Overblog Segui questo blog
Edit post Administration Create my blog

In collaborazione con le Redazioni - NotizieWeb 24/24; DangerNews; The Curious MagazineWeb

10 Nov

Virus Bootkit

Pubblicato da Andrea Gallo  - Tags:  #INTERNET

Tutto comincia dalla “contaminazione” di un normale sito Web, al cui interno non vengono però inseriti iFrame o Javascript, troppo facili da individuare. I pirati, nvece, sostituiscono manualmente solo alcuni dei collegamenti presenti all’interno delle pagine Web. La tecnica adottata, dal punto di vista degli hacker, ha vantaggi e svantaggi.
In questo modo, infatti, gli elementi inseriti saranno scoperti più difficilmente, ma potranno colpire solo una parte dei visitatori che si collegano al sito, ovvero solo quelli che fanno clic su uno dei link modificati.

 

Gli sfortunati che rientrano nella categoria vengono dirottati per pochi istanti su un su un altro sito Web, in grado di
analizzare il computer della potenziale vittima per scoprirne le eventuali vulnerabilità. Il server a cui i pirati hanno affidato questo compito si concentra sul browser e sui plug-in installati, scegliendo un virus “su misura” che sia in grado di fare breccia nel sistema.

 

Ma c’è di più: al computer infettato viene assegnato anche un codice identificativo, in modo da poterlo riconoscere in seguito. L’unico sintomo evidente dell’avvenuta infezione è il riavvio immediato della macchina colpita.

 

Il trojan usato per l’infezione dei computer è di tipo bootkit, ovvero un nuovo tipo di virus che viene memorizzato nel settore di boot del disco fisso. Agendo da qui, il virus si garantisce un’assoluta invisibilità, poiché ha la possibilità di modificare importanti processi del sistema operativo ancora prima che qualsiasi antivirus sia avviato. Inoltre, il codice inserito nel settore di boot permette l’avvio di un rootkit, un sistema in grado di nascondere la presenza del processo sospetto
a qualsiasi analisi.


La vera “raffinatezza” messa in campo dai pirati informatici è la procedura di caricamento del trojan. Il codice
nel settore di boot, infatti, non ha nulla di sospetto, ma contiene solo uno strumento che gli consente di collegarsi a Internet dopo l’avvio e caricare in memoria una DLL che agisce come backdoor. Sul disco fisso, quindi, non rimane
mai traccia del virus. Il server al quale si connette il trojan, invece, è impostato in modo da cambiare indirizzo Internet anche 2 o 3 volte al giorno, risultando in definitiva irrintracciabile.

La DLL in questione, pressoché identica al trojan Sinowal, è in grado di copiare e trasmettere via Internet i dati di accesso di qualsiasi applicazione e servizio Internet.

 

Si può ben definire un virus imprendibile, Una specie di fantasma, così è stato considerato per molto tempo Rustock.C, il rootkit che secondo molti specialisti avrebbe avuto caratteristiche tali da apparire completamente invisibile a qualsiasi software antivirus. Secondo alcune stime, l’autore di Rustock.C avrebbe avuto, attraverso la sua “creatura”, il controllo di un numero impressionante di computer, utilizzati per inviare ogni giorno fino a 30 miliardi di messaggi
di spam.

 

La convinzione che un “super rootkit” si aggirasse per il Web risale al Dicembre del 2006, dopo che erano stati rilevati i due virus spambot, battezzati dagli analisti come Rustock.A e Rustock.B. Solo nel Maggio del 2008, però, la società russa DrWeb ha annunciato di aver individuato l’ormai mitico Ristock.C. A seguito di questa individuazione, gli esperti di Kaspersky hanno potuto analizzare in profondità il virus e scoprirne alcune caratteristiche che hanno permesso poi di individuare più facilmente i nuovi bootkit.

 

 

 

 

 

 

 

 

[//Letto per voi da Andrea Gallo su Computer Magazine n148//]

Sul blog

In collaborazione con le Redazioni - NotizieWeb 24/24; DangerNews; The Curious MagazineWeb