Shruggle: il primo virus per AMD64

Shruggle: il primo virus per AMD64

Dopo Rugrat, il virus che colpisce Itanium, ora tocca a AMD64, il processore a 64 bit di AMD

di pubblicata il , alle 09:32 nel canale Sicurezza
AMD
 

Sono passati alcuni mesi da quando il gruppo di virus writer 29A aveva rilasciato il primo virus per sistemi a 64 bit. Rugrat, scritto in assembly IA64, colpiva solo i sistemi basati su processore Itanium.

Sembrava un attacco a Intel, invece per 'par condicio' è stato isolato qualche giorno fa da Symantec Shruggle, il primo virus scritto in assembly AMD64, capace di infettare dunque i sistemi a 64 bit basati su processori AMD64 di AMD.

Una volta eseguito, il worm cerca all'interno della stessa directory e nelle sotto directory files eseguibili; una volta trovati ne copia il suo codice all'interno.

Il virus non infetta files a 32 bit e non funziona su sistemi nativi a 32 bit.

Shruggle è molto simile a Rugrat e utilizza un esiguo numero di API per Win64 prese da tre differenti librerie:

NTDLL.DLL

  • LdrGetDllHandle()
  • RtlAddVectoredExceptionHandler()
  • RtlRemoveVectoredExceptionHandler()

SFC_OS.DLL

  • SfcIsFileProtected() (per evitare di infettare files protetti dal System File Checker (SFC)

KERNEL32

  • CreateFileMappingA()
  • CreateFileW()
  • CloseHandle()
  • FindFirstFileW()
  • FindNextFileW
  • FindClose()
  • GetFullPathNameW()
  • GetTickCount()
  • GlobalAlloc()
  • GlobalFree()
  • LoadLibraryA()
  • MapViewOfFile()
  • SetCurrentDirectoryW()
  • SetFileAttributesW()
  • SetFileTime()
  • UnmapViewOfFile()

Il worm è tuttavia un proof-of-concept e non può diffondersi perché Windows a 64 bit non è ancora stato rilasciato, seppure esistano delle beta per saggiarne le funzionalità.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

21 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Azazhell24 Agosto 2004, 09:45 #1
azz mi tocca installare il norton pure su win64...

cque...primo
HyperText24 Agosto 2004, 09:48 #2
Originariamente inviato da Azazhell
azz mi tocca installare il norton pure su win64...

cque...primo

Di certo non sarai il primo ad essere stato sospeso.
kurt8124 Agosto 2004, 09:54 #3
e meno male che dovevamo essere un pò più protetti! però mi sa che è un pò più tradizionale come worm, non utilizza buffer overflow ma infetta i file in maniera classica...

certo che ancora non ci sono programmi a 64bit e c'è chi ha pensato già a scrivere i virus...
FLikKo24 Agosto 2004, 09:55 #4

ma

i virus diciamo per gli os a 32bit, vengono tagliati tutti fuori su OS 64bit?

cmq hanno ancora tempo per fixare, visto che nn e' ancora uscito la versione finale di win 64
kurt8124 Agosto 2004, 10:00 #5

Comunque 'sta cosa mi puzza...

" Il worm è tuttavia un proof-of-concept e non può diffondersi perché Windows a 64 bit non è ancora stato rilasciato"


Allora: presupposto che i virus writer non esercitano la loro attivita alla luce del sole e che 'sti virus non sono ancora in giro (non ci sono win64 così diffusi) chi cavolo l'ha portato sto verme alla Symantec???? Mi sa tanto che parecchi worm nascono e muoiono nei pc del sig. Norton...... bastardi...
Sig. Stroboscopico24 Agosto 2004, 10:59 #6
Non mi pare molto sorprendente la cosa... sarebbe più interessante se bypassasse la nuova protezione che stanno implementando sia AMD che Intel (quella del bufferoverflow... se non sbaglio...).

Comunque sa veramente di mossa da parte delle case antivirus per ricordare che "servono sempre" nonostante le "nuove protezioni"

^^
Azazhell24 Agosto 2004, 11:17 #7

Re: ma

Originariamente inviato da FLikKo
i virus diciamo per gli os a 32bit, vengono tagliati tutti fuori su OS 64bit?

cmq hanno ancora tempo per fixare, visto che nn e' ancora uscito la versione finale di win 64



No mi sa il contrario: win64 è in grado di far partire tutti i prog a 32 bit e quindi anche i virus,mentre i vecchio xp a 32 bit non può far partire quelli a 64 e quindi in teoria è + sicuro ... o sbaglio?
eraser24 Agosto 2004, 11:20 #8

Re: Comunque 'sta cosa mi puzza...

Originariamente inviato da kurt81
Allora: presupposto che i virus writer non esercitano la loro attivita alla luce del sole e che 'sti virus non sono ancora in giro (non ci sono win64 così diffusi) chi cavolo l'ha portato sto verme alla Symantec???? Mi sa tanto che parecchi worm nascono e muoiono nei pc del sig. Norton...... bastardi...


è stato pubblicato su un newsgroup monitorato dalla symantec
avvelenato24 Agosto 2004, 11:23 #9

Re: Comunque 'sta cosa mi puzza...

Originariamente inviato da kurt81
" Il worm è tuttavia un proof-of-concept e non può diffondersi perché Windows a 64 bit non è ancora stato rilasciato"


Allora: presupposto che i virus writer non esercitano la loro attivita alla luce del sole e che 'sti virus non sono ancora in giro (non ci sono win64 così diffusi) chi cavolo l'ha portato sto verme alla Symantec???? Mi sa tanto che parecchi worm nascono e muoiono nei pc del sig. Norton...... bastardi...


è esatto, i produttori di antivirus fanno molta ricerca, e i proof-of-concept servono per cercare di capire le vulnerabilità di un sistema senza creare un virus "pericoloso".


btw, possiamo prendercela quanto vogliamo con i produttori di av, ma senza questo lavoro di prevenzione ogni virus nuovo dovrebbe mietere qualche vittima, prima di essere diagnosticabile ed eliminabile da un av.
Marco7124 Agosto 2004, 12:01 #10
Siete così sicuri che chi sviluppa e produce programmi anti-virus (in tutte le loro incarnazioni) non siano direttamente collegati in "anello chiuso" con gli "incaricati" di scrivere e diffondere le "infezioni" ?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^