ROMA – Il nome non è benaugurante come sembra: “Ave_Maria” è il malware del momento, il bot che ruba informazioni, dati sensibili, password. Il nome è contenuto nella stringa codificata che lo veicola. Si presenta come allegato Excel. Per gli esperti del Cert (Computer Emergency Response Team) “è in grado di catturare le credenziali di posta elettronica della vittima da Microsoft Exchange Client o Outlook e decifrare tutte le password memorizzate dal browser Mozilla Firefox”.
“Il malware – aggiungono gli esperti – contiene una utility (uac_bypass) che consente di aggirare il modulo di protezione UAC (Controllo Account Utente) di Windows, sfruttando una vulnerabilità dello strumento pkgmgr.exe”.
“Il malware – prosegue l’analisi – contiene una utility (uac_bypass) che consente di aggirare il modulo di protezione UAC (Controllo Account Utente) di Windows, sfruttando una vulnerabilità dello strumento pkgmgr.exe”.
“Tutti i file scaricati – si legge ancora – hanno estensioni non correlate al loro contenuto allo scopo di sviare l’analisi e la maggior parte di questi contengono dati ‘spazzatura’”, tranne i file ‘xfi.exe’ (interprete in grado di eseguire un programma col linguaggio di scripting AutoIt); ‘hbx=lbl:’ (primo script AutoIt offuscato) e ‘uaf.icm:’ (file in formato INI contenente tutti i parametri di configurazione del malware tra cui la cartella di installazione, il nome dell’interprete e altri parametri utilizzati negli stadi successivi dell’infezione)”.
