Un nuovo rootkit si nasconde infettando il master boot record

Un nuovo rootkit sta facendo molto parlare di sé perché attinge ad un meccanismo d’infezione utilizzato in passato da parte di alcune tipologie di virus e che oggi si rileva particolarmente efficace.
“Un rootkit di tipo tradizionale si installa solitamente come driver”, spiega Oliver Friedrichs, direttore del security response team di Symantec. “I driver vengono caricati in fase di avvio del sistema operativo oppure immediatamente a conclusione della procedura di boot. Questo nuovo rootkit si insedia nel “master boot record” (MBR) del disco fisso in modo da autoavviarsi subito dopo l’accensione del computer”.
Controllando il “master boot record”, il rootkit può tenere sotto scacco il sistema operativo e l’intero personal computer. Sempre secondo Friedrichs, il nuovo rootkit può così nascondersi in modo ancor più efficace rispetto agli altri malware.
Stando a quanto dichiarato da diversi ricercatori attivi nel campo della sicurezza informatica, inclusi quelli dell’Internet Storm Center di SANS, di PrevX e l’autore del software antirootkit GMER, il rootkit basato sull’infezione del “master boot record” avrebbe già bersagliato migliaia di sistemi a partire dallo scorso Dicembre ed è al momento impiegato per installare e celare la presenza di un trojan in grado di rubare informazioni bancarie. Il rootkit sarebbe poi in grado di provvedere ad insediare nuovamente il trojan nel caso in cui un prodotto antimalware dovesse rilevarlo ed eliminarlo.
Matthew Richards, direttore dell’iDefense Labs di VeriSign, fa presente di avere rilevato le prima ondate di attacchi il 12 ed il 19 Dicembre scorsi.
Secondo l’analisi operata dall’autore di GMER (ved. questo articolo per maggiori informazioni sul software), lo sviluppatore del rootkit si sarebbe ispirato molto da vicino ad un codice “proof-of-concept” presentato in occasione della “Black Hat Security Conference” nell’Agosto 2005.
Gli utenti più a rischio sono quelli di Windows XP mentre in Windows Vista, affinché il rootkit possa insediarsi nel “master boot record”, l’utente dovrebbe necessariamente rispondere in modo affermativo alla comparsa del messaggio da parte della funzione UAC (“User Account Control”; ved. questi articoli).
Una volta insediatosi sul sistema il rootkit è molto difficile da eliminare. L’unico modo per sbarazzarsene è ricorrere all’uso del CD d’installazione di Windows XP lanciando la Console di ripristino (ved. questo materiale).
Elia Florio, ricercatore Symantec, suggerisce l’utilizzo del comando fixmbr dalla “Console di ripristino” per rimuovere il rootkit dal “master boot record” e consiglia di attivare, a livello di BIOS, la protezione che ne previene la modifica.