domenica 7 dicembre 2014

Eliminare il virus Informatico EBOLA (DARK COMET RAT)


Come difendersi da DARK COMET RAT  e come individuarlo ad infezione avvenuta? Il problema di DC è che se il modulo server è fatto bene, una volta installatosi, sfugge alla maggior parte degli antivirus. Qualche controllo però si può fare una volta scaricato l’allegato, che solitamente è un PDF. In sostanza DarkComet, come altri malware, utilizza la tecnica denominata Right-to-Left-Override (RLO) al fine di cercare di mascherare il vero file type del PDF trojanizzato. Tale tecnica consiste nell’aggiungere un particolare carattere Unicode (U+202e) al nome file. Dopo tale carattere, il testo successivo apparirà in ordine inverso (da destra verso sinistra): ad esempio se il carattere speciale viene piazzato davanti alla lettera “f” di fdp.scr” il nome file risultante sarà “rcs.pdf”.

Questo meccanismo risulta efficace però solo da Windows 7 in poi, mentre Windows XP non interpreta la tecnica RLO, per cui il file sotto XP appare nella sua vera natura. In ogni caso, su qualsiasi versione di Windows sono comunque visibili le descrizioni del tipo file (le c.d. “Windows tiles”), che mostrano la vera natura del file, in questo caso screen saver (SCR) e quindi eseguibile.

Un altro controllo possibile è quello di verificare le porte TCP aperte. Il comando da dare al prompt dei comandi di Windows è il seguente:

netstat -nao
Poichè DC apre un socket sulla porta TCP 778, nei risultati del netstat troveremo qualcosa del tipo:

TCP 192.168.1.3:1058 x.y.z.12:778 SYN_SENT 1688
Un ultimo controllo è sui processi ma, come si diceva prima, bisogna che chi ha generato il server non abbia impostato l’opzione per nascondere il relativo processo dal task manager. In ogni caso, la caratteristica è un processo del tipo “svchost” con la “H” maiuscola invece della minuscola, quindi: svcHost.

In ogni caso, se il vostro pc si comporta stranamente (non riuscite ad aprire il task manager, rallenta, non riuscite a far partire il firewall, etc.), effettuate una scansione con DarkComet RAT Remover della PhrozenSoft, scaricabile qui

Arrivederci al prossimo articolo

Michele Balzano

Post più popolari