Il magazine tedesco The H ha segnalato una variante del malware Alureon (chiamata TDL4), già noto per aver causato parecchi problemi ad inizio anno ed interessata questa volta sarebbe la versione a 64 bit di Windows. La variante è stata dotata adesso di tutte le funzionalità necessarie a debellare PatchGuard e la limitazione che non consente di caricare driver kernel mode che non fossero stati firmati digitalmente.
Il rootkit, efficace anche su Windows Vista x64 e successivi, è in grado di nascondersi completamente all'utente ed agli antivirus modificando opportunamente le funzioni di base del sistema operativo incaricate di enumerare i processi in esecuzione, i file presenti su disco e via dicendo.
Alureon è uno dei primi malware con un livello di diffusione apprezzabile in grado di raggiungere questo risultato: fino ad oggi infatti, la stragrande maggioranza dei rootkit in circolazione risultavano inefficaci contro Windows a 64 bit, proprio a causa delle due caratteristiche di sicurezza assenti nelle declinazioni a 32 bit.
Il malware raggiunge il proprio obbiettivo comportandosi da bootkit, si annida cioè nel Master Boot Record (MBR) del disco fisso, impiegando per di più una funzione di accesso al drive di più basso livello per cercare di evitare di non insospettire l'analisi comportamentale degli antivirus. Una volta "dentro", Alureon abilita la modalità "test" dei sistemi Windows a 64 bit, nella quale il sistema operativo può caricare driver sprovvisti di firma come di consueto.
A questo punto, il programma ostile può caricare in memoria il proprio componente di sistema che, in accoppiata al caricamento da MBR, gli consente di superare anche la protezione di PatchGuard e divenire così pressoché invisibile. Il rootkit si preoccupa anche di disabilitare l'esecuzione dei vari debugger, indispensabili agli analisti per "smontare" e comprendere il funzionamento e gli scopi del programma. Ciò nonostante, precisa la fonte, un antivirus come Microsoft Security Essentials è in grado di rilevarlo sin dallo scorso agosto, prevenendo per tempo l'infezione. E 'anche possibile rilevare il rootkit manualmente.
 |
Via: Megalab
Nessun commento:
Posta un commento