Sony DRM: isolato il primo trojan.

Marco Giuliani

“Tutto come previsto: la nuova tecnologia DRM di Sony ha dato spunto ai virus writers per nuovi malware. Isolato il primo trojan.”

Eccolo, arrivato tra le immumerevoli previsioni di molti esperti di sicurezza del settore, il primo trojan che sfrutta la tecnologia DRM di Sony, studiata e applicata nei cd musicali per proteggere i propri diritti intellettuali.

Bitdefender, società rumena specializzata in tecnologia per la sicurezza informatica, ha annunciato di aver isolato il trojan alle ore 12.15 GMT di oggi.


Il trojan, ancora in fase di analisi, installa sulle macchine infettate una backdoor per prendere il controllo da remoto del pc attraverso IRC.


"Eravamo consci del fatto che da un momento all'altro sarebbe stato scritto qualche malware che sfruttasse questa situazione venutasi a creare con la nuova tecnologia Sony. Proprio per questo, BitDefender ha aggiornato la propria tecnologia euristica per identificare tutti i software che tentano di usare questa tecnica. Il trojan è in-the-wild (ndr. si sta rapidamente diffondendo) ed è la terribile conferma dei nostri pensieri" ha dichiarato Viorel Canja, direttore dei laboratori BitDefender.


Un'analisi del trojan sarà disponibile a breve, così come altri aggiornamenti riguardo questa notizia.


UPDATE:

F-Secure ha pubblicato la prima analisi del trojan che è stato rinominato come Breplibot.b.

Una volta lanciato, il trojan crea il file $sys$drv.exe nella directory di sistema di Windows.

Crea inoltre le seguenti chiavi di registro:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "$sys$drv" = "$sys$drv.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "$sys$drv" = "$sys$drv.exe"


Il trojan crea inoltre due Mutex, SonyEnabled e $sys$drv.exe.

Una volta attivo, il trojan tenta di connettersi ad uno dei seguenti server IRC:
68.101.14.76:8080
24.210.44.45:8080
67.171.67.190:8080
35.10.203.93:8080
152.7.24.186:8080


Dove resta in ascolto per eventuali comandi da eseguire che possono essere:
- Download ed esecuzione di software da remoto
- Informazioni di sistema
- Cancellazione di files


UPDATE:

Da un primo test (15.50 ora locale) sono alcuni gli antivirus che ancora non riconoscono il trojan. Tra gli assenti illustri ci sono tutti e tre gli antivirus freeware - AVG, Avast e Antivir - mentre tra gli antivirus a pagamento piu diffusi solo Norton Antivirus e Panda Antivirus ancora non riconoscono il trojan.