7496 Letture

F-Secure: il rootkit che infetta il MBR crea non pochi grattacapi

Un nuovo rootkit scoperto per la prima volta nel mese di Dicembre sembra stia creando non pochi problemi ai produttori di soluzioni antivirus ed antimalware. I finlandesi di F-Secure hanno confermato i "grattacapi" che Mebroot - questo il nome del pericoloso rootkit individuato - sta causando.

"Mebroot" si insedia nel "master boot record" (MBR) del disco fisso in modo da autoavviarsi subito dopo l'accensione del computer, prima del caricamento del sistema operativo. Proprio per il fatto che il rootkit viene caricato automaticamente prima di qualsiasi altro componente software, "Mebroot" sa così nascondersi alle attività di scansione operate dai vari prodotti antimalware.

Mikko Hypponen, chief research officer di F-Secure, conferma i problemi che "Mebroot" sta determinando e spiega che il rootkit potrebbe cominciare a diffondersi maggiormente, dopo l'individuazione - a Dicembre - di versioni "alpha" e "beta" del componente maligno.
Da F-Secure si puntualizza come la tecnologia oggi disponibile sia oggi in grado soltanto di "sospettare" la presenza di rootkit come "Mebroot" che infettano il MBR del disco fisso. Hypponen ha preferito, ovviamente, non rivelare l'approccio adottato da F-Secure in tal senso in modo tale non facilitare la vita agli sviluppatori di "Mebroot".
"Il problema", ha aggiunto Hypponen, "è che Mebroot non è composto da un singolo file; il rootkit inietta se stesso all'interno di altri processi in esecuzione sulla macchina mascherando le sue attività dannose".
Nel caso dei prodotti F-Secure, comunque, Hypponen spiega che "Mebroot" è risultato essere individuabile effettuando il boot del personal computer servendosi del CD di avvio dei prodotti di sicurezza commercializzati dalla società finlandese.

La possibilità di infettare il MBR risale ai tempi di MS DOS. Oggi è stata riportata in auge dagli autori di rootkit per creare malware che possano essere scovati con estrema difficoltà.
Chi naviga sul web con una versione del browser non aggiornata ovvero vulnerabile a problemi di sicurezza sanabili mediante l'applicazione delle patch via a via rilasciate dal produttore, può rischiare di vedere il proprio sistema infettato da "Mebroot".


Al momento Hypponen sembra non disporre di dati precisi sulla diffusione di "Mebroot". L'iDefense Intelligence Team di VeriSign aveva parlato di 5.000 infezioni solo nel corso dei primi due attacchi, risalenti al 12 ed al 19 Dicembre scorsi.


F-Secure ha pubblicato in questa pagina un'analisi di "Mebroot", unitamente ad alcuni link d'interesse.

  1. Avatar
    Opensource
    08/03/2008 20.25.30
    Comunque, il fixmbr dovrebbe risolvere tutto!!!
  2. Avatar
    Michele Nasi
    08/03/2008 16.56.28
    Assolutamente sì, è uno degli interventi più utili. Ovviamente, si ricordi di disattivare la funzionalità per la protezione del MBR da BIOS prima di reinstallare il sistema operativo o di effettuare operazioni sulla struttura del disco fisso.
  3. Avatar
    Lettore anonimo
    08/03/2008 15.59.40
    Credo che sia sufficiente attivare l'antivirus dal BIOS per evitare che si possa scrivere sul MBR a nostra insaputa.
F-Secure: il rootkit che infetta il MBR crea non pochi grattacapi - IlSoftware.it