Punto informatico Network

20090304173104_794405008_20090304173033_653954111_rootkit.png

Alureon scavalca PatchGuard ed infetta Windows x64

17/11/2010
- A cura di
Zane.
Sicurezza - La nuova versione di un popolare rootkit bypassa i meccanismi a protezione del kernel e riesce ad infettare anche le versioni a 64 bit di Windows.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

rootkit (2) , windows (1) , kernel (1) , 64 bit (1) , alureon (1) , patchguard (1) .

Valutazione

  •  
Voto complessivo 3.5 calcolato su 8 voti
Il dibattito è aperto: partecipa anche tu! AvvisoQuesto contenuto ha ricevuto un numero significativo di commenti. Una volta conclusa la lettura, assicurati di condividere con tutti anche le tue impressioni! La funzionalità è accessibile subito in coda, ai piedi dell'ultima pagina.

Il magazine tedesco The H ha segnalato ieri una novità sicuramente importante per tutti coloro che impieghino una versione a 64 bit di Windows: una variante del malware Alureon (chiamata TDL4), già noto per aver causato parecchi grattacapi ad inizio anno, è stata infatti dotata di tutte le funzionalità necessarie a debellare PatchGuard e la limitazione che non consente di caricare driver kernel mode che non fossero stati firmati digitalmente.

In altre parole, il rootkit è ora efficace anche su Windows Vista x64 e successivi, ed è in grado di nascondersi completamente all'utente ed agli antivirus modificando opportunamente le funzioni di base del sistema operativo incaricate di enumerare i processi in esecuzione, i file presenti su disco e via dicendo.

Alureon è uno dei primi malware con un livello di diffusione apprezzabile in grado di raggiungere questo risultato: fino ad oggi infatti, la stragrande maggioranza dei rootkit in circolazione risultavano inefficaci contro Windows a 64 bit, proprio a causa delle due caratteristiche di sicurezza assenti nelle declinazioni a 32 bit.

Il malware raggiunge il proprio obbiettivo comportandosi da bootkit: si annida cioè nel Master Boot Record (MBR) del disco fisso, impiegando per di più una funzione di accesso al drive di più basso livello per cercare di evitare di non insospettire l'analisi comportamentale degli antivirus.

Una volta "dentro", Alureon abilita la modalità "test" dei sistemi Windows a 64 bit, nella quale il sistema operativo può caricare driver sprovvisti di firma come di consueto. A questo punto, il programma ostile può caricare in memoria il proprio componente di sistema che, in accoppiata al caricamento da MBR, gli consente di superare anche la protezione di PatchGuard e divenire così pressoché invisibile (Kaspersky Lab ha ricordato che non si tratta di un vero e proprio aggiramento in senso stretto, ma più di un "inganno" indiretto).

Come ciliegina sulla torta, il rootkit si preoccupa anche di disabilitare l'esecuzione dei vari debugger, indispensabili agli analisti per "smontare" e comprendere il funzionamento e gli scopi del programma.

Ad infezione completata, questa nuova versione di Alureon non è esattamente "banale" da rimuovere. Ciò nonostante, precisa la fonte, un antivirus come Microsoft Security Essentials è in grado di rilevarlo sin dallo scorso agosto, prevenendo per tempo l'infezione. Allo stesso modo, sebbene The H non ne faccia menzione esplicita, è altamente probabile che anche tutti gli altri antivirus siano già dotati di definizioni in grado di rilevare la minaccia, o che i produttori siano in procinto di rilasciarle.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 9.14 sec.
    •  | Utenti conn.: 84
    •  | Revisione 2.0.1
    •  | Numero query: 19
    •  | Tempo totale query: 7.69