Silly, il worm delle memorie USB

Una nuova tipologia di Worm si insinua nei drive rimovibili e si espande a tutti i computer ai quali tali periferiche infette vengono collegate. Sophos svela il funzionamento della nuova minaccia e come difendersi da essa.

Sophos, compagnia leader nel campo della sicurezza, ha isolato una nuova famiglia di worm capaci di infettare i drive rimovibile e di replicarsi in tutti i computer ai quali tali periferiche infette vengono collegate. La nuova minaccia, battezzata con il nome di W32/SillyFD-AA, può essere fermata adottando alcune semplici precauzioni.

Secondo quanto riportato da Sophos, il worm si diffonde attraverso le periferiche di archiviazione rimovibili, inclusi floppy disk e chiavette USB. SillyFD-AA, una volta attivato, cerca di creare il file nascosto Autorun.inf su tutti i drive rimovibili rilevati nel sistema e copia in essi un clone eseguibile del suo codice chiamato handydriver.exe. Il file eseguibile sfrutta così il file Autorun.inf per essere lanciato nel caso in cui la periferica infetta venga successivamente inserita in un computer non ancora colpito dal worm. Come effetto collaterale dell’infezione, sulla barra di Internet Explorer il titolo delle finestre viene modificato con l’aggiunta della frase “Hacked by 1BYTE” (diventando tra l’altro un chiaro segnale di anomalia). Molte chiavi di registro vengono inoltre manipolate per disattivare la visualizzazione dei file nascosti in Explorer e bloccare Regedit.

«Le chiavette USB stanno diventando sempre più economiche e sempre più spesso vengono distribuite durante i tradeshow o direttamente attraverso la pubblicità via posta. Gli addetti al marketing sono pronti ad usarle come “usa e getta” pur di assicurarsi un aumento delle vendite», ha affermato Graham Cluley, senior technology consultant per Sophos: «i possessori di un computer dovrebbero fare attenzione quando inseriscono una periferica sconosciuta nei loro PC, poichè potrebbe contenere del codice malevolo».

Le precauzioni da adottare per difendersi dalla nuova minaccia sono semplici e partono dalla disabilitazione della funzione di autorun presente in Windows, con lo scopo di impedire l’avvio automatico di CD-ROM e chiavette USB inserite nel sistema. Floppy disk, CD ROM, chiavette USB e hard-disk esterni andrebbero inoltre sempre controllati con un antivirus aggiornato una volta inseriti nel proprio computer. Sophos consiglia di lasciare attivo l’aggiornamento automatico dell’antivirus e di adottare una protezione completa per il proprio computer.

Ti potrebbe interessare