Microsoft ha scoperto un nuovo malware in grado di "distruggere" il processo di avvio di Windows. Win32/Yonsole.A è un backdoor trojan, ovvero del codice maligno progettato per compromettere computer e in seguito collegarsi a un server controllato da un malintenzionato, per ricevere ed eseguire altre istruzioni.
Yonsole è capace di bloccare l'avvio del sistema operativo grazie alla modifica del Master Boot Record del sistema infattato.
"Backdoor:Win32/Yonsole.A può accettare ed eseguire un commando da un server remoto per modificare il Master Boot Record (MBR) del sistema infetto. La modifica dell'MBR è come quella del vecchio virus "Stoned" per DOS. Tuttavia in questo caso l'MBR non fa nulla ma visualizza un banner al centro dello schermo e blocca il PC", ha affermato Chun Feng di Microsoft.
A quanto pare tutti gli antivirus più diffusi dovrebbero essere in grado di proteggervi da Yonsole, visto che è stato rilevato all'inizio del mese.
"Quando viene eseguito, Backdoor:Win32/Yonsole.A si inietta in services.exe e inserisce un file DLL nella <system folder>, per esempio: f00165500k.cmd". "Il file DLL contiene una funzionalità backdoor e potrebbe essere rilevato come Backdoor:Win32/Yonsole.B.
Backdoor:Win32/Yonsole.A installa le DLL come Service DLL per assicurarsi che venga caricato a ogni avvio di Windows", si legge sulle pagine Microsoft.
Yonsole può infettare diverse versioni di Windows, da Windows 2000 a NT, fino a XP, Vista e Windows 7.