Stealthy Rootkit scorre ulteriormente sotto il radar

Migliaia di siti Web hanno è stato truccato per fornire un potente software dannoso che molti prodotti di sicurezza potrebbero essere impreparati a gestire.

Il software dannoso è una nuova variante di Mebroot, un programma noto come "rootkit" per il modo furtivo in cui si nasconde nel profondo Sistema operativo Windows, ha dichiarato Jacques Erasmus, direttore della ricerca per la società di sicurezza Prevx.

Una versione precedente di Mebroot, che è stata definita da Symantec, è apparsa per la prima volta intorno al dicembre 2007 e utilizzava una tecnica ben nota per rimanere nascosti. Infetta il Master Boot Record (MBR) di un computer. È il primo codice che un computer cerca quando si avvia il sistema operativo dopo l'esecuzione del BIOS.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Se l'MBR è sotto il controllo di un hacker, lo è anche l'intero computer e tutti i dati su di esso o trasmessi via Internet, ha detto Erasmus.

Da quando Mebroot è apparso, i venditori di sicurezza hanno perfezionato il loro software per rilevarlo. Ma l'ultima versione utilizza tecniche molto più sofisticate per rimanere nascoste, ha detto Erasmo.

Mebroot inserisce i ganci del programma in varie funzioni del kernel, o il codice principale del sistema operativo. Una volta che Mebroot ha preso piede, il malware fa sembrare che l'MBR non sia stato manomesso.

"Quando qualcosa sta cercando di scansionare l'MBR, mostra un MBR di bell'aspetto per qualsiasi software di sicurezza," Erasmus

Quindi, ogni volta che si avvia il computer, Mebroot si inserisce in un processo di Windows in memoria, come ad esempio svc.host. Dal momento che è in memoria, significa che nulla è scritto sull'hard disk, un'altra tecnica evasiva, ha detto Erasmus.

Mebroot può quindi rubare qualsiasi informazione che gli piace e inviarla a un server remoto via HTTP. Gli strumenti di analisi di rete come Wireshark non noteranno i dati che fuoriescono da quando Mebroot nasconde il traffico, ha detto Erasmus.

Prevx ha visto la nuova variante di Mebroot dopo che uno dei clienti consumatori dell'azienda è stato infettato. Ci sono voluti alcuni analisti per alcuni giorni per capire esattamente come Mebroot stava riuscendo ad integrarsi nel sistema operativo. "Penso che tutti al momento stiano lavorando alla modifica dei loro motori [antimalware] per trovarlo", ha detto Erasmus.

E quelle aziende devono agire in fretta. Erasmus ha detto che sembra che migliaia di siti Web siano stati hackerati per consegnare Mebroot a computer vulnerabili che non dispongono delle patch appropriate per i loro browser Web.

Il meccanismo di infezione è noto come download drive-by. Si verifica quando una persona visita un sito Web legittimo che è stato violato. Una volta sul sito, un iframe invisibile viene caricato con un framework di exploit che avvia i test per verificare se il browser presenta una vulnerabilità. Se è così, Mebroot viene consegnato e un utente non nota nulla.

"È abbastanza selvaggio là fuori ora", ha detto Erasmus. "Ovunque tu vada, hai la possibilità di essere infettato."

Non è noto chi abbia scritto Mebroot, ma sembra che uno degli obiettivi degli hacker sia quello di infettare il maggior numero possibile di computer, ha detto Erasmus.

Prevx ha un prodotto di sicurezza specializzato auto-nominato che funziona insieme al software antivirus per rilevare exploit del browser drive-by, ladri di password, rootkit e software antivirus canaglia.

Prevx ha rilasciato la versione 3.0 del suo prodotto mercoledì. Il software rileverà le infezioni da malware gratuitamente, ma gli utenti devono eseguire l'aggiornamento per ottenere la piena funzionalità di rimozione. Tuttavia, Prevx 3.0 rimuoverà alcuni dei software dannosi più malvagi, tra cui Mebroot, e qualsiasi altro software pubblicitario, noto come adware, a titolo gratuito, ha detto Erasmus.