Punto informatico Network

Canali
20080829222547

Rustock.B: l'ennesimo rootkit che infesta l'Italia

24/01/2007
- A cura di
Sicurezza - Nell'anno dei rootkit, anche il Rustock si ripresenta sulla scena. Eliminarlo, però, non è cosa difficile.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

italia (1) , rootkit (1) , rustock.b (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 247 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Senza dubbio, come d'altronde riportato da molte autorevoli fonti, questo è stato l'anno dei rootkit, che hanno infestato in particolare l'Italia. Ricordiamo soprattutto il Gromozon e il Trojan.Clicker (o DialCall), che hanno fatto penare molti utenti imploranti soccorso sui vari forum di informatica.

Il Clicker è inoltre il responsabile, da poche settimane a questa parte, della recente ri-proliferazione del rootkit Rustock, nella sua variante B. Quindi, è consigliabile, a chi abbia la certezza di aver contratto uno dei due rootkit, di controllare l'eventuale presenza dell'altro.

L'infezione

Una volta installato sul PC, il Rustock.B crea il file lzx32.sys, posizionandolo in %Windir%\system32 (ove %Windir% è la directory di Windows) ; è necessario però osservare un importante particolare: se il disco rigido in cui va ad installarsi è formattato in NTFS, il file viene inserito negli ADS (Alternate Data Stream).

Il suo percorso è quindi C:\%Windir%\system32:lzx32.sys, e risulta nascosto e non visibile tradizionalmente, se non con strumenti antirootkit. Se invece il disco rigido è stato formattato con tecnologia FAT32 (meno performante e non in grado di supportare gli ADS), il file viene semplicemente collocato nella cartella C:\%Windir%\system32\lzx32.sys.

Quindi, al fine di avviarsi a ogni boot del PC, esso modifica il registro, creando un nuovo servizio. Infine, aggiunge la chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386, relativa al precedente file C:\%Windir%\system32:lzx32.sys.

Immagine_1.jpg

Dal punto di vista tecnicio, il Rootkit Rustock.B è un trojan-backdoor.

Tratto da Wikipedia

"Le backdoor in informatica sono paragonabili a porte di servizio che consentono di superare in parte o in toto le procedure di sicurezza attivate in un sistema informatico.

Queste "porte" possono essere intenzionalmente create dai gestori del sistema informatico per permettere una più agevole opera di manutenzione dell'infrastruttura informatica, e più spesso da cracker intenzionati a manomettere il sistema. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario.

Oltre ad essere molto pericolosi per l'integrità delle informazioni presenti sul sistema, le backdoor installate dai virus possono essere utilizzate per condurre degli attacchi di tipo DDoS".

Quindi, il trojan apre una porta di servizio che potrebbe permettere al suo creatore di fare ciò che vuole della macchina infetta. Ecco perché il trojan non presenta sintomi particolari: la sua attività è studiata appositamente per rendere il proprietario del PC infetto ignaro della cosa. Ciò è valido ovviamente finchè sulla macchina non sia presente un programma antivirus o antirootkit in grado di identificare la minaccia.

Identificazione

A esempio, usando uno specifico strumento antirootkit quale gmer., lo scan di un computer infetto porterebbe a un risultato molto simile a questo:

Rimozione

Il Rustock.B non è di difficile eliminazione. Esistono dei tool gratuiti di rimozione del virus:

Prevenzione

Le norme basilari per evitare l'infezione sono sempre le stesse:

  • Aggiornare di continuo il proprio sistema operativo tramite Windows Update
  • Navigare utilizzando un antivirus aggiornato
  • Utilizzare un firewall
  • Possibilmente, navigare utilizzando browser che non siano Internet Explorer, per evitare di infettarsi. Consigliamo l'uso di Firefox od Opera
  • Controllare abitualmente il PC mediante gli scan di programmi di vario genere (AntiVirus, AntiSpyware, AntiRootkit, etc...)
Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.34 sec.
    •  | Utenti conn.: 91
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 0.22