QR code per la pagina originale

MSN Messenger e il worm con il PIF maiuscolo

Il problema ritorna: un link con estensione .pif può scatenare una infezione via MSN Messenger. Se già una volta il problema era stato risolto, ora è bastato scrivere in maiuscolo la stessa estensione per aggirare i filtri. Problema nuovamente risolto

,

Tempo fa su MSN Messenger era in circolazione un messaggio particolarmente pericoloso che suggeriva di scaricare una immagine il cui url terminava con .pif. Il link in esame, però, conduceva in realtà la macchina dritta dritta verso infezioni di vario tipo e per tale motivo Microsoft pose una pezza al problema semplicemente inibendo la possibilità di inviare messaggi contenenti “.pif” all’interno del testo. Così facendo il problema fu risolto e l’uso del Messenger risultò più sicuro.

Fig A. Messaggio con link maligno (by VirusList)

Messaggio con link maligno (by VirusList)

Il problema è improvvisamente riemerso negli ultimi giorni con alcuni link indirizzanti a vari trojan. Clamorosa, però, la causa che ha portato il problema a riemergere: Microsoft aveva a suo tempo bloccato i link con estensione .pif in modalità case sensitive, dunque era inibito solo il messaggio con caratteri minuscoli. Ora il tutto riemerge con modalità del tutto simili ma con trojan nuovi e con link avente i caratteri maiuscoli sull’estensione (Fig. A).

Fig B. Propagazione automatica (By F-Secure)

Propagazione automatica

Il meccanismo instaura due procedure: da una parte v’è un sistema apposito per moltiplicare le infezioni tramite l’instant messenger, così da propagare il tutto con modalità automatiche (Fig. B); dall’altra v’è l’installazione di adware quali una variante di PurityScan o una toolbar denominata “Softomate”. A conferma di quanto spiegato da Symantec nelle ultime ore, questo tipo di attacchi non ha però più troppo credito in quanto il polverone sollevato fin dalle prime ore impedisce alla minaccia di proliferare. Il caso specifico è esplicativo: il problema è stato immediatamente risolto da Microsoft ed i trojan, che avrebbero potuto causare seri danni all’utenza, sono immediatamente stati isolati così come è stato fermato il “passaparola” automatico tramite il messenger.