c.m.g
20-11-2010, 09:44
venerdì 19 novembre 2010
Il famigerato nomignolo torna sulla scena con un nuovo trucco in grado di scavalcare anche la decantata protezione PatchGuard. E interessata questa volta sarebbe anche l'ultima iterazione di Windows
Roma - Si torna a parlare del famigerato Alureon (http://punto-informatico.it/3009979/PI/News/microsoft-minaccia-globale-delle-botnet.aspx), rootkit che si diverte ad infettare il kernel di Windows (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus:Win32/Alureon.A). Stando alle informazioni del sito The H (http://www.h-online.com/security/news/item/Rootkit-able-to-bypass-kernel-protection-and-driver-signing-in-64-bit-Windows-1137225.html), il malware sarebbe tornato alla carica più forte che mai, in una nuova variante chiamata "TDL4", diffusa soprattutto attraverso warez e torrent.
L'ingegnosa evoluzione di Alureon è ora in grado di ingannare il controllo sulla firma digitale dei driver, strisciare silenziosamente nel disco rigido, senza allertare gli antivirus (http://threatpost.com/en_us/blogs/tdl4-rootkit-bypasses-windows-code-signing-protection-111610) con movimenti "anomali", e può anche disabilitare l'esecuzione di eventuali debugger investigatori, per nascondersi molto meglio sotto la pelle del sistema operativo.
Come se non bastasse, l'invisibile botnet può infettare perfino Windows a 64bit. Fino a ieri, le versioni più recenti dell'OS Microsoft, come Seven e Vista, avevano retto bene agli attacchi di questo tipo, dietro allo scudo di nuove e avanzate funzionalità di sicurezza. Ma andando a compromettere (http://sunbeltblog.blogspot.com/2010/11/how-tld4-rootkit-gets-around-driver.html) la rigida funzione che blocca i driver non autorizzati caricati in kernel-mode, Alureon riapre la partita.
Al momento quindi, le decantate API di PatchGuard (http://punto-informatico.it/cerca.aspx?s=PatchGuard&t=4) non riescono neppure a vedere (http://www.ghacks.net/2010/09/01/how-to-detect-a-64-bit-alureon-rootkit-infection/) il malware nascosto, che gioca con i privilegi di amministratore. E sembra che l'unico modo per difendersi dalla minaccia consista nella prevenzione. Ora si attende che Microsoft, o qualche noto produttore di antivirus, risponda al fuoco con decisione e trovi una cura per l'infezione diversa dalla brutale formattazione del drive.
Roberto Pulito
Fonte: Punto Informatico (http://punto-informatico.it/3039272/PI/News/alureon-un-malware-senza-rivali.aspx)
Il famigerato nomignolo torna sulla scena con un nuovo trucco in grado di scavalcare anche la decantata protezione PatchGuard. E interessata questa volta sarebbe anche l'ultima iterazione di Windows
Roma - Si torna a parlare del famigerato Alureon (http://punto-informatico.it/3009979/PI/News/microsoft-minaccia-globale-delle-botnet.aspx), rootkit che si diverte ad infettare il kernel di Windows (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Virus:Win32/Alureon.A). Stando alle informazioni del sito The H (http://www.h-online.com/security/news/item/Rootkit-able-to-bypass-kernel-protection-and-driver-signing-in-64-bit-Windows-1137225.html), il malware sarebbe tornato alla carica più forte che mai, in una nuova variante chiamata "TDL4", diffusa soprattutto attraverso warez e torrent.
L'ingegnosa evoluzione di Alureon è ora in grado di ingannare il controllo sulla firma digitale dei driver, strisciare silenziosamente nel disco rigido, senza allertare gli antivirus (http://threatpost.com/en_us/blogs/tdl4-rootkit-bypasses-windows-code-signing-protection-111610) con movimenti "anomali", e può anche disabilitare l'esecuzione di eventuali debugger investigatori, per nascondersi molto meglio sotto la pelle del sistema operativo.
Come se non bastasse, l'invisibile botnet può infettare perfino Windows a 64bit. Fino a ieri, le versioni più recenti dell'OS Microsoft, come Seven e Vista, avevano retto bene agli attacchi di questo tipo, dietro allo scudo di nuove e avanzate funzionalità di sicurezza. Ma andando a compromettere (http://sunbeltblog.blogspot.com/2010/11/how-tld4-rootkit-gets-around-driver.html) la rigida funzione che blocca i driver non autorizzati caricati in kernel-mode, Alureon riapre la partita.
Al momento quindi, le decantate API di PatchGuard (http://punto-informatico.it/cerca.aspx?s=PatchGuard&t=4) non riescono neppure a vedere (http://www.ghacks.net/2010/09/01/how-to-detect-a-64-bit-alureon-rootkit-infection/) il malware nascosto, che gioca con i privilegi di amministratore. E sembra che l'unico modo per difendersi dalla minaccia consista nella prevenzione. Ora si attende che Microsoft, o qualche noto produttore di antivirus, risponda al fuoco con decisione e trovi una cura per l'infezione diversa dalla brutale formattazione del drive.
Roberto Pulito
Fonte: Punto Informatico (http://punto-informatico.it/3039272/PI/News/alureon-un-malware-senza-rivali.aspx)