8150 Letture

Un nuovo rootkit si nasconde infettando il master boot record

Un nuovo rootkit sta facendo molto parlare di sé perché attinge ad un meccanismo d'infezione utilizzato in passato da parte di alcune tipologie di virus e che oggi si rileva particolarmente efficace.
"Un rootkit di tipo tradizionale si installa solitamente come driver", spiega Oliver Friedrichs, direttore del security response team di Symantec. "I driver vengono caricati in fase di avvio del sistema operativo oppure immediatamente a conclusione della procedura di boot. Questo nuovo rootkit si insedia nel "master boot record" (MBR) del disco fisso in modo da autoavviarsi subito dopo l'accensione del computer".
Controllando il "master boot record", il rootkit può tenere sotto scacco il sistema operativo e l'intero personal computer. Sempre secondo Friedrichs, il nuovo rootkit può così nascondersi in modo ancor più efficace rispetto agli altri malware.
Stando a quanto dichiarato da diversi ricercatori attivi nel campo della sicurezza informatica, inclusi quelli dell'Internet Storm Center di SANS, di PrevX e l'autore del software antirootkit GMER, il rootkit basato sull'infezione del "master boot record" avrebbe già bersagliato migliaia di sistemi a partire dallo scorso Dicembre ed è al momento impiegato per installare e celare la presenza di un trojan in grado di rubare informazioni bancarie. Il rootkit sarebbe poi in grado di provvedere ad insediare nuovamente il trojan nel caso in cui un prodotto antimalware dovesse rilevarlo ed eliminarlo.
Matthew Richards, direttore dell'iDefense Labs di VeriSign, fa presente di avere rilevato le prima ondate di attacchi il 12 ed il 19 Dicembre scorsi.
Secondo l'analisi operata dall'autore di GMER (ved. questo articolo per maggiori informazioni sul software), lo sviluppatore del rootkit si sarebbe ispirato molto da vicino ad un codice "proof-of-concept" presentato in occasione della "Black Hat Security Conference" nell'Agosto 2005.
Gli utenti più a rischio sono quelli di Windows XP mentre in Windows Vista, affinché il rootkit possa insediarsi nel "master boot record", l'utente dovrebbe necessariamente rispondere in modo affermativo alla comparsa del messaggio da parte della funzione UAC ("User Account Control"; ved. questi articoli).
Una volta insediatosi sul sistema il rootkit è molto difficile da eliminare. L'unico modo per sbarazzarsene è ricorrere all'uso del CD d'installazione di Windows XP lanciando la Console di ripristino (ved. questo materiale).
Elia Florio, ricercatore Symantec, suggerisce l'utilizzo del comando fixmbr dalla "Console di ripristino" per rimuovere il rootkit dal "master boot record" e consiglia di attivare, a livello di BIOS, la protezione che ne previene la modifica.

  1. Avatar
    Michele Nasi
    07/05/2008 18.05.41
    Ti invito a voler cortesemente aprire una discussione sul forum in merito al tuo problema, previa registrazione. I commenti, infatti, non sono utilizzabili per esporre problematiche di tipo tecnico.
    Grazie per la collaborazione!
  2. Avatar
    Flavio_75
    07/05/2008 17.57.13
    Credo di aver perso il computer...
    avast, mi dava la presenza di un rootkit mi chiedeva di riavviare al fine di poter distruggere con una scansione in boot, questo virus.

    purtroppo, mi generava un errore e così ho deciso di utilizzare il ripristino del sistema con i recovery disk...

    adesso è ancora peggio... finita la parte di installazione... dopo la scritta acer premi f2 per enrare nel bios... mi compare solo una "_" lampeggiante e non mi permette di fare nulla.


    esiste un anti rootkit che mi elimini questo battere da dos??? o come boot???

    Grazie 10000
    flavio!

    legolas_75@libero.it
  3. Avatar
    giulius
    14/01/2008 11.59.58
    Sono pienamente d'accordo con A.R.
  4. Avatar
    A.R.
    13/01/2008 18.27.20
    Qualunque sia l'argomento trattato, salta sempre fuori l'odio contro MS. A che cosa serve?
    E' ovvio che - essendo diffuso per oltre il 90% - sia il SO più attaccato. Ma è anche il più protetto da centinaia di AV, pagamento e free.
    E' altrettanto ovvio che - essendo utilizzato per la massima parte da profani (e tale io sono) - sia facile preda del malware, diffuso da poveri *******, questi sì da odiare.
    E invece l'odio vien riservato a chi produce il software. Boh! Fra un po' diranno che è colpa di ********
    Saluti A.R.
    P.S.: io, nella mia modestissima bottega, uso SW prodotto ed assistito da ditte serie. Sarà più caro, dovrò pagare, ma non voglio correre il rischio di dipendere dal solito smanettone, che oggi c'è e domani chissà. E se vi piace Linux (quale versione? quale programmatore?) usatevelo e non datemi del fesso se preferisco Windows.

    Messaggio moderato
  5. Avatar
    calupi
    13/01/2008 17.52.51
    uso da anni mbrwork.exe in dos o dd in linux per salvare mbr/prima traccia dell'hd in modo da poterla ripristinare anche a seguito di un cattivo uso di grub o programmi di partizionamento e la cosa m'ha già salvato in diverse occasioni. Ovviamente la cosa va fatta prima dell'infezione e per precauzione credo anche con le chiavette usb se sono bootable..
    Ciao a tutti.
  6. Avatar
    ...
    12/01/2008 19.36.00
    Questo rootkit è in grado di infettare un MAC?
  7. Avatar
    jacopo
    10/01/2008 15.20.19
    Secondo voi un bel fixmbr sarebbe sufficiente :?:
  8. Avatar
    zio paperino
    10/01/2008 14.05.39
    scusate, ma se metto faccio un cd avviabile con un bell av aggiornato e faccio una scansione completa non si toglie sto viurs?? :o
  9. Avatar
    farlo
    10/01/2008 09.31.32
    un rootkit che si insedia nel MBR prima che il sistema operativo si avvii, è possibile su qualunque sistema operativo anche su linux. E anche su linux se si hanno i privilegi di amministratore è possibile infettarsi, nè più e nè meno come in windows.
  10. Avatar
    danieleNA
    10/01/2008 08.16.55
    a proposito di Linux.
    Ho installato Ubuntu, se facessi partire una scansione?
    Potrebbe essere utile ad individuare, e rimuovere, (anche) questo rootkit?

    Una volta leggevo che si poteva usare BartPE. Che ne pensate?

    Anche se mi rendo conto che fixmbr può essere più semplice oltre che ugualmente efficace.
Un nuovo rootkit si nasconde infettando il master boot record - IlSoftware.it