Punto informatico Network

Contenuto Default

Un rootkit dietro il collasso dei DNS

10/01/2007
- A cura di
Archivio - Secondo un ricercatore italiano, i recenti problemi di cui ha sofferto una larga parte dell'infrastruttura di rete nazionale dipendono da un'infezione specifica, che ha influenzato le già carenti capacità del network del bel paese.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

dns (1) , rootkit (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 224 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Riguardo le recenti polemiche sui reali motivi dei problemi alle ADSL di una buona percentuale di concittadini, pare proprio che la verità stia nel mezzo. Gli ISP, e Telecom in particolare, hanno sempre sostenuto di essere stati subissati da eccessive richieste sui server DNS (usati per tradurre i nomi degli host in indirizzi IP) da parte di un numero crescente di infezioni da malware.

Alcuni ricercatori esperti nel campo della sicurezza, per contro, hanno confutato questa tesi, attribuendo l'empasse alla pura e semplice obsolescenza delle inadeguate infrastrutture del network Italia, abusato fino allo spasimo da parte degli operatori sempre più inclini ad offrire connettività a velocità nominali sproporzionatamente superiori rispetto alla reale disponibilità di banda fisica.

01_-_ADSL_under_rootkit_attack!.jpgIl ricercatore Marco Giuliani (che i visitatori di MegaLab.it ricorderanno per essere uno dei più attivi nel recente caso del pericoloso malware Gromozon) sostiene invece che, appunto, la verità è a metà del guado: la vecchia infrastruttura italiana è collassata sotto i colpi di un'aumentata recrudescenza dell'attività dei PC infetti e trasformati in bot-zombi, asserviti al volere del malware che ne ha preso il controllo.

Stando a quanto si può leggere in questo suo recente post, il codice maligno in discussione apparterrebbe a Rustock.B. Il virus, individuato da Symantec come Backdoor.Rustock.B, viene descritto da Giuliani come uno dei più pericolosi rootkit operanti in kernel-mode in circolazione, in grado di nascondersi all'interno dei flussi ADS del file system NTFS sotto il nome di lzx32.sys.

Caratteristica propria di Rustock.B è appunto la capacità di trasformare il PC infetto in un server da utilizzare per inviare spam, generando una quantità smodata di richieste di risoluzione di indirizzi ai server DNS. Le richieste puntano agli IP 208.66.195.78 e 204.13.160.26. Filtrando questi indirizzi, i gestori dei network metterebbero fuori gioco il malware, facendo ritornare ad un livello di funzionamento normale le ADSL casalinghe e non.

Il suddetto post descrive poi in dettaglio l'infezione di cui fa parte Rustock.B, assieme alle operazioni da compiere per rimuovere manualmente l'agente patogeno. Giuliani (che è anche ricercatore della Prevx) conta comunque di pubblicare il tool per la rimozione automatizzata (come il famigerato Gromozon Rootkit Removal Tool) su cui è già al lavoro appena possibile.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.3 sec.
    •  | Utenti conn.: 128
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 0.13