Credevo fosse una patch, e invece...

San Diego (USA) – Nelle scorse ore ha iniziato a circolare online un nuovo cavallo di Troia che tenta di ingannare gli utenti mascherandosi da aggiornamento di sicurezza di Microsoft . Il codicillo, scoperto dalla società Websense , si diffonde per mezzo di un messaggio di e-mail che sprona l’utente a scaricare una patch.

L’e-mail, che riporta un falso mittente, ha come oggetto “Critical Update for Plug and Play devices MS05-4791k” e come corpo il seguente testo:

Please update your version of Windows at the Microsoft website. Failure to update your current version of Windows will leave your computer open to viruses and hackers.
Microsoft Update Team .

Il link riportato nel messaggio punta apparentemente al sito Microsoft Update ma, se cliccato, porta in realtà l’utente su di un sito canadese che clona la grafica e la struttura del celebre servizio di aggiornamento di Microsoft. Il sito malevolo contiene una falsa patch, chiamata plugandplayfix.exe , che se scaricata ed eseguita, deposita nel sistema un trojan in grado di installare una backdoor e connettersi ad un canale IRC in attesa di comandi.

La nuova minaccia non è ancora stata analizzata in profondità, tuttavia Websense ritiene che possa essere utilizzata da uno o più cracker per dar vita ad una botnet utilizzabile per lanciare attacchi DDoS o per bombardare di spam grosse liste di indirizzi.

Chi ha creato il nuovo cavallo di Troia sembra aver preso spunto, per la farsa, da un recente bollettino di sicurezza di Microsoft, l’ MS05-47 , relativo ad una vulnerabilità del servizio plug and play di Windows 2000/XP.