www.MegaLab.it

Riguardo le recenti polemiche sui reali motivi dei problemi alle ADSL di una buona percentuale di concittadini, pare proprio che la verità stia nel mezzo. Gli ISP, e Telecom in particolare, hanno sempre sostenuto di essere stati subissati da eccessive richieste sui server DNS (usati per tradurre i nomi degli host in indirizzi IP) da parte di un numero crescente di infezioni da malware.

Alcuni ricercatori esperti nel campo della sicurezza, per contro, hanno confutato questa tesi, attribuendo l'empasse alla pura e semplice obsolescenza delle inadeguate infrastrutture del network Italia, abusato fino allo spasimo da parte degli operatori sempre più inclini ad offrire connettività a velocità nominali sproporzionatamente superiori rispetto alla reale disponibilità di banda fisica.

Il ricercatore Marco Giuliani (che i visitatori di MegaLab.it ricorderanno per essere uno dei più attivi nel recente caso del pericoloso malware Gromozon) sostiene invece che, appunto, la verità è a metà del guado: la vecchia infrastruttura italiana è collassata sotto i colpi di un'aumentata recrudescenza dell'attività dei PC infetti e trasformati in bot-zombi, asserviti al volere del malware che ne ha preso il controllo.

Stando a quanto si può leggere in questo suo recente post, il codice maligno in discussione apparterrebbe a Rustock.B. Il virus, individuato da Symantec come Backdoor.Rustock.B, viene descritto da Giuliani come uno dei più pericolosi rootkit operanti in kernel-mode in circolazione, in grado di nascondersi all'interno dei flussi ADS del file system NTFS sotto il nome di lzx32.sys.

Caratteristica propria di Rustock.B è appunto la capacità di trasformare il PC infetto in un server da utilizzare per inviare spam, generando una quantità smodata di richieste di risoluzione di indirizzi ai server DNS. Le richieste puntano agli IP 208.66.195.78 e 204.13.160.26. Filtrando questi indirizzi, i gestori dei network metterebbero fuori gioco il malware, facendo ritornare ad un livello di funzionamento normale le ADSL casalinghe e non.

Il suddetto post descrive poi in dettaglio l'infezione di cui fa parte Rustock.B, assieme alle operazioni da compiere per rimuovere manualmente l'agente patogeno. Giuliani (che è anche ricercatore della Prevx) conta comunque di pubblicare il tool per la rimozione automatizzata (come il famigerato Gromozon Rootkit Removal Tool) su cui è già al lavoro appena possibile.