Il sistema rallenta? Colpa di un malware nascosto
Un proof-of-concept mostra come possa essere utilizzata la cpu per eseguire del codice, potenzialmente malevolo, con privilegi user level
di Fabio Boneschi pubblicata il 12 Luglio 2007, alle 14:39 nel canale SicurezzaIl pc rallenta in modo considerevole? Potrebbe essere un malware e non sarebbe certo una novità. Ma quel che preoccupa è il fatto che tale codice malevolo potrebbe restare ben nascosto, utilizzando risorse di sistema. Un gruppo di ricercatori ha presentato il proprio lavoro dal titolo "Secretly Monopolizing the CPU Without Superuser Privileges" in occasione del Usenix Security Symposium e proprio da tale studio emergono le preoccupazioni sottolineate poc'anzi.
Il documento fa riferimento a sistemi Unix, solo Mac OS X pare essere immune, ma in linea di principio la minaccia è estendibile a tutti i sistemi operativi multitasking più recenti. Il proof-of-concept presentato è in grado di utilizzare risorse della cpu senza possedere i privilegi di Super User e, dettaglio essenziale, risulterebbe completamente invisibile attraverso il comune comando "Top" di Linux, o strumenti simili.
Come riporta Arstechnica.com, le preoccupazioni nei confronti di una minaccia simile sono di due tipi: è inammissibile ipotizzare che le risorse hardware del proprio pc possano essere sprecate da codice "parassita" di terze parti e, soprattutto, è preoccupante ipotizzare che un maleware sia residente nel proprio sistema e distolga risorse al normale uso.
In linea di principio il proof-of-concept non potrebbe funzionare: senza i massimi privilegi alcune operazioni non dovrebbero essere possibili. Il condizionale è d'obbligo e alcuni stratagemmi dimostrano che è possibile effettuare tutto ciò anche da uno "user level". Il gruppo di lavoro ha scritto il codice utilizzando una particolare istruzione messa a disposizione dalle cpu e definita Cycle Counterche offre una miglior precisione rispetto a quanto fatto dai software convenzionali attraverso l'uso dei tradizionali interrupt.
Con Cycle Counter e il livello di precisione offerto è possibile eseguire un particolare task nell'intervallo di tempo che intercorre tra due interrupt della cpu: con tale stratagemma i comuni strumenti di indagine non sono in grado di rilevare il task in corso che, con le dovute semplificazioni, viene continuamente attivato e spento.
Quanto mostrato al Usenix security Symposium non significa ovviamente che da d'ora innanzi ogni rallentamento del pc sia da imputare a questo genere di malware, sappiamo infatti benissimo che le motivazioni vanno generalmente ricercate nel sistema operativo, ma questi proof of concept ci invitano ad ampliare gli orizzonti e i punti di vista, riuscendo magari a intuire nuovi terreno fertili per la proliferazione di malware o di minacce alla sicurezza.
Mario Kart World lancia Switch 2: la magia Nintendo ora in 4K
La rivoluzione dei dati in tempo reale è in arrivo. Un assaggio a Confluent Current 2025
SAP Sapphire 2025: con Joule l'intelligenza artificiale guida app, dati e decisioni
Xiaomi Poco X7 o X7 Pro? Vi spieghiamo cosa cambia, sono in super offerta entrambi
Tesla crolla anche in Francia nonostante l'arrivo di nuova Model Y, impennata in Norvegia
Vertiv amplia la gamma CoolChip CDU con nuovi dispositivi per il raffreddamento a liquido 
Al via i test integrati per NASA SLS, capsula Orion e sistemi di terra della missione Artemis II
Trump rilancia sui social: "Biden è morto nel 2020 ed è stato sostituito da un robot"
Photoshop sbarca anche su Android: Adobe apre la beta pubblica dell’app completa
The Witcher 4: la nuova Gameplay Tech Demo mostra il pieno potenziale di Unreal Engine 5 e del nuovo titolo CDPR
Agentic Experience, l'IA basata su agenti secondo Qlik
LG OLED Serie C4 2024: cinema e gaming al top con il 4K a 144Hz, ora in offerta su Amazon
La FDA lancia Elsa: l'intelligenza artificiale entra nell'agenzia che vigila su farmaci e alimenti negli USA
Prato perfetto con Sunseeker Elite X7, il robot tagliaerba definitivo con AI
WordPress forma un team AI per l'integrazione dell'intelligenza artificiale nel core della piattaforma
HONOR 200 Lite a 179€ su Amazon: display luminoso e fotocamera 108 MP a prezzo contenuto
WWDC 2025, se vi aspettate una rivoluzione in ambito IA potreste rimanere delusi
35 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoho zonealarm ma ho questo problema!
o gkrellm sul desktop dal quale vede effetivamente quanta è l'occupazione del processore.
(che non darà il nome del processo,ma mostra senza dubbio se c'è
un simile malware nel pc).....
ho zonealarm ma ho questo problema!
Qua si fa riferimento a sistemi Linux e MacOSX, benchè essendo questo
trucchetto dovuto ad un'istruzione della cpu non è da escludere che
si possa sfruttare sotto windows.
Se ti rallenta il windows prova a :
1- rimuovere il norton
2- rimuovere spyware/malware/trojans
3- usare un programmino di pulizia del registro
4- formattare
EDIT: leggendo meglio il proof-of-concept sembra indirizzato pure a windows, non a MacOSX
(immagini in cima alla pagina 4).
ho zonealarm ma ho questo problema!
Si parla di "proof of concept" cioè di un prototipo quindi è impossibile che tu abbia questo maleware.
Errato, lo scheduler CFS del kernel Linux serve esattamente anche a prevenire questa possibilità. Precisando, volendo bloccare una macchina con Mac OS X, è sufficiente agire sul sottosistema della memoria virtuale: ogni operazione di pesante input/output congela il sistema operativo.
se quest'idea è venuta a qualcun'altro in mente prima del proof-of-concept, ci potrebbero essere malware in giro
1- rimuovere il norton
2- rimuovere spyware/malware/trojans
3- usare un programmino di pulizia del registro
4- formattare
Io riscriverei la tua citazione in
1- rimuovere spyware/malware/trojans/norton
2- usare un programmino di pulizia del registro
3- formattare
Nel mio precedente pc con winxp avevo un problema piuttosto curioso: un processo scvhost.exe monopolizzava la cpu per lunghi periodi di tempo, soprattutto appena avviato e casualmente durante l'esecuzione con decisi cali di prestazioni. Se killavo quel processo non mi funzionava più l'audio. Credevo che fossero i driver della scheda audio appunto ma anche aggiornandoli non cambiava nulla. Li ho addirittura rimossi lasciando la periferica non attiva ma ciccia.
Alla fine scoprii che era il processo di windows update a crearmi tutti sti casini. Pensavo che usando fastweb con la storia dell'ip privato / ip pubblico gli automatic updates avessero problemi a trovare il server MS e andassero in loop ma me l'hanno escluso categoricamente.
In buona sostanza, ho disattivato gli aggiornamenti automatici e tutto è andato liscio. Oggi anche in virtualizzazione su parallels gli autoupdates li mantengo disabilitati e ogni martedì vado a dare un occhio a manina
Vediamo, il CFS è molto recente.
Ricordo che la "feature" era già stata segnalata sulla lkml in un contesto scorrelato -- un task che inseriva delle sleep "stategiche" riusciva ad ottenere un bonus dal s/o anche quando non ne aveva diritto.
se quest'idea è venuta a qualcun'altro in mente prima del proof-of-concept, ci potrebbero essere malware in giro
Prima che si scateni il panico collettivo: se usate Karamba/gdesklets/gkrellm
o desklets e la vostra cpu sta sotto al 10-15% quando non lanciate
programmi o che, allora siete al sicuro...
Per quanto riguarda il CFS: questo proof-of concept sembra un poco vecchiotto,
tra i sistemi operativi non nomina neppure Vista....
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".