Malware Popureb: non è necessario reinstallare Windows

Malware Popureb: non è necessario reinstallare Windows

Popureb è un recente bootkit individuato dagli esrti di sicurezza. Per la sua rimozione è stata inizialmente suggerita una procedura che prevede anche la reinstallazione completa del sistema operativo, ma tutto ciò pare non essere necessario

di pubblicata il , alle 17:16 nel canale Sicurezza
WindowsMicrosoft
 

Da alcuni giorni gli esperti di sicurezza e l'utenza più informata sono alle prese con un nuovo malware denominato Popureb.E e viene classificato tra i  bootkits, cioè tra quelle minacce in grado di modificare o aggiungere codice al Master Boot Record. Questo tipo di codici malevole hanno la peculiarità di poter essere eseguiti prima che il sitema operativo sia completamente avviato, quindi possono effettuare modifiche al sistema senza che le eventuali utility di sicurezza siano in esecuzione e pronte a rilevare le minacce.

Microsoft nei giorni scorsi ha diffuso una nota in cui suggeriva agli utenti affetti da Popureb.E un modo drastico per la risoluzione del problema: la casa di Redmond consigliava la reinstallazione del sistema con la totale cancellazione dei dati presenti sull'hard disk. Con il passare delle ore la situazione si è evoluta e alcuni esperti di sicurezza hanno ritenuto eccessiva la soluzione proposta da Microsoft; tra questi esperti c'è l'amico Marco Giuliani che sta seguendo questa minaccia per Webroot. A questa pagina è presente una descrizione precisa del codice di Popureb.e e altre informazioni relative al malware.

Stando ai sample raccolti da Popureb.e questa minaccia riguarda i soli sistemi operativi Windows XP e Windows 2003, mentre Microsoft Windows Vista e Windows 7 pare siano immuni. Al momento in cui Popureb viene eseguito, il malware è in grado di calcolare i settori dell'hard disk in cui memorizzare la propria payload. Ci sono però alcuni dettagli interessanti relativi a Popureb.E che hanno suggerito a Microsoft un approccio più moderati rispetto al primo consiglio di completa reinstallazione: analizzando il codice del malware si è notato che a differenza di altri bootkits Popureb.E non nasconde alcune informazioni e non mette in atto alcuni meccanismi per proteggere il proprio codice.

Marco Giuliani nella propria analisi conclude: ".. noi conosciamo dove il rootkits memorizza l'MBR, noi conosciamo come disabilitare il filtraggio messo in atto dal rootkits e conosciamo come ripristinare la routine StartIo corretta". È quindi solo questione di tempo e verrà rilasciato un tool dedicato al ripristino di eventuali sistemi compromessi. C'è però un'ultima preoccupazione da parte degli esperti: Popureb.E, infatti alcuni bug presenti nel malware potrebbero creare problemi alla fase di startup del sistema e la soluzioni in questi casi pare essere quella più drastica e suggerita inizialmente da Microsoft.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

39 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
jaNo74401 Luglio 2011, 17:24 #1

Modalità di diffusione...

Ma non c'è nessuno che sappia descrivere quali sono le modalità di diffusione di questo virus? pendrive? siti malevoli? programmi scaricati infetti? p2p?....
Vellerofonte01 Luglio 2011, 17:36 #2
Sempre più linuxiano convinto

sempre più triste di dover usare win per determinate kill application
matsnake8601 Luglio 2011, 17:46 #3
ma i sintomi di un pc che ce l'ha come vengono recepiti?

se un virus da mbr è uno di quelli che ti fà andare in crash il sistema prima di caricarlo?
tony7301 Luglio 2011, 17:51 #4
Usa quello che vuoi ne hai pieno diritto, ma l'articolo parla dei soli WinXP e Win2003 a soffrire di tale malware, non i piu recenti Vista e 7 (che hanno praticamente il 100% degli utenti consumer).
tony7301 Luglio 2011, 17:52 #5
Originariamente inviato da: matsnake86
ma i sintomi di un pc che ce l'ha come vengono recepiti?

se un virus da mbr è uno di quelli che ti fà andare in crash il sistema prima di caricarlo?


Non lo carica nemmeno l'OS si impalla prima con un errore.
Pier220401 Luglio 2011, 17:58 #6
Se si continua a usare XP ormai fuori produzione da 2 anni non c'è da meravigliarsi.

Va bene che MS ha garantito il supporto fino al 2014, ma ormai anche il più stolto sa che non è più adeguato. Dopo 3 service pack, una infinità di aggiornamenti alla sicurezza ormai è diventato una torre di babele..
maxime01 Luglio 2011, 18:28 #7
Ma avere più notizie sui metodi di diffusione per evitare di beccarselo, no!?!
Willy_Pinguino01 Luglio 2011, 18:45 #8
non ho idea di cosa faccia o cosa sia questo nuovo malaware, ma dubito che impalli i computer infettati, altrimenti che scopo avrebbe? un pc bloccato non serve a nessuno, ne all'utente ne a chi lo vorrebbe vampirizzare o usare in maniera malevola...

davvero la redazione potrebbe espandere l'argomento e descrivere sintomi, effetti e modalità di contagio di questo malaware
Avatar001 Luglio 2011, 18:51 #9
fixmbr e fixboot non funzionano quindi ?
WarDuck01 Luglio 2011, 19:33 #10
Originariamente inviato da: Vellerofonte
Sempre più linuxiano convinto

sempre più triste di dover usare win per determinate kill application


Basterebbe cominciare ad usare Windows (Vista o 7 possibilmente) con un po' di buon senso... non è tanto il SO il problema ma l'atteggiamento.

La maggior parte di questi malware viene installato con tanto di consenso dell'utente... inoltre usando warez e il p2p in maniera spropositata è chiaro che il rischio aumenta a dismisura.

Con 7 è stato disattivato anche l'autorun delle USB, quindi non c'è più nessuna scusa.

Se non cambia l'atteggiamento prima o poi lo stesso utente darà il consenso di root anche sotto GNU/Linux, e anche lì non ci saranno santi...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^