Minaccia rootkit: le risposte di Microsoft e F-Secure

Già a Febbraio avevamo segnalato come gli esperti di sicurezza fossero già in allerta per la sempre maggior diffusione di una nuova generazione di potenti software in grado di monitorare l’attività dei sistemi sui quali sono in esecuzione. Si chiamano rootkit e sono progettati non per aiutare un aggressore remoto ad ottenere accesso al sistema, bensì per far sì che egli vi possa “lavorare” indisturbato. Si ha a che fare con una tecnica messa a punto per nascondere il software maligno (virus, worm, spyware e così via) agli strumenti che dovrebbero essere in grado di individuarlo (per esempio, i programmi antivirus). Nel mese di Marzo, F-Secure aveva annunciato Blacklight, una tecnologia che la società finlandese propone per combattere la “minaccia-rootkit”. Presentata al CeBIT di Hannover, F-Secure Blacklightt è in grado di rilevare ed eliminare i file, le cartelle ed i processi usati dai rootkit e non riconosciuti dalle attuali soluzioni di sicurezza. (ved., in proposito, questa pagina sul sito di F-Secure).
Ma anche Microsoft sta compiendo i primi sforzi per arginare il fenomeno dei rootkit. Proprio per l’abilità di alcuni rootkit nel modificare il kernel del sistema operativo o comunque altri suoi componenti chiave, gli esperti dell’azienda di Redmond avevano dichiarato come il loro riconoscimento e la loro neutralizzazione fosse difficoltosa.
La versione 1.3 dello strumento di rimozione malware Microsoft, offre ora la possibilità di individuare ed eliminare Hacker Defender (Win32.Hackdef), un rootkit molto pericoloso e già abbastanza diffuso. Così come suggerisce il suo appellativo, Hacker Defender riesce a passare inosservato a molti tool di sicurezza pur attivando backdoor per la gestione fraudolenta, da parte di un aggressore remoto, della macchina “vittima”.