A seguito delle numerose notizie emerse sul rilevamento di un cyberattacco a livello mondiale, i ricercatori di CA in ambito sicurezza hanno evidenziato come questa situazione sia dovuta a una variante dello Zbot (alias Zeus Bot).
“Questa nuova variante presenta le tipiche caratteristiche di un malware bot: riceve comandi e controlla le informazioni attraverso un server. Ne consegue che l’eseguibile – ovvero il malware-bot – viene avviato sul sistema vittima attraverso spam (social engineering) o vulnerabilità del sistema.
Una volta installato, scarica un file di configurazione dal server Command & Control che istruisce il malware su quali informazioni catturare e inviare agli hacker.
Periodicamente il malware-bot invia le informazioni catturate al server hacker e inoltre si aggiorna automaticamente scaricando le nuove configurazioni che in realtà si traducono in nuove istruzioni da parte dell’hacker su quello che il bot deve svolgere all’interno del computer compromesso”, ha spiegato Rossano Ferraris, Research Engineer della Internet Security Business Unit di CA.
Ferraris ha sottolineato come questa variante presenta una capacità di creare una copia di se stessa modificata in modo da raggirare l’antivirus, creare una cartella nascosta dove vengono inserite le componenti necessarie al malware per funzionare (file di configurazione).
E’ in grado inoltre di disabilitare il firewall presente.
L’azienda ha infine comunicato che gli utenti dei prodotti anti-malware di CA sono protetti dall’attacco generato dalla variante rivelata come ZbotWY.