Il vendor software anti-virus F-Secure segnala che una nuova versione di Zeus infetta i sistemi con processori in esecuzione a oltre di 2 GHz. Al fine di evitare il rilevamento precoce e rendere la vita più difficile per gli analisti dei virus, il malware tenta di determinare se si trova in un ambiente di analisi quando viene eseguito. Il malware determina che il processo viene eseguito sotto il controllo di un debugger, che finirà per non rilevare l'infezione sul computer.
Un metodo standard per determinare la presenza di un debugger è quello di effettuare l'analisi di temporizzazione con la lettura del comando Time Stamp Counter (RDTSC). Sull'analisi di una nuova variante di ZBot, i laboratori di F-Secure hanno scoperto qualcosa di insolito. Se gli aggiornamenti timer sono meno di 2^32 (4.294.967.296) cicli di clock durante una pausa di 2 sec. del programma, il trojan presuppone che il computer ha una ridotta velocità di debugger e termina immediatamente.
Ma un sistema con una velocità di clock inferiore a 2 GHz fallirà questa prova, anche quando funziona a piena velocità - con il risultato che il bot gira su sistemi maggiori. F-Secure ha testato la teoria scatenando il malware su un portatile IBM T42 che funziona a 1,86 GHz - ed è passato indenne. Tuttavia, non è ancora chiaro se questo effetto sia intenzionale o semplicemente il risultato di una matematica errata da parte dell'autore del virus.
Uno sguardo da vicino al codice assembly mostra che i sistemi con clock della CPU a meno di 2 GHz non sono sempre risparmiati, ma hanno solo meno probabilità di essere infettati. Questo dipende dalla loro frequenza di clock esatta e il valore EDX restituito dalla prima chiamata RDTSC. Più lenta è la CPU, meno probabile l'infezione. Zeus è un toolkit in costante evoluzione crimeware, la cui licenza è venduta sul mercato nero per poche centinaia di dollari.
 |
| http://www.f-secure.com/weblog/ |
Nessun commento:
Posta un commento