Master Boot Record rootkit, a volte ritornano

Master Boot Record rootkit, a volte ritornano

Allarme nel settore della sicurezza informatica a causa di una variante di un rootkit già molto pericoloso nella sua precedente versione

di pubblicata il , alle 08:00 nel canale Sicurezza
 

Lo scorso anno si aprì quasi tragicamente per il mondo della sicurezza informatica, con gli esperti che isolarono la prima variante del MBR rootkit, una nuova tipologia di rootkit in the wild che inaugurò di fatto un nuovo trend per i malware informatici. Nulla che non si conoscesse già, poiché il proof of concept di un rootkit residente nel Master Boot Record era stato presentato anni prima ad una conferenza sulla sicurezza informatica, ma era sempre rimasto sotto forma di esempio.

Allo scoccare del 2008 però, la tragica scoperta che quel rootkit era stato utilizzato veramente.  Il rootkit era stato identificato in the wild, cioè largamente diffuso, tanto da guadagnarsi i titoli dei media online che lo definivano come peggiore minaccia del 2008. Quasi totalmente invisibile, il rootkit era riuscito ad eludere il controllo di tutti i software di sicurezza che non erano in grado di gestire questa minaccia. A distanza di un anno la società di sicurezza informatica Prevx rilancia l'allarme: il rootkit è mutato ed è pronto a fare nuovamente danni.

"Questa è una tipologia di rootkit che già in origine era difficile da individuare, ma nella nuova variante gli autori sono riusciti a superare di nuovo sé stessi, mettendo in ginocchio gran parte dei prodotti di sicurezza" spiega Marco Giuliani, Prevx senior malware analyst che ha analizzato il nuovo rootkit.

Il rootkit in questione infetta il Master Boot Record, alterando l'avvio del sistema operativo e caricando in memoria il proprio driver. Da quel momento il PC è in mano al rootkit. Secondo il team di ricerca Prevx il rootkit, seppur evoluto, ha ancora come scopo principale quello di sottrarre dati personali all'utente, controllandone eventuali connessioni a molti siti bancari internazionali ed italiani.

"Il rootkit è in grado di decodificare eventuali connessioni crittografate alle banche, proprio perché riesce ad intercettare la connessione nel momento in cui viene codificata e decodificata dal browser. Il comportamento in questione non è niente di particolarmente nuovo; quello che preoccupa maggiormente è la complessa tecnica con la quale il rootkit riesce a nascondersi nel sistema, capace di alterare ancor più in profondità il sistema operativo" continua ancora Giuliani.

La nuova variante del rootkit riesce infatti ad alterare gli oggetti del kernel di sistema, creandone delle copie opportunamente modificate e ridefinendo il device dell'hard disk in modo che risulti definito come l'oggetto di sistema creato ad hoc. In questa maniera il rootkit riesce ad alterare la lettura del Master Boot Record da parte di qualsiasi programma ogni qualvolta se ne tenti la lettura, mostrando il MBR originale pre-infezione.

L'infezione, secondo Giuliani, è attualmente trasmessa attraverso siti web compromessi contenenti javascript offuscati o iframe nascosti che reindirizzano a pagine web opportunamente configurate per sfruttare exploit al fine di installare automaticamente il malware nel sistema.

"Visto l'impressionante ritmo con il quale il MBR rootkit è riuscito lo scorso anno ad infettare decine di migliaia di PC e visto come le società di sicurezza hanno reagito lentamente al problema, è probabile che si assista ad una rapida diffusione di questa nuova variante nelle prossime settimane o mesi" ha poi concluso Giuliani.

L'unico strumento ufficialmente in grado di individuare e rimuovere questa nuova variante del MBR rootkit risulta al momento essere Prevx 3.0, scaricabile dal sito web della società Prevx. La società ha comunicato che l'individuazione e la rimozione dell'infezione è offerta gratuitamente.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

117 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Parappaman18 Aprile 2009, 08:39 #1
Originariamente inviato da: Marco Giuliani, Prevx senior malware analyst
L'unico strumento ufficialmente in grado di individuare e rimuovere questa nuova variante del MBR rootkit risulta al momento essere Prevx 3.0, scaricabile dal sito web della società Prevx.


E chi l'avrebbe mai detto!
giovannifg18 Aprile 2009, 08:50 #2
Comunque, anche se magari un po' gonfiata per ovvi interessi di parte, questa minaccia sembra abbastanza agghiacciante...
Apocalysse18 Aprile 2009, 08:57 #3
In effetti "se basta un sito web" per essere infettati e considerando che la maggiorparte sono sistemi Windows Xp con IE 6, la cosa è molto preoccupante !
FulValBot18 Aprile 2009, 09:40 #4
io vorrei che anche antivir lo potesse rimuovere ...
frnz18 Aprile 2009, 09:52 #5

una pregunta

Ma scusate, non ho mica tanto chiara sta cosa. Sto MBR rootkit si posiziona appunto nel MBR per sua natura piccoletto. Visto tutto quello che fa mi viene da pensare che sia studiato per un sistema operativo specifico (Windows ??) ma l'articolo non lo dice esattamente. Anche perché non penso sia poi così fattibile fare una roba del genere perfettamente Cross Platform. Il modo fi accedere ai dischi e alla rete varia in modo radicale tra Linux, BSD Windows e quant'altro...
Qualcuno ne sa di più?
ferro98618 Aprile 2009, 09:52 #6
L'unico strumento ufficialmente in grado di individuare e rimuovere questa nuova variante del MBR rootkit risulta al momento essere Prevx 3.0, scaricabile dal sito web della società Prevx.


Già, non sembra esattamente una coincidenza che l'azienda che ne ingigantisce così la pericolosità, sia proprio quella che dice di aver l'unico strumento per rimuoverlo.

Se non altro è gratis, ma nel frattempo si faranno un pò di pubblicità, che male non gli fa

Ma è una ditta italiana? Così se non altro abbiamo una dittta di casa nostra che è brava almeno a farsi pubblicità
truncksz18 Aprile 2009, 10:01 #7
La società ha comunicato che l'individuazione e la rimozione dell'infezione è offerta gratuitamente.


Io ero rimasto alla sola individuazione gratuita ma non rimozione, mi sono perso qualcosa oppure la news non è proprio corretta?
ferro98618 Aprile 2009, 10:03 #8
La società ha comunicato che l'individuazione e la rimozione dell'infezione è offerta gratuitamente.



La news dice che anche la rimozione è gratuita, poi non sono mica andato a controllare
truncksz18 Aprile 2009, 10:11 #9
Originariamente inviato da: truncksz
Io ero rimasto alla sola individuazione gratuita ma non rimozione, mi sono perso qualcosa oppure la news non è proprio corretta?


Originariamente inviato da: ferro986
La news dice che anche la rimozione è gratuita, poi non sono mica andato a controllare


Rispondo sia a me stesso che a te, utilizzando il software alcuni malware sono rimovibili in modo gratuito, quest'ultimi vengono contrassegnati con un simbolo nero contenente un F bianca ove è presente la dicitura "Free to cleanup".

Sarà che questo Prevx 3.0 rimuove più malware di tutti (a detta loro) ma rileva pure molti falsi positivi.
Su 20 pc dove è installato alcohol 52% (che ricordo è gratis, quindi niente crack e schifezze varie) rileva il suo file di disinstallazione come Cloaked Malware quando non lo è.
FulValBot18 Aprile 2009, 10:13 #10
io ho visto che rileva ma non rimuove nulla nella versione free, avevo giusto poco fa provato l'ultima versione... e m'ha anche visto un falso positivo sul programma gta2 game hunter.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^