Rootkit bersaglia Windows x64: come riconoscere l'infezione

Nei giorni scorsi le principali aziende attive nel campo della sicurezza informatica hanno reso un annuncio piuttosto sinistro: i sistemi Windows a 64 bit sono divenuti preda dei rootkit. I primi ad essere riusciti nell’impresa di infettare le edizioni x64 di Windows sono stati gli autori del conosciuto rootkit TDL3 alias Alureon o TDSS.
Le società che producono e distribuiscono software antivirus ed antimalware hanno spesso tessuto le lodi di TDL3: sebbene si tratti di un pericoloso malware, gli autori di questa “bestia nera” hanno sempre utilizzato approcci e metodologie nuovi, rivelatisi – purtroppo – sempre piuttosto efficaci.
Il rootkit TDL3 tornò agli “onori delle cronache” durante lo scorso mese di febbraio quando la sua presenza, su un gran numero di sistemi, fu smascherata in forza della comparsa di una schermata blu d’errore all’avvio di Windows. La responsabilità del “blue screen of death” fu inizialmente affibbiata a Microsoft; in realtà la causa scatenante era proprio l’azione del rootkit su ciascun sistema infetto. Cosa successe in quel frangente? Come spiegammo all’epoca in questo articolo, la presenza del rootkit TDL3 interferì con l’installazione di una patch Microsoft che andava a correggere alcune lacune scoperte nel kernel di Windows. Una volta installato l’aggiornamento, il rootkit non trovava più – sulla macchina infetta – la versione del kernel attesa provocando, ad ogni successivo avvio di Windows, la comparsa dell’agghiacciante schermata blu.
I rootkit per loro stessa natura sono “creature” che debbono nascondersi il più possibile, agli occhi dell’utente così come alle indagini effettuate dai vari software antivirus ed antimalware. La comparsa della schermata blu rappresenta un problema per chi sviluppa rootkit: ecco quindi che gli autori di TDL3 rilasciarono immediatamente un aggiornamento per il loro malware in grado di adeguarne il comportamento alla versione del kernel di volta in volta rilevata (gli aspetti tecnici sono chiariti in questa nostra news).

Da allora in poi, gli autori di TDL3 devono aver lavorato alacremente per ampliare le abilità del loro rootkit arrivando oggi ad essere in grado di “bersagliare” i sistemi Windows x64.
Le versioni a 64 bit di Windows Vista e di Windows 7 non consentono a qualunque driver di accedere alla regione di memoria utilizzata del kernel del sistema operativo: ciò avviene grazie ad un severissimo controllo sulle firme digitali. Allorquando un driver non dovesse apparire firmato digitalmente, Windows ne impedisce il caricamento. Questa tecnica protegge il sistema nei confronti di qualunque rootkit “kernel mode” dal momento che i malware non sono generalmente firmati digitalmente. La seconda tecnica impiegata nelle versioni a 64 bit di Windows consiste nell’uso di PatchGuard (“Kernel Patch Protection“): si tratta di un livello di difesa aggiuntivo che impedisce eventuali tentativi di modifica delle aree “sensibili” che compongono il kernel del sistema operativo.

Marco Giuliani, Malware Technology Specialist per Prevx, aveva definito TDL3 come “il più avanzato rootkit in circolazione“. Per mesi le varie aziende specializzate nel campo della sicurezza informatica non hanno registrato aggiornamenti relativamente al rootkit TDL3. Un segnale che suggeriva come qualcosa di grosso “bollisse in pentola”: in questi giorni è stata infatti isolata una particolare versione del rootkit che prende di mira proprio i sistemi Windows x64 e che quindi rivoluziona nuovamente lo scenario dei malware. “L’infezione, che bersaglia i sistemi Windows a 64 bit si sta già diffondendo sul web“, ha commentato Giuliani spiegando come l’analisi approfondita del rootkit sia ancora in corso.
“Per bypassare la verifica sulla firma digitale e la Kernel Patch Protection, il rootkit interviene sul contenuto del Master Boot Record del disco in modo tale da poter “intercettare” le routine di avvio di Windows, prenderne il possesso e caricare il suo driver“, ha aggiunto Giuliani. Mentre sui sistemi x86 non è necessario riavviare Windows perché il driver “maligno” riesce a caricarsi senza problemi, sulle versioni a 64 bit la procedura che porta all’infezione del sistema è differente: “il rootkit necessita dei privilegi amministrativi per infettare il Master Boot Record e, anche dopo aver effettuato questa operazione, non può avviarsi immediatamente in forza della protezione impostata a livello kernel“, spiega l’esperto di Prevx. Il “dropper” (programma sviluppato per installare un malware od aprire una “backdoor” sul sistema) del rootkit, quindi, forza Windows a riavviarsi: in questo modo, il codice caricato all’interno del Master Boot Record (che tra l’altro è presente in forza cifrata) può eseguire “il lavoro sporco” e “dribblare” le difese del sistema operativo.

Molte aziende operanti nel settore della sicureza hanno già provveduto ad aggiornare le loro applicazioni nel tentativo di rilevare la variente a 64 bit di TDL3. Microsoft, ad esempio, ha iniziato a dotare il suo pacchetto Security Essentials delle firme virali ad inizio agosto.

C’è comunque un modo rapido per verificare se un sistema Windows x64 fosse stato già infettato dalla variante a 64 bit del rootkit TDL3. Premesso che nel caso delle versioni a 64 bit di Windows XP e Windows Server 2003 il sistema, una volta infettato dal rootkit TDL3, almeno per adesso, non si avvierà più, gli utenti di Vista e Windows 7 a 64 bit possono ricorrere ad una verifica molto semplice da mettersi in pratica.

E’ sufficiente infatti aprire il prompt dei comandi (tasto Windows+R, quindi digitare cmd e premere il tasto Invio) ed invocare il comando diskpart. Verrà così avviata l’utilità per la gestione delle partizioni presenti nelle unità disco. Se, digitando il comando lis dis al prompt di Diskpart, l’utility dovesse informare circa l’assenza di dischi fissi, la presenza dell’infezione da TDL3 è da considerarsi certa.

Diversamente, se Diskpart dovesse restituire una schermata come la seguente, TDL3 non è presente.

In caso d’infezione anche la finestra Gestione disco di Windows Vista e di Windows 7 non mostrerà in elenco alcuna unità di memorizzazione.