Microsoft ha riorganizzato il suo strumento anti-malware per rimuovere le infezioni Coreflood sulle macchine Windows con una mossa che assesta un altro colpo alla botnet paralizzata.
Microsoft ha riorganizzato il suo strumento anti-malware per rimuovere le infezioni Coreflood sulle macchine Windows con una mossa che assesta un altro colpo alla botnet paralizzata.
(670 immagini di Tomer Gabel, CC BY-SA 2.0)
Si dice che la botnet sia operativa da più di un decennio e abbia controllato una flotta di due milioni di computer infetti. Funziona registrando le sequenze di tasti, rubando nomi utente, password e informazioni finanziarie.
La settimana scorsa il governo degli Stati Uniti ha fatto una mossa senza precedenti sequestrando i server di comando e controllo di Coreflood e disabilitandone le installazioni su computer infetti in base a un ordine restrittivo temporaneo. Ma l'ordinanza restrittiva non ha permesso di rimuovere la botnet dai computer infetti.
La seconda versione del Malicious Software Removal Tool (MSRT) di Microsoft mirerà a rimuovere le istanze più recenti di Coreflood sulle macchine infette e potrebbe essere ciò di cui il governo degli Stati Uniti ha bisogno per uccidere la botnet.
Verrà distribuito alle macchine Windows come "continuazione del supporto [di Microsoft] per le attività di rimozione" di Coreflood.
"Possiamo, e lo faremo, rilasciare MSRT secondo necessità per supportare le attività di rimozione o in altri momenti in cui ci sarà un impatto potenzialmente significativo", ha affermato Jeff Williams, responsabile del programma del gruppo principale di Microsoft Malware Protection Center su un blog TechNet.
Lo strumento verrà distribuito tramite gli aggiornamenti di sicurezza del Patch Tuesday di Microsoft, ma il colosso di Redmond ha affermato di essere pronto a infrangere il programma per stare al passo con Coreflood.
Lo strumento include anche miglioramenti al motore MSRT per altre famiglie di malware.
In un blog del 2008, Joe Stewart, direttore della ricerca malware di Dell, ha affermato che Coreflood sfrutta il sostituto del telnet Microsoft PsExec. Il bot si attiva quando accede un amministratore di dominio, sfruttando i privilegi per eseguire installazioni remote su host collegati tramite PsExec. Utilizza un database SQL per ordinare i dati rubati ai keylogger effettuando semplici query.