ZeroAccess: malware capace di bypassare e disattivare i software di sicurezza

ZeroAccess: malware capace di bypassare e disattivare i software di sicurezza

Il rootkit ZeroAccess è stato aggiornato e le ultime novità lo rendono ancor più difficile da individuare. Webroot lo ritiene capace di bypassare e disattivare alcuni software di sicurezza e ne segnala una rapida diffusione

di pubblicata il , alle 10:49 nel canale Sicurezza
 

Per gli esperti di sicurezza uno dei più recenti problemi è ZeroAccess, un rootkit noto da qualche tempo ma costantemente aggiornato dai suoi creatori che ne continuano a modificare alcune caratteristiche per renderlo di difficile individuazione sul sistema. Per chi volesse vedere all'opera questo malware è disponibile su YouTube un video molto interessante.

Webroot sta seguendo da vicino le evoluzioni di ZeroAccess e un post pubblicato da Marco Giuliani, che sulle pagine di Hwupgrade non ha bisogno di presentazioni, ne descrive le ultime mutazioni. La più grossa novità riguarda il modo con il quale il rootkit conserva file di configurazione, malware e dati proteggendoli con un algoritmo crittografico. ZeroAccess è ora in grado di creare e utilizzare una directory nascosta all'interno della cartella di sistema Windows.

La cartella creata da ZeroAccess è visibile con i comuni strumenti di sistema, ma cercando di accedervi iniziano le prime difficioltà: alla cartella corrisponde un link simbolico a un percorso inesistente e in questo modo tutti metodi di accesso a livello di filesystem vengono esclusi. Ma se anche si riuscisse a entrare nella cartella i dati in essa contenuti risulterebbero crittografati con modalità differenti rispetto al passato: la chiave ora è creata in modo autonomo su ogni sistema infetto, quindi non è più presente un elemento come in passato e questo ovviamente complica il lavoro di individuazione e studio del malware.

Il nome della cartella in cui il rootkit archivia i propri elementi ha questa struttura: C:\WINDOWS\$NtUninstallKBxxxxx$, dove la serie di caratteri x indicano un numero generato in base alle caratteristiche del sistema infetto. I più attenti avranno notato una somiglianza di questa struttura rispetto a quanto fatto da Windows per l'uninstall dei propri update.

Tralasciando queste modifiche ben documentate a questo indirizzo, ZeroAccess non cambia nella propria sostanza e nella capacità di interagire con disk.sys intercettandone tutti i pacchetti gestiti. Una delle caratteristiche più preoccupanti di ZeroAccess riguarda la propria capacità di autodifesa: la soluzione implementata nella precedente versione del rootkit è stata ulteriormente migliorata e Webroot ha rilevato come le eventuali scansione di un tool di sicurezza vengano rilevate dal malware che è in grado di invocare l' API ExitProcess chiudendo il processo e inibendo -agendo a livello delle impostazioni ACL - una successiva esecuzione del file.

I ricercatori hanno anche individuato l'ingegnoso meccanismo sviluppato per garantire l'aggiornamento di ZeroAccess da remoto: il rootkit contatta a intervalli regolari alcuni URL non presenti in una lista ma generati da un apposito engine interno. I creatori del malware conoscendo la logica di questo domain generator possono registrare i domini necessari alla distribuzione degli update e al tempo stesso, variando frequentemente gli URL utilizzati, rendono più complicata la gestione di una blacklist.

La diffusione di ZeroAccess è in crescita stando a quanto riportato da Webroot e, dettaglio non da poco, il rootkit ha dimostrato di essere in grado di bypassare e disabilitare molti dei tool di sicurezza installati sui PC. Al momento non sono noti quali tool di sicurezza siano stati utilizzati e verificati. La situazione merita di essere tenuta sotto controllo anche per i possibili aggiornamenti e evoluzioni; Webroot è al lavoro per lo sviluppo di un tool di rimozione dedicato.

34 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
pabloski21 Luglio 2011, 11:12 #1
wow questi tizi sono dei geni

comunque è chiaro che la battaglia malware-antimalware è persa, nel senso che gli antimalware possono solo sperare di prendere i pesci piccoli che non sfruttano strumenti di occultamento avanzati

i sistemi operativi, per come sono pensati, consentono al malware di occultarsi senza problemi ed agire ovunque

come dissi qualche tempo fa, il paradigma dell'user non è più adatto alle moderne esigenze di sicurezza....è ora di migrare massicciamente verso le capabilities
Kernel6921 Luglio 2011, 11:26 #2
Nel video si vede chiaramente che il tizio installa i programmi col semplice doppio click, quindi --> utente ADMINISTRATOR!!!!

Quando il mondo capirà che anche con windows bisogna usare un ACCOUNT UTENTE LIMITATO???
Marco Detto Buffer21 Luglio 2011, 11:32 #3
Originariamente inviato da: Kernel69
Nel video si vede chiaramente che il tizio installa i programmi col semplice doppio click, quindi --> utente ADMINISTRATOR!!!!

Quando il mondo capirà che anche con windows bisogna usare un ACCOUNT UTENTE LIMITATO???


dalla mia esperienza la risposta è MAI :P
pabloski21 Luglio 2011, 11:33 #4
Originariamente inviato da: Kernel69
Nel video si vede chiaramente che il tizio installa i programmi col semplice doppio click, quindi --> utente ADMINISTRATOR!!!!


nel caso dei trojan è difficile impedire all'utente di cliccare Si sulla finestra dell'uac

del resto pure l'installazione di un normale programma richiede quelle preferenze

Quando il mondo capirà che anche con windows bisogna usare un ACCOUNT UTENTE LIMITATO???


l'impostazione di un account limitato richiede non pochi smanettamenti e così ritorniamo al punto di partenza e cioè l'utonto che ne sa? lui vuole premere un bottone e avere tutto pronto

poi un utente limitato è limitato pure nell'installazione dei programmi

in sostanza il computer diventerebbe inutilizzabile
Pier220421 Luglio 2011, 11:40 #5
Originariamente inviato da: pabloski
wow questi tizi sono dei geni


Questi tizi non hanno un c...zo da fare dalla mattina alla sera, se non rompere le balle a chi lavora..


Originariamente inviato da: pabloski
nel caso dei trojan è difficile impedire all'utente di cliccare Si sulla finestra dell'uac

del resto pure l'installazione di un normale programma richiede quelle preferenze



l'impostazione di un account limitato richiede non pochi smanettamenti e così ritorniamo al punto di partenza e cioè l'utonto che ne sa? lui vuole premere un bottone e avere tutto pronto

poi un utente limitato è limitato pure nell'installazione dei programmi

in sostanza il computer diventerebbe inutilizzabile


In azienda abbiamo account limitati, NON POSSONO INSTALLARE PROGRAMMI, possono usare i computer a disposizione per lavorare cosa che fanno benissimo, altro che inutilizzabile..
Scezzy21 Luglio 2011, 11:40 #6
Ah si ? E quindi secondo te con utente limitato le persone eviterebbero di prendere questa infezione ? Quando l'utente fara' doppio click sul file infetto il computer gli chiedera' di eseguire il programma con permessi amministrativi e l'utente gli dira': FAI PURE ! E patatrac...

Il vero problema e' che c'e' ancora un sacco di gente che pensa che il pc sia una cosa facile da usare anche quando vai a fare operazioni non consentite (Guarda il nome del file che contiene il virus e capirai a cosa mi riferisco). Peggio ancora, c'e' un sacco di gente in giro, che dice che " una mela al giorno toglie il medico di torno ".
Pier220421 Luglio 2011, 11:47 #7
Originariamente inviato da: Scezzy
Ah si ? E quindi secondo te con utente limitato le persone eviterebbero di prendere questa infezione ? Quando l'utente fara' doppio click sul file infetto il computer gli chiedera' di eseguire il programma con permessi amministrativi e l'utente gli dira': FAI PURE ! E patatrac...

Il vero problema e' che c'e' ancora un sacco di gente che pensa che il pc sia una cosa facile da usare anche quando vai a fare operazioni non consentite (Guarda il nome del file che contiene il virus e capirai a cosa mi riferisco). Peggio ancora, c'e' un sacco di gente in giro, che dice che " una mela al giorno toglie il medico di torno ".


..se conosce la password dell'amministratore...altrimenti nisba..
pabloski21 Luglio 2011, 11:48 #8
Originariamente inviato da: Pier2204
Questi tizi non hanno un c...zo da fare dalla mattina alla sera, se non rompere le balle a chi lavora..


ciò non toglie che hanno enormi competenze



In azienda abbiamo account limitati, NON POSSONO INSTALLARE PROGRAMMI, possono usare i computer a disposizione per lavorare cosa che fanno benissimo, altro che inutilizzabile..


ecco appunto, non puoi installare programmi e qualunque operazione che va oltre il mero utilizzo di quello che già c'è richiede smanettamenti

dunque per l'utenza home è inutilizzabile
LucaTortuga21 Luglio 2011, 11:52 #9
Originariamente inviato da: Scezzy
Peggio ancora, c'e' un sacco di gente in giro, che dice che " una mela al giorno toglie il medico di torno ".

Cosa che certamente dispiace a chi fa il medico di mestiere.. molto meno a chi veniva tartassato di richieste di aiuto "amichevoli" e ora, dopo un'accurata opera di marketing mirato, viene lasciato in pace.
Kernel6921 Luglio 2011, 12:45 #10
OK, vedo che la questione dell'account utente limitato "sta a cuore" a molti...
Mi chiedo e vi chiedo: se TUTTI gli altri sistemi operativi esistenti (che di fatto sono *nix-like: osx, linux, freebsd, etc...) usano account utente SENZA privilegi di root (e lo fanno senza particolari problemi), perchè ca**o gli utenti windows devono per forza farsi tutte queste PIPPE MENTALI, sul sistema inutilizzabile???

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^