Gli autori del rootkit: niente più schermate blu in Windows

Nei giorni scorsi abbiamo dapprima segnalato il verificarsi di schermate blu su alcuni sistemi Windows XP dopo l’applicazione della recente patch MS10-015. Successivamente abbiamo dato voce alle spiegazioni di Microsoft che hanno trovato riscontro nelle analisi pubblicate da diverse aziende attive nel campo della sicurezza informatica e che evidenziano come la responsabilità dei “crash” con conseguente comparsa del BSOD (“Blue screen of death“) non sia strettamente lageta alla patch in sé quanto alla presenza di un rootkit sul sistema affetto dal problema (ved., a tal proposito, questa notizia).

Oggi arriva una notizia che non potrà non far sorridere. Gli autori del rootkit TDL3 (conosciuto anche con il nome di TDSS o Tidserv) si sono immediatamente attivati per risolvere il problema dei crash. Non c’è peggiore controindicazione per chi sviluppa malware di questo tipo, di generare crash di sistema. Un rootkit, per definizione, è un elemento maligno che pone in essere strategie aventi come obiettivo quello di impedire o rendere estremamente difficoltoso il rilevamento del codice dannoso da parte di applicazioni per la sicurezza.

Questa volta, secondo l’analisi condotta da Marco Giuliani (Prevx), gli autori del rootkit avrebbero commesso un grave errore nello sviluppo della routine di infezione. Il rootkit, una volta insediatosi sul sistema, calcola gli offset di alcune funzioni del kernel di Windows senza però mai riverificarle ad ogni avvio del sistema operativo. Gli offset, usati molto di frequente nella programmazione a basso livello, indicano il numero di byte da aggiungere ad un indirizzo di base per ottenere uno specifico indirizzo assoluto.
La patch MS10-015 di Microsoft risolve un bug vecchio di 17 anni relativo al supporto ed alla gestione delle applicazioni a 16 bit. Per sanare una falla di sicurezza recentemente portata alla luce da Tavis Ormandy, l’aggiornamento di sicurezza MS10-015 opera alcune modifiche sul kernel di Windows. Dopo aver riavviato il sistema operativo, il rootkit – non accorgendosi della variazione apportata al “cuore” di Windows – tenta di accedere ad indirizzi non validi. La conseguenza è la comparsa della schermata blu.

Gli autori del rootkit TDL3 o TDSS sembrano essere subito intervenuti per adeguare il comportamento della loro “creatura maligna” alla versione del kernel utilizzata in Windows.
“Purtroppo il numero di utenti affetti da questo problema (la comparsa della schermata blu dopo l’installazione della patch MS10-015, n.d.r.) è rilevante. Ciò significa che l’infezione causata da questo rootkit si sta diffondendo velocemente“, aggiunge Marco Giuliani che ricorda la pericolosità della minaccia, costantemente aggiornata dai suoi ideatori: “tutti i dropper del rootkit vengono ricompilati lato server ogni giorno. Questo permette ai creatori di evadere da ogni semplice signature o signature generiche basilari. Effettivamente queste signature sono l’unico vero ostacolo che molti software di sicurezza pongono, perché una volta che l’infezione è attiva è invisibile per la gran parte degli antivirus e antirootkit“.