Kaspersky Lab rileva nuovi worm IM capaci di diffondersi attraverso quasi tutti i programmi di messaggistica istantanea
Da Roma – Kaspersky Lab annuncia l’individuazione di una nuova famiglia di worm che si diffondono attraverso numerosi client di messaggistica istantanea . Questi worm hanno caratteristiche particolari e inusuali rispetto a programmi simili sono infatti multilingua e possono infettare i computer degli utenti attraverso vari client di messaggistica istantanea contemporaneamente, tra cui Yahoo! Messenger, Skype, Paltalk Messenger, ICQ, Windows Live Messenger, Google Talk e il client XFire utilizzato da chi gioca on line.
Quattro varianti di questo worm sono state finora rilevate dagli esperti di Kaspersky Lab, che hanno chiamato questa nuova famiglia di worm IM-Worm.Win32.Zeroll. Quando il worm penetra in un computer, appare nella lista dei contatti di ogni client di messaggistica istantanea e si autoinvia a tutti gli indirizzi che riesce a trovare. L’infezione si verifica quando un utente segue quello che pensa sia un collegamento ipertestuale a un’immagine interessante, e che invece porta di fatto ad un file “maligno”. Il collegamento appare in un messaggio istantaneo inviato da una macchina infetta.
Il fatto che sia multilingua rende molto particolare la nuova famiglia di worm IM. IM-Worm.Win32.Zeroll può utilizzare 13 lingue diverse, tra cui inglese, tedesco, spagnolo e portoghese, inviando a utenti in paesi diversi messaggi in una lingua a loro familiare. Attualmente Messico, Brasile, Perù e Stati Uniti sono i paesi dove si sono verificate il maggior numero di infezioni, ma molti casi sono stati registrati anche in Africa, India e in paesi europei, specialmente in Spagna.
IM-Worm.Win32.Zeroll ha una funzionalità backdoor, e ciò significa che può ottenere il controllo di un computer ad insaputa dell’utente. Una volta penetrato in un sistema, il worm contatta un comando a distanza e un centro di controllo. Dopo aver ricevuto le istruzioni dal centro via IRC, IM-Worm.Win32.Zeroll inizia a scaricare altri programmi dannosi. È interessante notare che questo nuovo tipo di worm IM si connette a diversi canali IRC a seconda del paese e dall’applicazione infetta. Ciò significa che un hacker che controlla una rete di computer infetti può classificarli in base al paese e al client IM, inviando comandi diversi, il che è molto utile quando, ad esempio, si vuole diffondere spam a specifici utenti.
“Sembra che i creatori del worm siano attualmente nelle fasi iniziali della loro attività criminale”, ha affermato Dmitry Bestuzhev, Regional Expert for Latin America di Kaspersky Lab. “Stanno infettando quante più macchine possono, al fine di ottenere buone offerte da altri truffatori per pagamenti per l’installazione, spam e così via”.
Tutti i prodotti Kaspersky Lab sono in grado di rilevare e neutralizzare con successo la nuova famiglia di worm IM.