5238 Letture

I malware guardano alla perfezione: un trojan sotto la lente

Joe Stewart, ricercatore presso SecureWorks, ha effettuato un'operazione di "reverse engineering" sul codice del trojan Pushdo. L'attività ha consentito di mettere a nudo un complesso sistema per la distribuzione del malware abbinato ad intelligenti tecniche di mascheramento e monitoraggio delle attività dannose via a via svolte. L'occasione è buona per riflettere su quanto molti malware siano divenuti oggi "efficaci" e difficili da mettere a nudo.
Stewart ha scoperto come, nel caso del trojan Pushdo - oggetto della sua analisi -, il server principale dal quale vengono scaricati i campioni del malware, ospitasse ben 421 varianti del componente nocivo.
Sfruttando tecniche di ingeneria sociale, il trojan si presenta dapprima come una cartolina d'auguri - all'interno della casella di posta elettronica - spronando così l'utente più incauto ad aprire l'allegato dannoso. Una volta in esecuzione, Pushdo avvia immediatamente una comunicazione con l'esterno. Pushdo utilizza un database "GeoIP" che permette di individuare in quale regione geografica è situato l'indirizzo IP associato alla macchina infettata. In questo modo, gli autori del malware possono impostare delle "regole" che permettano di bersagliare nazioni specifiche con un determinato "payload" (con questo termine si fa riferimento al codice runtime presente in un virus informatico).
Ogni vittima viene poi tracciata in modo meticoloso. Stewart spiega infatti come Pushdo non solo tenga traccia dell'indirizzo IP ma recuperi il numero di serie del disco fisso della macchina infetta, controlli il file system impiegato, la versione di Windows utilizzata e così via.
Interessante la verifica del numero di serie del disco fisso. E' facile ipotizzare che il controllo venga effettuato per stabilire se il programma sia in esecuzione o meno su una "virtual machine". I produttori di antivirus, infatti, usano le "virtual machine" per analizzare in profondità il comportamento di malware senza così dover modificare la configurazione del sistema in uso.
Pusho, inoltre, getta le basi per lo sviluppo di malware sempre più pericolosi. Il trojan, infatti, si occupa anche di verificare quali tool antivirus, antimalware e firewall siano presenti sulla macchina dell'utente. Queste informazioni vengono poi trasmesse in Rete così da stilare una statistica sui prodotti non in grado di rilevare la presenza del componente dannoso sul sistema.
"Abbiamo a che fare con ecosistema malware piuttosto sfaccettato", ha dichiarato Stewart. "Il business che sta alla base dello sviluppo di malware sta iniziando a far leva su un sempre maggior numero di specialisti. La distribuzione dei downloader è gestita da alcuni, ben remunerati per assolvere queste attività; le botnet sono mantenute da altri; ci sono poi spammer che, a loro volta, acquistano l'uso delle botnet".
I "downloader" sono applicazioni di dimensioni ridottissime che, una volta andati in esecuzione, provvedono a scaricare i malware veri e propri dagli indirizzi Internet specificati. Le "botnet" sono insiemi di computer in genere controllati illecitamente all'insaputa del legittimo proprietario. Secondo alcuni studi l'11% dei sistemi di tutto il mondo sarebbero infettati da bot, ritenuti responsabili dell'invio addirittura dell'80% dell'intero quantitativo di e-mail indesiderate ricevute quotidianamente. Il controllo delle macchine infettate viene infatti spesso venduto, da criminali informatici, ad altre organizzazioni che effettuano attività illecite come l'invio di campagne spam.

  1. Avatar
    Azzola
    31/03/2008 19.37.03
    E' vero che sulla sicurezza nn siamo allo stato dell'arte su Winzoz... ma
    quoto "kmtnck" x il concetto di fondo che esprime...
  2. Avatar
    kmtnck
    27/12/2007 16.22.00
    la piattaforma microsoft è e lo sarà ancora per moltissimi anni la più utilizzata in ambito sia desktop che aziendale.

    non è questione di sistemi più sofisticati che possano risolvere il problema, è questione di massa.

    Se in un mondo ipotetico la massa usava piattaforma opensource linux e microsoft fosse una realtà di nicchia si avrebbe avuto una realtà diametralmente opposta a quella che è la realtà!

    ci vuole solo tanta pazienza dato che qui si parla della classica lotta tra bene...e male!

    la tecnologia avanza e si evolve....e vale per entrambi i lati della medaglia!!

    ci vuole pazienza e intelletto per combattere queste realtà criminali

    ciao
  3. Avatar
    Lettore anonimo
    26/12/2007 18.34.46
    Da utente GNU/Linux mi chiedo a che servano in MS Windows tutti quei programmi per la sicurezza piuttosto costosi se poi un malware può accedere ad informazioni come la versione di win o del firewall/antivirus e in base a un database sfruttare i bug già noti per prendere possesso del sistema...
    Probabilmente una implementazione della gestione dei diritti di esecuzione dei file in stile Unix avrebbe risparmiato a MS un bel numero di critiche sulla sicurezza dei suoi prodotti... :roll:
I malware guardano alla perfezione: un trojan sotto la lente - IlSoftware.it