Archivio » 2005 » aprile » lunedì 18 »

Sicurezza, Microsoft contro i rootkit

Scritto da Guido Sintoni

Patch & co.Tutto sugli antivirus

L’aggiornamento di aprile dello Strumento di rimozione malware per Microsoft Windows, che l’azienda di Redmond fornisce con i propri meccanismi d’aggiornamento a partire dallo scorso gennaio per fornire un rapporto preliminare sullo stato di sistema, riserva una novità.Protezioni Oltre a rilevare e rimuovere alcuni tra i worm più diffusi (Berbew, Bropia, Gaobot, Mydoom e Sober, con l’aggiunta per aprile di Mimail e del trojan Rbot), il tool è ora in grado di rilevare e rimuovere Hacker Defender, uno dei più diffusi rootkit per Windows.

Con questo termine si intende un set di strumenti, concepiti per attaccare un sistema e prenderne possesso: si tratta di malware che differiscono da quelli tradizionalmente diffusi (exploit di rete, worm, virus) perché nascono per occultare il più possibile la propria presenza e per attacchi mirati, non generici (e, per questo, potenzialmente molto pericolosi).

Stephen Toulouse, Program Manager presso Microsoft Security Response Center, ha dichiarato: “Abbiamo agito sulla base delle richieste degli utenti”. Una conferma, la sua, di come gli attacchi si stiano sempre più diversificando, sia nella tipologia che nei vettori d’azione prescelti.

Hacker Defender funziona su sistemi Windows NT/2000/XP, ed è composto da vari cavalli di Troia che modificano, creano e nascondono risorse sulle macchine colpite e aprono una backdoor per il controllo remoto delle stesse. In quanto rootkit, nasconde la backdoor appena citata, ed eventuali proxy, oltre alle porte Tcp e Udp utilizzate per comunicare con l’(illecito) amministratore remoto.

Per ora, i rootkit rappresentano più un fenomeno legato al mondo Unix che a Windows; ma alcuni vendor (tra cui la finlandese F-Secure, con il proprio BlackLight Rootkit Elimination Technology) hanno già presentato strumenti per identificarli e rimuoverli.