www.MegaLab.it

Alcuni ricercatori di Kaspersky Lab sono riusciti ad individuare la sorgente della più grande botnet attualmente in attività: l'agente eziologico dell'infezione è una nuovissima variante del temuto "TDL" (detto anche "TDSS" oppure "Alureon"), giunto ormai alla versione 4.

Il malware in questione è dotato delle più recenti tecnologie atte a sfuggire agli antivirus e a garantire la sopravvivenza della botnet con ogni mezzo.

Tra le caratteristiche note e divulgate:

• Installazione di una componente bootkit a 64 bit particolarmente resistente;
• Comunicazioni remote per l'accesso e il controllo del PC infetto;
• Accesso alla rete Kademlia (la stessa utilizzata da eMule) per scovare nuovi PC da infettare e per aggiornare i propri componenti;
• Modifica le connessioni di rete per deviare il traffico su server proxy, con rischio per dati personali e privacy;
• Disattiva ogni altra botnet alla quale il PC fosse già collegato, eliminando ogni eventuale "concorrente";
• Modifica i risultati dei motori di ricerca per deviare i link sicuri su collegamenti pubblicitari che generano introiti per i creatori della botnet. Questi URL spesso contengono altro malware (motori di ricerca supportati)

La pericolosità intrinseca del malware e la successiva connessione ad una botnet particolarmente difficile da estirpare sono in grado di rendere quasi impossibile la completa disinfezione dei PC Zombie colpiti.

Come possiamo difenderci?

La miglior cura è la prevenzione: in questo caso, si tratta dell'adozione di software di sicurezza studiati per tutelare i punti deboli del nostro sistema.

L'installazione del bootkit può essere resa molto difficile effettuando un'accurata scelta dell'antivirus, scegliendo un HIPS che segnali l'esecuzione di operazioni sospette, preferendo un buon firewall che monitori eventuali richieste "sospette" verso destinazioni sconosciute, isolando in una sandbox i software a rischio (browser, client email, client P2P, client messaggistica..) ed "EMETizzando" gli applicativi che dimostrano maggiori debolezze.

Ultimo ma non meno importante, tenere sempre aggiornati i propri strumenti di sicurezza con le ultime definizioni e le ultime release.

Forse sono stato già infettato... che faccio?

Non resta che effettuate tutte le verifiche del caso per escludere ogni possibile traccia di infezione e, in caso di esito positivo, adottare ogni mezzo a disposizione per debellare la minaccia.

Una guida esaustiva è disponibile in "PC infetto da virus e altro malware? Vediamo come intervenire", con tutti i consigli e gli articoli utili per combatte le infezioni.

Vista la natura del bootkit, è altamente consigliata la lettura di questi articoli a riguardo:

• Guida alla rimozione dei Bootkit
• Guida operativa a HxD il bisturi per la rimozione definitiva dei rootkit

Utilizzate l'ultimo software con estrema cautela!

Per ogni dubbio o perplessità, la sezione Sicurezza del forum è a vostra disposizione.