cosa si trattano?

Adylkuzz è un virus che ha il solo compito di trasformare il nostro computer in uno zombie sfruttando la falla nel SMB (server message block). Questo virus non è pericoloso come Wannacry e soprattutto non specula sui dati personali dell’utente, ma utilizza il loro computer solo per generare una moneta virtuale. Capire se si è stati infettati è molto difficile, infatti l’unico segnale che recano è il rallentamento del PC.

Come possiamo difenderci da questo virus? Basta seguire le stesse regole create per proteggersi da Wannacry: disattivare il protocollo SMB e installare la patch MS17-010 rilasciata qualche mese fa da Windows;

BlueDoom (EternalRock) è diverso da WannaCry perché mostra un intento più a lungo termine di sfruttare le vulnerabilità derivanti da praticamente tutte le perdite di Shadow Brokers contenenti exploit di Windows. Esso si traveste da WannaCry, ma è un tipo completamente diverso di worm che non lancia nessun Ransomware.

Al momento, BlueDoom sembra essere concentrato sulla creazione di un piano di lancio per attacchi futuri.

Il worm BlueDoom è costituito da due moduli:

1. Il “Razzo” cioè di prima fase, portato dall’exploit di EternalBlue.
2. La seconda fase che scompone la componente principale dell’infezione.

Infatti dopo 24 ore dall’infezione sfruttando la tecnologia TOR si collega all’indirizzo:

https [:] //ubgdgno5eswkhmpy [.] Onion / updates / shadowsinstalled? Version = 1.55

Per scaricare i componenti restanti che sono:

1. Eternal Rock (seconda parte) con le seguenti proprietà:

0050779E CompanyName
005077B8 Microsoft
005077D2 FileDescription
005077F4 EternalRocks
00507816 FileVersion
00507830 1.0.0.0

2. un finto taskhost.exe con dimensione di circa 4.6MB

E infine attenuarsi a questa procedura:

  1. Creare la chiave mutex: BaseNamedObjects {8F6F00C4-B901-45fd-08CF-72FDEFF}
  2. Creazione delle cartelle payload e confi all’interno del Disco C, che contengono i seguenti file:

Config:
-Architouch.inconfig
-Doublepulsar.inconfig,
-Eternalblue.inconfig,
-Eternalchampion. inconfig,
-Eternalromance.inconfig,
-Eternalsynergy.inconfig,
-Smbtouchv.inconfig

Paylod:
-ReflectivePick_x64.dll,
-ReflectivePick_x86.dll,
-x64.shellcode.out,
– x86.shellcode.out

PS: Sembra ovvio che i payload siano destinati sia a versioni a 32 bit che a 64 bit Windows.

Come si può vedere, si tratta di un arsenale di codice decisamente dannoso e di tutto rispetto che può alimentare la distribuzione di BlueDoom (EternalRock). A differenza di WannaCry, questo worm non ha un “kill switch”. Seguendo questi piccoli accorgimenti sarà possibile comunque neutralizzarlo nel seguente modo:

  1. Installare le patch rilasciate da windows per SMB Exploit;
  2. Creare la chiave con valore mutex: “8F6F00C4-B901-45fd-08CF-72FDEFF”;
  3. Utilizzare app tipo Heimdal per bloccare gateway TOR e domini C&C.
Sollecitiamo inoltre sia gli utenti  possessori di PC domestici che le aziende a tenere sempre aggiornati i loro sistemi operativi, gli antivirus e tutti i tool di sicurezza.

Fateci sapere tramite un commento se questa piccola guida vi è stata utile.

COMMENTS

DISQUS: