www.MegaLab.it

Cosa è un "rootkit"?

Quella dei "rootkit" è una tecnica sempre più usata dai diffusori di malware per nascondere nel nostro computer servizi o driver infetti, che sfruttando, il più delle volte, dei bug o dei mancati aggiornamenti del nostro sistema operativo, riescono ad inserirsi nel nostro PC per scaricare altri malware, creare delle reti botnet che infettano altri PC, oppure spedire mail spam.

Il rootkit è per sua natura invisibile ai nostri occhi e trovarlo non è sempre così facile. Ho quindi voluto mettere alla prova i programmi specifici per l'individuazione di questi "fantasmini".

Devo dire che la prova si è rivelata piuttosto interessante perché per la prima volta ho trovato un rootkit che creava un eseguibile, che spacciandosi per un programma McAfee, bloccava la maggior parte dei programmi antirootkit e varie altre funzioni di Windows.

La prova si è svolta su un computer con Windows XP service pack 3, senza antivirus installato e non collegato ad Internet per impedire che i rootkit si attivassero completamente scaricando altri malware, ma anche così sono riusciti a creare parecchi problemi.

L'accesso alla lista dei servizi di Windows era bloccato, così come l'apertura dei dischi fissi utilizzando Risorse del computer mentre funzionava da Explorer.

Molti dei programmi antirootkit non partivano se non rinominando l'eseguibile stesso, ed erano stati disattivati anche gli aggiornamenti automatici dei principali software antivirus.

Questo è il falso programma McAfee che causa la maggior parte dei problemi che ho elencato prima.

Non è neanche riconosciuto da tutti gli antivirus e il suo nome varia sempre.

Questo invece è un malware con componente rootkit piuttosto vecchio e quindi viene riconosciuto da quasi tutti i programmi antivirus.

Il trojan Waledac crea un solo servizio con un nome che inizia per TDSS seguito da altri caratteri, sparge alcuni file infetti nel computer che se fosse collegato ad Internet potrebbe diventare parte delle reti Botnet di computer infetti che sono create da questo virus.

L'analisi del quarto file che ho utilizzato non è disponibile perché il file infetto era troppo grande e non potevo caricarla su Virus Total. Avira antivirus lo classifica come un Rootkit Agent.ajn.7, ed è quello che crea il servizio asc3550p.

Per cercare di complicare ulteriormente la prova ho installato DAEMON Tools e Alchol 52% che creano dei driver virtuali che, a volte, ingannano i programmi antirootkit scambiandoli per dei pericoli nascosti.

La situazione di partenza è questa: due processi e due servizi rootkit attivi.

Vediamo come è andata la prova.