Trojan.Tenagour.9 aiuta i malintenzionati in attacchi DDoS Il 27

Trojan.Tenagour.9 aiuta i malintenzionati in attacchi DDoS
Il 27 febbraio 2012
La società “Doctor Web” — uno sviluppatore russo di sistemi di sicurezza informatica —
avvisa della diffusione del malware Trojan.Tenagour.9. Questo cavallo di troia è uno
strumento avanzato dei malintenzionati che attuano attacchi DDoS a diverse risorse di
Internet.
Trojan.Tenagour.9 consiste di due componenti: dell’iniettore e della libreria dinamica dove si
conserva il carico utile. Una volta avviato nel sistema operativo, il cavallo di troia controlla se ci
sia installata una sua copia, e se no, il programma malevolo si salva in una delle cartelle con il
nome di smss.exe, dopodiché si iscrive nei rami del registro di sistema responsabili di auto avvio
di applicazioni.
Quindi Trojan.Tenagour.9 manda sul server di comando remoto una richiesta che contiene
informazioni sulla versione e declinazione del sistema operativo, il nome del computer infettato,
codificato tramite MD5, e il numero seriale della prima partizione del disco rigido. Per risposta il
cavallo di troia riceve una riga crittografata con l’URL del sito che verrà assalito e con alcuni
parametri ausiliari. Il server di comando remoto può inoltre impartire al troiano l’ordine di
aggiornamento.
Il cavallo di troia consente di attuare 8 tipi di attacchi DDoS, rivolti a diverse risorse di Internet,
con l’impiego dei protocolli TCP/IP e UDP e dei metodi GET e POST. Il programma malevolo
inoltre dispone della funzionalità che aggiunge automaticamente alla lista di risorse da attaccare
tutti i collegamenti trovati sul sito indicato dai malintenzionati.
La firma antivirale di questa minaccia è stata inserita nelle basi di dati dei virus Dr.Web.