Punto informatico Network

Canali
20081022222255_1611985231_20081022222238_1475510705_XBUGS INCHWORM.png

MBR Rootkit, una minaccia in via di diffusione

12/01/2009
- A cura di
Sicurezza - I rootkit si annidano nel Master Boot Record, e adottano tecniche sempre più avanzate per occultarsi e funzionare. Facciamo un breve escoursus del funzionamento del malware, poi procediamo con la rimozione.

Download

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

rootkit (3) , malware (1) , mbr (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 359 voti
Il dibattito è aperto: partecipa anche tu! AvvisoQuesto contenuto ha ricevuto un numero significativo di commenti. Una volta conclusa la lettura, assicurati di condividere con tutti anche le tue impressioni! La funzionalità è accessibile subito in coda, ai piedi dell'ultima pagina.
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Al giorno d'oggi, i virus-writer sono sempre in cerca di soluzioni che permettano di nascondere un malware nel sistema sia all'antivirus, sia all'utente, e sia ai programmi di individuazione e rimozione specifici.

Nel 2008 un passo importante è stato quello di spostare l'infezione dal sistema operativo per portarla nel Master Boot Record. Il Master Boot Record (MBR) si trova nei primissimi settori del disco fisso, e che contiene la sequenza di comandi necessaria per l'avvio del software.

In realtà già negli anni precedenti esistevano virus capaci di infettare i primi settori del disco, quelli che abbiamo visto essere i settori di avvio, ma nessuno di questi aveva pensato a utilizzare un rootkit nascosto nel MBR, posizione da cui è possibile effettuare qualunque operazione, nascondersi da qualunque software e allo stesso tempo modificare il kernel del sistema operativo a caldo.

Siamo ai primi giorni di Gennaio del 2008, e GMER pubblica un'analisi approfondita su un nuovo progetto, chiamato BootRoot. Quando eseguito, sovrascriveva il MBR con del codice proprio che gli permetteva di modificare un driver di Windows fin dai primi secondi di avvio del computer.

Poco dopo, quello che era solo un proof of concept diventò poi in the wild. Per chi non conoscesse questi termini tecnici, significa che se prima BootRoot era solo un abbozzo di un progetto, diventò poi disponibile in forma perfezionata, come qualunque altro virus.

Oggi, l'infezione si propaga attraverso alcuni siti progettati ad hoc per visitatori con browser e sistema operativo non aggiornati e, casualmente, l'Italia è uno dei paesi più esposti. Ci accorgiamo anche noi di MegaLab.it del crescente numero di infezioni simili a questa, sul forum più volte gli utenti hanno segnalato problemi di questo genere.

Nei virus che si trovano oggi in via di diffusione, quando il file infetto viene eseguito, pone il suo driver rootkit negli ultimi settori del disco, solitamente inutilizzati, prosegue poi copiando il MBR originale nel settore 62 del disco e scrivendo nei settori 60 e 61 codice proprio. Infine, sovrascrive il Mater Boot Record con le istruzioni per lanciare il suo driver precedentemente copiato negli ultimi settori del disco.

In questo modo, non è necessaria nessuna chiave/valore di registro, né nessuna cartella o file, visto che l'intera infezione risiede al di fuori del sistema operativo.

Pagine
  1. MBR Rootkit, una minaccia in via di diffusione
  2. Rimozione

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.33 sec.
    •  | Utenti conn.: 93
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 0.22