Il sistema rallenta? Colpa di un malware nascosto

Il sistema rallenta? Colpa di un malware nascosto

Un proof-of-concept mostra come possa essere utilizzata la cpu per eseguire del codice, potenzialmente malevolo, con privilegi user level

di pubblicata il , alle 14:39 nel canale Sicurezza
 

Il pc rallenta in modo considerevole? Potrebbe essere un malware e non sarebbe certo una novità. Ma quel che preoccupa è il fatto che tale codice malevolo potrebbe restare ben nascosto, utilizzando risorse di sistema. Un gruppo di ricercatori ha presentato il proprio lavoro dal titolo "Secretly Monopolizing the CPU Without Superuser Privileges" in occasione del Usenix Security Symposium e proprio da tale studio emergono le preoccupazioni sottolineate poc'anzi.

Il documento fa riferimento a sistemi Unix, solo Mac OS X pare essere immune, ma in linea di principio la minaccia è estendibile a tutti i sistemi operativi multitasking più recenti. Il proof-of-concept presentato è in grado di utilizzare risorse della cpu senza possedere i privilegi di Super User e, dettaglio essenziale, risulterebbe completamente invisibile attraverso il comune comando "Top" di Linux, o strumenti simili.

Come riporta Arstechnica.com, le preoccupazioni nei confronti di una minaccia simile sono di due tipi: è inammissibile ipotizzare che le risorse hardware del proprio pc possano essere sprecate da codice "parassita" di terze parti e, soprattutto, è preoccupante ipotizzare che un maleware sia residente nel proprio sistema e distolga risorse al normale uso.

In linea di principio il proof-of-concept non potrebbe funzionare: senza i massimi privilegi alcune operazioni non dovrebbero essere possibili. Il condizionale è d'obbligo e alcuni stratagemmi dimostrano che è possibile effettuare tutto ciò anche da uno "user level". Il gruppo di lavoro ha scritto il codice utilizzando una particolare istruzione messa a disposizione dalle cpu e definita Cycle Counterche offre una miglior precisione rispetto a quanto fatto dai software convenzionali attraverso l'uso dei tradizionali interrupt.

Con Cycle Counter e il livello di precisione offerto è possibile eseguire un particolare task nell'intervallo di tempo che intercorre tra due interrupt della cpu: con tale stratagemma i comuni strumenti di indagine non sono in grado di rilevare il task in corso che, con le dovute semplificazioni, viene continuamente attivato e spento.

Quanto mostrato al Usenix security Symposium non significa ovviamente che da d'ora innanzi ogni rallentamento del pc sia da imputare a questo genere di malware, sappiamo infatti benissimo che le motivazioni vanno generalmente ricercate nel sistema operativo, ma questi proof of concept ci invitano ad ampliare gli orizzonti e i punti di vista, riuscendo magari a intuire nuovi terreno fertili per la proliferazione di malware o di minacce alla sicurezza.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

35 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Racer8912 Luglio 2007, 15:02 #1
come si può eliminare un malware del genere?
ho zonealarm ma ho questo problema!
DevilsAdvocate12 Luglio 2007, 15:04 #2
E' un poco tutta da ridere, il 90% degli utenti linux tiene karamba o le gdesklet
o gkrellm sul desktop dal quale vede effetivamente quanta è l'occupazione del processore.
(che non darà il nome del processo,ma mostra senza dubbio se c'è
un simile malware nel pc).....
DevilsAdvocate12 Luglio 2007, 15:07 #3
Originariamente inviato da: Racer89
come si può eliminare un malware del genere?
ho zonealarm ma ho questo problema!

Qua si fa riferimento a sistemi Linux e MacOSX, benchè essendo questo
trucchetto dovuto ad un'istruzione della cpu non è da escludere che
si possa sfruttare sotto windows.

Se ti rallenta il windows prova a :
1- rimuovere il norton
2- rimuovere spyware/malware/trojans
3- usare un programmino di pulizia del registro
4- formattare

EDIT: leggendo meglio il proof-of-concept sembra indirizzato pure a windows, non a MacOSX
(immagini in cima alla pagina 4).
Mister2412 Luglio 2007, 15:12 #4
Originariamente inviato da: Racer89
come si può eliminare un malware del genere?
ho zonealarm ma ho questo problema!


Si parla di "proof of concept" cioè di un prototipo quindi è impossibile che tu abbia questo maleware.
omerook12 Luglio 2007, 15:14 #5
su mac osx certe porcate girano
black-m0112 Luglio 2007, 15:21 #6
"Il documento fa riferimento a sistemi Unix, solo Mac OS X pare essere immune, ma in linea di principio la minaccia è estendibile a tutti i sistemi operativi multitasking più recenti."

Errato, lo scheduler CFS del kernel Linux serve esattamente anche a prevenire questa possibilità. Precisando, volendo bloccare una macchina con Mac OS X, è sufficiente agire sul sottosistema della memoria virtuale: ogni operazione di pesante input/output congela il sistema operativo.
Mr.Gamer12 Luglio 2007, 15:21 #7
beh niente è sicuro, anche halo 2/shadowrun "necessitano" di directx10, finche non arrivano un gruppo di cracker che modificano 2 file e *magicamente* le dx10 non servono più.

se quest'idea è venuta a qualcun'altro in mente prima del proof-of-concept, ci potrebbero essere malware in giro
Kenny Rullo12 Luglio 2007, 15:27 #8
Originariamente inviato da: DevilsAdvocate
Se ti rallenta il windows prova a :
1- rimuovere il norton
2- rimuovere spyware/malware/trojans
3- usare un programmino di pulizia del registro
4- formattare


Io riscriverei la tua citazione in
1- rimuovere spyware/malware/trojans/norton
2- usare un programmino di pulizia del registro
3- formattare


Nel mio precedente pc con winxp avevo un problema piuttosto curioso: un processo scvhost.exe monopolizzava la cpu per lunghi periodi di tempo, soprattutto appena avviato e casualmente durante l'esecuzione con decisi cali di prestazioni. Se killavo quel processo non mi funzionava più l'audio. Credevo che fossero i driver della scheda audio appunto ma anche aggiornandoli non cambiava nulla. Li ho addirittura rimossi lasciando la periferica non attiva ma ciccia.
Alla fine scoprii che era il processo di windows update a crearmi tutti sti casini. Pensavo che usando fastweb con la storia dell'ip privato / ip pubblico gli automatic updates avessero problemi a trovare il server MS e andassero in loop ma me l'hanno escluso categoricamente.
In buona sostanza, ho disattivato gli aggiornamenti automatici e tutto è andato liscio. Oggi anche in virtualizzazione su parallels gli autoupdates li mantengo disabilitati e ogni martedì vado a dare un occhio a manina
ilsensine12 Luglio 2007, 15:29 #9
Originariamente inviato da: black-m01
Errato, lo scheduler CFS del kernel Linux serve esattamente anche a prevenire questa possibilità

Vediamo, il CFS è molto recente.
Ricordo che la "feature" era già stata segnalata sulla lkml in un contesto scorrelato -- un task che inseriva delle sleep "stategiche" riusciva ad ottenere un bonus dal s/o anche quando non ne aveva diritto.
DevilsAdvocate12 Luglio 2007, 15:30 #10
Originariamente inviato da: Mr.Gamer
beh niente è sicuro, anche halo 2/shadowrun "necessitano" di directx10, finche non arrivano un gruppo di cracker che modificano 2 file e *magicamente* le dx10 non servono più.

se quest'idea è venuta a qualcun'altro in mente prima del proof-of-concept, ci potrebbero essere malware in giro

Prima che si scateni il panico collettivo: se usate Karamba/gdesklets/gkrellm
o desklets e la vostra cpu sta sotto al 10-15% quando non lanciate
programmi o che, allora siete al sicuro...

Per quanto riguarda il CFS: questo proof-of concept sembra un poco vecchiotto,
tra i sistemi operativi non nomina neppure Vista....

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^