ZeroAccess: malware capace di bypassare e disattivare i software di sicurezza
Il rootkit ZeroAccess è stato aggiornato e le ultime novità lo rendono ancor più difficile da individuare. Webroot lo ritiene capace di bypassare e disattivare alcuni software di sicurezza e ne segnala una rapida diffusione
di Fabio Boneschi pubblicata il 21 Luglio 2011, alle 10:49 nel canale SicurezzaPer gli esperti di sicurezza uno dei più recenti problemi è ZeroAccess, un rootkit noto da qualche tempo ma costantemente aggiornato dai suoi creatori che ne continuano a modificare alcune caratteristiche per renderlo di difficile individuazione sul sistema. Per chi volesse vedere all'opera questo malware è disponibile su YouTube un video molto interessante.
Webroot sta seguendo da vicino le evoluzioni di ZeroAccess e un post pubblicato da Marco Giuliani, che sulle pagine di Hwupgrade non ha bisogno di presentazioni, ne descrive le ultime mutazioni. La più grossa novità riguarda il modo con il quale il rootkit conserva file di configurazione, malware e dati proteggendoli con un algoritmo crittografico. ZeroAccess è ora in grado di creare e utilizzare una directory nascosta all'interno della cartella di sistema Windows.
La cartella creata da ZeroAccess è visibile con i comuni strumenti di sistema, ma cercando di accedervi iniziano le prime difficioltà: alla cartella corrisponde un link simbolico a un percorso inesistente e in questo modo tutti metodi di accesso a livello di filesystem vengono esclusi. Ma se anche si riuscisse a entrare nella cartella i dati in essa contenuti risulterebbero crittografati con modalità differenti rispetto al passato: la chiave ora è creata in modo autonomo su ogni sistema infetto, quindi non è più presente un elemento come in passato e questo ovviamente complica il lavoro di individuazione e studio del malware.
Il nome della cartella in cui il rootkit archivia i propri elementi ha questa struttura: C:\WINDOWS\$NtUninstallKBxxxxx$, dove la serie di caratteri x indicano un numero generato in base alle caratteristiche del sistema infetto. I più attenti avranno notato una somiglianza di questa struttura rispetto a quanto fatto da Windows per l'uninstall dei propri update.
Tralasciando queste modifiche ben documentate a questo indirizzo, ZeroAccess non cambia nella propria sostanza e nella capacità di interagire con disk.sys intercettandone tutti i pacchetti gestiti. Una delle caratteristiche più preoccupanti di ZeroAccess riguarda la propria capacità di autodifesa: la soluzione implementata nella precedente versione del rootkit è stata ulteriormente migliorata e Webroot ha rilevato come le eventuali scansione di un tool di sicurezza vengano rilevate dal malware che è in grado di invocare l' API ExitProcess chiudendo il processo e inibendo -agendo a livello delle impostazioni ACL - una successiva esecuzione del file.
I ricercatori hanno anche individuato l'ingegnoso meccanismo sviluppato per garantire l'aggiornamento di ZeroAccess da remoto: il rootkit contatta a intervalli regolari alcuni URL non presenti in una lista ma generati da un apposito engine interno. I creatori del malware conoscendo la logica di questo domain generator possono registrare i domini necessari alla distribuzione degli update e al tempo stesso, variando frequentemente gli URL utilizzati, rendono più complicata la gestione di una blacklist.
La diffusione di ZeroAccess è in crescita stando a quanto riportato da Webroot e, dettaglio non da poco, il rootkit ha dimostrato di essere in grado di bypassare e disabilitare molti dei tool di sicurezza installati sui PC. Al momento non sono noti quali tool di sicurezza siano stati utilizzati e verificati. La situazione merita di essere tenuta sotto controllo anche per i possibili aggiornamenti e evoluzioni; Webroot è al lavoro per lo sviluppo di un tool di rimozione dedicato.
34 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infocomunque è chiaro che la battaglia malware-antimalware è persa, nel senso che gli antimalware possono solo sperare di prendere i pesci piccoli che non sfruttano strumenti di occultamento avanzati
i sistemi operativi, per come sono pensati, consentono al malware di occultarsi senza problemi ed agire ovunque
come dissi qualche tempo fa, il paradigma dell'user non è più adatto alle moderne esigenze di sicurezza....è ora di migrare massicciamente verso le capabilities
Quando il mondo capirà che anche con windows bisogna usare un ACCOUNT UTENTE LIMITATO???
Quando il mondo capirà che anche con windows bisogna usare un ACCOUNT UTENTE LIMITATO???
dalla mia esperienza la risposta è MAI :P
nel caso dei trojan è difficile impedire all'utente di cliccare Si sulla finestra dell'uac
del resto pure l'installazione di un normale programma richiede quelle preferenze
l'impostazione di un account limitato richiede non pochi smanettamenti e così ritorniamo al punto di partenza e cioè l'utonto che ne sa? lui vuole premere un bottone e avere tutto pronto
poi un utente limitato è limitato pure nell'installazione dei programmi
in sostanza il computer diventerebbe inutilizzabile
Questi tizi non hanno un c...zo da fare dalla mattina alla sera, se non rompere le balle a chi lavora..
del resto pure l'installazione di un normale programma richiede quelle preferenze
l'impostazione di un account limitato richiede non pochi smanettamenti e così ritorniamo al punto di partenza e cioè l'utonto che ne sa? lui vuole premere un bottone e avere tutto pronto
poi un utente limitato è limitato pure nell'installazione dei programmi
in sostanza il computer diventerebbe inutilizzabile
In azienda abbiamo account limitati, NON POSSONO INSTALLARE PROGRAMMI, possono usare i computer a disposizione per lavorare cosa che fanno benissimo, altro che inutilizzabile..
Il vero problema e' che c'e' ancora un sacco di gente che pensa che il pc sia una cosa facile da usare anche quando vai a fare operazioni non consentite (Guarda il nome del file che contiene il virus e capirai a cosa mi riferisco). Peggio ancora, c'e' un sacco di gente in giro, che dice che " una mela al giorno toglie il medico di torno ".
Il vero problema e' che c'e' ancora un sacco di gente che pensa che il pc sia una cosa facile da usare anche quando vai a fare operazioni non consentite (Guarda il nome del file che contiene il virus e capirai a cosa mi riferisco). Peggio ancora, c'e' un sacco di gente in giro, che dice che " una mela al giorno toglie il medico di torno ".
..se conosce la password dell'amministratore...altrimenti nisba..
ciò non toglie che hanno enormi competenze
ecco appunto, non puoi installare programmi e qualunque operazione che va oltre il mero utilizzo di quello che già c'è richiede smanettamenti
dunque per l'utenza home è inutilizzabile
Cosa che certamente dispiace a chi fa il medico di mestiere.. molto meno a chi veniva tartassato di richieste di aiuto "amichevoli" e ora, dopo un'accurata opera di marketing mirato, viene lasciato in pace.
Mi chiedo e vi chiedo: se TUTTI gli altri sistemi operativi esistenti (che di fatto sono *nix-like: osx, linux, freebsd, etc...) usano account utente SENZA privilegi di root (e lo fanno senza particolari problemi), perchè ca**o gli utenti windows devono per forza farsi tutte queste PIPPE MENTALI, sul sistema inutilizzabile???
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".